单位文秘网 2020-08-25 16:53:16 点击: 次
(金融保险)银行信息安全管理规定
中国人民银行信息安全管理规定
总则
为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络和信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的壹系列管理活动。
人民银行信息安全管理工作实行统壹领导和分级管理。总行统壹领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位和个人信息安全责任制。
本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
组织保障
各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
除科技部门外,各单位其他部门均应指定至少壹名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
人员管理
各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第壹节信息安全管理人员
各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定受到过处罚或处分的人员,不得从事此项工作。
各单位信息安全管理人员应经过总行或分行、营业管理部、省会(首府)城市中心支行组织的专业培训和审核,培训和审核合格后方可上岗。上岗后,每年至少参加壹次信息安全专业培训。
各单位信息安全管理人员在如下职责范围内开展本单位信息安全管理工作:
组织落实上级信息安全管理规定,制定信息安全管理制度,协调部门计算机安全员工作,监督检查信息安全保障工作。
审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。
检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境和文档等安全管理情况,发现问题,及时通报和预警,且提出整改意见。统计分析和协调处置信息安全事件。
定期组织信息安全宣传教育活动,开展信息安全检查、评估和培训工作。
信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本单位主管同意后向保密工作委员会办公室提交申请,获得批准后方可查询。
信息安全管理人员实行备案管理制度。信息安全管理人员的配备和变更情况应及时报上壹级科技部门备案。信息安全管理人员调离原岗位时应办理交接手续,且履行其调离后的保密义务。
第二节部门计算机安全员
各部门应指派素质好、较熟悉计算机知识的人员担任部门计算机安全员,且报本单位科技部门备案。如有变更应做好交接工作,且及时通报科技部门。
部门计算机安全员配合信息安全管理人员工作,且参加各项信息安全技能培训。
部门计算机安全员在如下职责范围内开展工作:
负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。
负责提出本部门信息安全保障需求,及时和信息安全管理人员沟通信息安全信息。
负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助科技部门完成对本部门的信息安全检查工作。
第三节技术支持人员
本规定所称技术支持人员,是指参和人民银行网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。
人民银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务:
不得对外泄漏或引用工作中触及的任何敏感信息。严格权限访问,未经业务主管部门授权不得擅自改变系统设置或修改系统生成的任何数据。
主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,且及时响应、处置。
严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度,做好数据备份工作。
外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。提供技术服务期间,严格遵守人民银行相关安全规定和操作规程,关键操作应经授权,且有人民银行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据,不得对外泄漏或引用任何工作信息。
第四节业务系统操作人员
本规定所称业务系统操作人员是指直接操作业务系统进行业务处理的业务部门工作人员。
业务系统操作人员应承担如下安全义务:
严格规程操作,防止误操作。定期修改操作密码且妥善保管,按需、适时进行必要的数据备份。
发现业务系统出现异常及时报告科技部门。
不得在操作终端上安装和业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。
业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系统操作人员。
第五节壹般计算机用户
本规定所称壹般计算机用户是指使用计算机设备的所有人员。
壹般计算机用户应承担如下安全义务:
及时更新所用计算机的病毒防治软件和安装补丁程序,自觉接受本部门计算机安全员的指导和管理。
不得安装和办公和业务处理无关的其他计算机软件和硬件,不得修改系统和网络配置参数。
未经科技部门检测和授权,不得将接入人民银行内部网络的所用计算机转接入国际互联网;不得将便携式计算机接入人民银行内部网络;不得随意将个人计算机带入机房或私自拷贝任何信息。
机房环境和设备资产管理
第壹节机房安全管理
本规定所称机房是指计算机系统等主要设备放置、运行场所以及供配电、通信、空调、消防、监控等配套环境设施。
各单位机房的规划、建设、改造、运行、维护由科技部门负责,相关设备采购纳入政府集中采购。机房的消防、视频监视录像、防雷、门禁等子系统的规划、建设、运行和维护由科技部门和保卫部门协商确定。
各单位原则上只建设壹个符合国家计算机机房有关标准和人民银行相关规定的计算机机房,为所有业务部门提供机房基础设施服务。
机房建设、改造的方案应报上壹级科技部门备案。必要时,由上壹级机构科技部门会同会计、保卫等部门进行审核。
机房建设或改造应选择具有国家建筑装修装饰工程专业承包资质、俩年之上从事计算机机房设计和施工经验的专业化X公司,其中总行、分行、营业管理部、省会(首府)城市中心支行、计划单列市中心支行的机房建设或改造应选择具有国家贰级或贰级之上资质同时具有三年之上专业从事计算机机房装修装饰经验的专业X公司。重要机房建设或改造工程应引入监理制度。
总行、分行、营业管理部、省会(首府)城市中心支行应建立机房设施和场地环境监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控。
各单位机房投入使用前,应经过当地公安消防部门的消防验收和本单位科技、保卫和会计部门组织的验收,且出具明确结论的验收报告。未经验收或验收不合格的机房均不得投入使用。
各单位应建立健全机房管理制度,且指派专人担任机房管理员,落实机房安全责任制。机房管理员应经过相关专业培训,熟知机房各类设备的分布和操作要领,定期巡查机房,发现问题及时报告。机房管理员负责保管机房建设或改造的所有文档、图纸以及机房运行记录等有关资料,且随时提供调阅。
建立机房定期维修保养制度。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。
第二节柜面和核心业务处理环境安全管理
向社会提供公众服务的柜面和核心业务处理环境应严格出入安全管理,应安装门禁、防入侵报警、视频监视录像系统,实行定时录像监控,且适当配置自动监控报警功能。
所有门禁、防入侵报警、视频监视录像系统的信息资料由专人保存至少三个月。
第三节设备资产管理
各单位科技部门应建立完备的计算机设备登记制度,严格资产管理,明确计算机设备使用者或管理者及其安全责任。
各单位科技部门应根据计算机设备重要程度采取不同的安全保护措施,制定完善的访问控制策略,防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区,必要时,单独建立门禁和监控系统,或配备防电磁泄漏的屏蔽装置等。
网络安全管理
网络规划、建设中的安全管理
总行科技司负责网络和网络安全的统壹规划、建设部署、策略配置和网络资源(网络设备、通讯线路、IP地址和域名等)分配。
各单位科技部门按照总行科技司的统壹规划和总体部署,组织实施网络建设、改造工程。各单位局域网的建设和改造方案应报上壹级科技部门审核、备案,投产前应通过本单位组织的安全测试。
各单位的网络建设和改造应符合如下基本安全要求:
符合人民银行网络安全管理要求,保障网络传输和应用安全。
具备必要的网络监测、跟踪和审计等管理功能。
针对不同的网络安全域,采取必要的安全隔离措施。
网络运行安全管理
各单位科技部门应建立健全网络安全运行制度,配备专(兼)职网络管理员。网络管理员负责日常监测和检查网络安全运行状况,管理网络资源及其配置信息,建立健全网络运行维护档案,及时发现和解决网络异常情况。
网络管理员应定期参加网络安全技术培训,具备壹定的非法入侵、病毒蔓延等网络安全威胁的应对技能,紧急情况下,经本部门主管领导授权后可采取“先断网、后处理”的紧急应对措施。
各单位科技部门应严格网络接入管理。任何设备接入网络前,接入方案、设备的安全性等应经过审核和必要的检测,审核(检测)通过后方可接入且分配相应的网络资源。
各单位科技部门应严格网络变更管理。网络管理员调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,变更信息应做好记录。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门且安排在节假日进行,同时做好配置参数的备份和应急恢复准备。
各单位应严格远程访问控制。确因工作需要进行远程访问的部门和人员应向科技部门提出书面申请,且采取相应的安全防护措施。
信息安全管理人员经本部门主管领导批准,有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息,不得向外界提供。未经总行科技司授权,任何外部单位和人员不得检测、扫描人民银行内部网络。
各单位以不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经总行科技司批准,不得在人民银行内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
网间互联安全管理
本规定所称网间互联是指为满足人民银行和其他外部机构信息交换或信息共享需求实施的机构间网络互联。
网间互联由总行科技司统壹规划,按照相关标准组织实施。未经总行科技司核准,任何单位不得自行和外部机构实施网间互联。
接入国际互联网管理
人民银行内部网络和国际互联网实行安全隔离。所有接入人民银行内部网络或存储有敏感工作信息的计算机,不得直接或间接接入国际互联网。
计算机接入国际互联网应通过本单位保密工作委员会办公室批准,且确保安装有人民银行选定的防病毒软件和最新补丁程序。科技部门凭相关批准证明实施联网,且做好备案。曾接入人民银行内部网络的计算机需改接入国际互联网前应重新办理之上审批手续,科技部门确保该计算机已删除敏感工作信息后方可实施接入。
未经科技部门安全检测,曾接入国际互联网的计算机不得直接接入人民银行内部网络。从国际互联网下载的任何信息,未经病毒检测不得在内部网络上使用。
使用国际互联网的所有用户应遵守国家有关法律法规和人民银行相关管理规定,不得从事任何违法违规活动。
计算机系统安全管理
本规定所指的计算机系统是人民银行业务处理系统、管理信息系统和日常办公自动化系统等,包括数据库、软件和硬件支撑环境等。
计算机系统规划和立项
计算机系统建设项目应在规划和立项阶段同步考虑安全问题,建设方案应满足人民银行信息安全保障总体规划的相关要求。项目技术方案应包括以下基本安全内容:
(壹)业务需求部门提出的安全需求。
(二)安全需求分析和实现。
(三)运行平台的安全策略和设计。
各单位科技部门负责对项目技术方案进行安全专项审查且提出审查意见,未通过安全审核的项目不得予以立项。
计算机系统开发和集成
计算机系统开发应符合软件工程规范,依据安全需求进行安全设计,保证安全功能的完整实现。
计算机系统开发单位应在完成开发任务后将程序源代码及其相关技术文档全部移交人民银行科技部门。外部开发单位仍应和人民银行签署相关知识产权保护协议和保密协议,不得将计算机系统采用的关键安全技术措施和核心安全功能设计对外公开。
计算机系统的开发人员不能兼任计算机系统管理员或业务系统操作人员,不得在程序代码中植入后门和恶意代码程序。
计算机系统开发、测试、修改工作不得在生产环境中进行。
涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业,且签订严格的保密协议。
计算机系统运行
各单位计算机系统上线运行实行安全审查制度,未通过安全审查的任何新建或改造计算机系统不得投产运行。具体要求如下:
项目承担单位(部门)应组织制定安全测试方案,进行系统上线前的自测试且形成测试报告,报科技部门审查。
计算机系统应用部门应在计算机系统投产运行前同步制定相关安全操作规定,报科技部门备案。
科技部门应提出明确的测试方案和测试报告审查意见。必要时,可组织专家评审或实施计算机系统漏洞扫描检测。
各单位科技部门应明确系统管理员,具体负责计算机系统的日常运行管理,且建立重要计算机系统运行维护档案,详细记录系统变更及操作过程。重要业务系统的系统设置要求双人在场。
系统管理员不得兼任业务操作人员。系统管理员确需对业务系统进行维护性操作的,应征得业务部门同意且在业务操作人员在场的情况下进行,且详细记录维护内容、人员、时间等信息。
未经业务主管部门领导书面批准,其他任何人不得擅自使用业务操作人员用机,不得擅自设置、分配、使用、修改、删除操作员代码、口令和业务数据,不得擅自改变用户权限。
业务操作
业务部门负责计算机系统用户和权限设定,科技部门根据授权进行相关设定操作。
业务操作人员严格按照安全操作规程进行业务操作、数据备份,且配合科技部门保障信息安全。壹旦发现计算机系统运行异常及时向本部门领导和科技部门报告。
业务操作人员设置本人口令密码。重要计算机系统业务操作人员的密码应由业务部门领导和系统管理员分段设立。
凡是能够执行录入、复核制度的计算机系统,业务操作人员不得壹人兼录入、复核俩职。未经业务部门主管领导批准,不得代岗、兼岗。
业务操作人员离开操作用机时,应按序退出计算机系统,回到操作系统初始状态,防止业务数据被复制、修改、删除以及误操作。
计算机系统废止
实行计算机系统废止申报、备案制度。使用计算机系统的业务部门根据需要向科技部门提出废止申请,由科技部门组织进行安全检查后予以废止,同时备案。
对已经废止的计算机系统软件和数据备份介质,科技部门按业务规定在壹定期限内妥善保存。超过保存期限后需要销毁的,应在本单位保密工作委员会监督下予以不可恢复性销毁。
客户端安全管理
本规定所称客户端是指人民银行计算机用户、网络和信息系统所使用的终端设备,包括联网桌面终端、柜面终端、单机运行(哑)终端、远程接入终端、便携式计算机等。
各单位应建立完善的客户端管理制度,记录所有客户端设备信息和软件配置信息。
客户端应安装和使用正版软件,不得安装和使用盗版软件,不得安装和使用和工作无关的软件。
客户端应统壹安装病毒防治软件,设置用户密码和屏幕保护口令等安全防护措施,确保安装最新的病毒特征码和必要的补丁程序。
确因工作需要经授权可远程接入内部网络的用户,应严格保存其身份认证介质及口令密码,不得转借其他人使用。
信息安全专用产品、服务管理
资质审查和选型购置
本规定所称信息安全专用产品,是指人民银行安装使用的专用安全软件、硬件产品。本规定所称信息安全服务,是指人民银行向社会购买的专业化安全服务。
总行科技司负责信息安全服务提供商的资质审查和信息安全专用产品的选型,由集中采购部门按照政府集中采购程序选购。
各单位购置扫描、检测类信息安全专用产品应报总行科技司批准、备案。
使用管理
各单位科技部门应建立信息安全专用产品登记使用制度,建立信息安全类固定资产使用登记簿且由专人负责管理。扫描、检测类信息安全专用产品仅限于本单位信息安全管理人员使用。
各单位科技部门随时检查各类信息安全专用产品使用情况,认真查见相关日志和报表信息且定期汇总分析。如发现重大问题,立即采取控制措施且按规定程序报告。
各类信息安全专用产品在使用中产生的日志和报表信息属于重要技术资料,应备份存档至少三个月。
各单位科技部门应及时升级维护信息安全专用产品,凡因超过使用期限的或不能继续使用的信息安全专用产品,按照固定资产报废审批程序处理。
防火墙、入侵检测等安全专用产品原则上应在本地配置。如需要进行远程配置,由科技部门或经科技部门授权在可信网络内且采取了必要的安全控制措施后进行操作。
文档、数据和密码应用安全管理
技术文档
本规定所称技术文档是指人民银行网络、计算机系统和机房环境等建设和运行维护过程中形成的各种技术资料,包括纸质文档、电子文档、视频和音频文件等。
各单位科技部门负责将技术文档统壹归档,实行借阅登记制度。未经科技部门领导批准,任何人不得将技术文档转借、复制和对外公布。
存储介质
各单位应建立健全磁带、光盘、移动存储介质、缩微胶片、已打印文档等存储介质管理流程。所有存储介质应保存在安全的物理环境中且有明晰的标识。重要信息系统备份介质应按规定异地存放。
各单位应做好存储介质在物理传输过程中的安全控制,应选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。
各单位所有部门和个人应加强对移动存储设备(U盘、软盘、移动硬盘)的管理。
各单位应建立存储介质销毁制度,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置且做好记录。
数据安全
本规定中所称的数据是指以电子形式存储的人民银行业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。
各单位业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技部门负责审核安全需求且提供壹定的技术实现手段。
各单位业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,且定期测试备份数据的有效性和预演数据恢复流程。
各单位科技部门系统管理员负责定期导出网络和重要计算机系统日志文件且明确标识存储内容、时间、密级等信息。日志文件应至少保留壹年,妥善保管。
各单位业务部门应明确规定备份数据的保存时限和密级,建立备份数据销毁审批登记制度,且根据数据重要性级别分类采取相应的安全销毁措施。
所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后和数据备份介质壹且妥善保管。
口令密码
各单位系统管理员、数据库管理员、网络管理员、业务操作人员均须设置口令密码,至少每三个月更换壹次。口令密码的强度应满足不同安全性要求。
敏感计算机系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交相关部门保管。未经科技部门主管领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改且再次密封存放。
各单位应根据实际情况在壹定时限内妥善保存重要计算机系统升级改造前的口令密码。
密码技术应用管理
人民银行涉密网络和计算机系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据人民银行实际需求和统壹安全策略,合理选择加密措施。
各单位选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合人民银行的相关安全要求。
各单位应建立严格的密钥管理体制,选择密码管理人员必须十本单位在编的正式员工,且逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。
各单位应在安全环境中进行关键密钥的备份工作,且设置遇紧急情况下密钥自动销毁功能。
各类密钥应定期更换,对已泄漏或怀疑泄漏的密钥应及时废除,过期密钥应安全归档或定期销毁。
第三方访问和外包服务安全管理
第三方访问控制
本规定所称第三方访问是指人民银行之外的单位和个人物理访问人民银行计算机房或者通过网络连接逻辑访问人民银行数据库和计算机系统等活动。
各单位保密工作委员会负责涉密计算机系统和网络相关的第三方访问授权审批,各单位科技部门负责非涉密计算机系统和网络相关的第三方访问授权审批。未经人民银行授权的任何第三方访问均视为非法入侵行为。
允许被第三方访问的人民银行计算机系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。
获得第三方访问授权的所有单位和个人应和人民银行签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄漏人民银行任何信息。
外包服务管理
本规定所称外包服务是指由人民银行之外的其他社会厂商为人民银行计算机系统、网络或桌面环境提供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议,明确约定双方义务。
经本单位科技部门领导批准,外包服务提供商可提供上门维护服务且由人民银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查见、复制涉密信息或将涉密介质带离人民银行。
计算机设备确需送外单位维修时,各单位科技部门应彻底清除所存工作信息,必要时应和设备维修厂商签订保密协议。和密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除和密码有关的硬件,且彻底清除和密码有关的软件和信息。
信息通报、灾难备份和应急管理
信息通报
各单位应按照人民银行信息安全事件报告制度进行信息通报,壹般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报总行科技司。
重大信息安全事件发生后,各单位相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,且及时报告本单位主管领导。
各单位应在重大信息安全事件发生后的俩小时内按规定程序报上壹级科技部门,由上级科技部门决定是否发布预警信息或启动辖内应急预案。
灾难备份管理
灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和计算机系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内能够恢复和继续运营的有序管理过程。
总行科技司将按照“统筹安排、资源共享、平战结合”的原则,负责人民银行重要信息系统灾难备份的统壹规划、实施和管理。
总行业务司局负责提出业务系统灾难备份需求,明确可容忍的业务中断时间和数据丢失量。总行科技司据此确定灾难备份等级和备份方案。
各单位应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由总行相关部门统壹部署,重要信息系统至少每年进行壹次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
应急管理
应急预案是针对可能发生的意外事件且可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。
在计算机系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。
各单位应制定和不断完善网络、计算机系统和机房环境等应急预案。预案的编制工作由相关业务部门和科技部门共同完成。
应急预案应包括以下基本内容:
总则(目标、原则、适用范围、预案调用关系等)。
应急组织机构。
预警响应机制(报告、评估、预案启动等)。
各类危机处置流程。
应急资源保障。
事后处理流程。
预案管理和维护(生效、演练、维护等)。
各单位定期组织应急预案的演练,且指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。
各单位计算机安全工作领导小组统壹负责各业务系统的应急协调和指挥,决策重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。
总行办公厅负责统壹向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
安全监测、检查、评估和审计
安全监测
各单位科技部门应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备和系统的运行日志等监控资源,加强对网络、重要计算机系统和机房环境等设施的安全运行监测。
各单位科技部门应建立运行监测周报、月报或季报制度,报送本单位计算机安全工作领导小组和上壹级科技部门,抄送相关业务部门。
各单位要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,且报上壹级单位相关部门。
安全检查
各单位科技部门应至少每年组织壹次本单位或辖内的信息安全专项检查,安全检查方式能够是自查、互查或上级检查多种方式。
各单位在开展安全检查前应以安全管理制度为依据制定详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。
各单位参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为人民银行内部材料妥善保管,不得向外界泄漏。
各单位应将每次安全检查报告和整改落实情况整理汇总后报上壹级科技部门备案。
安全评估
各单位科技部门可采用自评估、检查评估和委托评估等方式,每年至少组织壹次对本单位或辖内信息系统的安全评估。
安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案且进行必要的培训。评估结束后,形成评估报告,提出整改意见报本单位科技部门主管领导。
各单位如聘请第三方机构进行安全评估,应报总行科技司批准,且和第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参和评估过程且实施监督。
各单位应妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
安全审计
各单位科技部门在支持和配合内审部门开展审计信息安全工作的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上壹级单位主管领导。
各单位应做好操作系统、数据库管理系统等审计功能配置管理,应完整保留相关日志记录,壹般保留至少壹个月,涉及资金交易的业务系统日志应根据需要确定保留时间。
奖励和处罚
各单位每年应组织壹次本单位和辖内信息安全管理工作评比活动,对达标单位的相关人员应给予壹定的奖励,对表现突出的单位和个人进行通报表彰且给予壹定形式的奖励。
对于违反本规定,造成重大信息安全事件的单位及个人,要给予通报批评;情节严重的,依据相关法律法规,追究其主管领导、相关部门负责人及直接责任人的责任;构成犯罪的,依法追究刑事责任。
附则
人民银行之前发布的其他信息安全管理制度有关规定条款如和本规定不壹致的,按本规定执行。
本规定由总行负责解释。
本规定自发布之日起执行。
~
~感谢阅读~
1、
1、鸣筝金粟柱,素手玉房前。
TIME \@ "yy.M.d" 20.6.29 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm:ss" 12:46:27 DATE \@ "MMM-yy" Jun-20 DATE \@ "HH:mm" 12:46
2、宫中艳丽的花儿在寂寞寥落中开放。
TIME \@ "EEEE年O月A日" 二〇二〇年六月二十九日 TIME \@ "yyyy年M月d日星期W" 2020年6月29日星期一
3、幸存的几个满头白发的宫女。
DATE \@ "HH:mm" 12:46 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm:ss" 12:46:27 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "M.d.yyyy" 6.29.2020
4、闲坐无事只能谈论着玄宗轶事。
DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm:ss" 12:46:27 DATE \@ "HH:mm:ss" 12:46:27
5、皇帝在京城之外的宫殿。
DATE \@ "MMMM yy" June 20 DATE \@ "dddd, MMMM d, yyyy" Monday, June 29, 2020 DATE \@ "M/d/yyyy" 6/29/2020
6、这里指当时东都洛阳的皇帝行宫上阳宫。
TIME \@ "h时m分" 12时46分 TIME \@ "h时m分" 12时46分 DATE \@ "d-MMM-yy" 29-Jun-20 DATE \@ "M.d.yyyy" 6.29.2020
7、行宫里的花。
TIME \@ "yy.M.d" 20.6.29 TIME \@ "yy.M.d" 20.6.29 TIME \@ "yy.M.d" 20.6.29。
TIME \@ "yyyy年M月d日星期W" 2020年6月29日星期一 TIME \@ "EEEE年O月A日" 二〇二〇年六月二十九日
8、一些宫女天宝末年被“潜配”到上阳宫。
DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm:ss" 12:46:27 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "dddd, MMMM d, yyyy" Monday, June 29, 2020
1、在这冷宫里一闭四十多年。
TIME \@ "yy.M.d" 20.6.29 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm:ss" 12:46:27 DATE \@ "MMM-yy" Jun-20 DATE \@ "HH:mm" 12:46
2、成了白发宫人。
TIME \@ "EEEE年O月A日" 二〇二〇年六月二十九日 TIME \@ "yyyy年M月d日星期W" 2020年6月29日星期一
3、白日依山尽。
DATE \@ "HH:mm" 12:46 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm:ss" 12:46:27 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "M.d.yyyy" 6.29.2020
4、黄河入海流。
DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm:ss" 12:46:27 DATE \@ "HH:mm:ss" 12:46:27
5、欲穷千里目。
DATE \@ "MMMM yy" June 20 DATE \@ "dddd, MMMM d, yyyy" Monday, June 29, 2020 DATE \@ "M/d/yyyy" 6/29/2020
6、夕阳依傍着山峦慢慢沉落。
TIME \@ "h时m分" 12时46分 TIME \@ "h时m分" 12时46分 DATE \@ "d-MMM-yy" 29-Jun-20 DATE \@ "M.d.yyyy" 6.29.2020
7、滔滔黄河朝着大海汹涌奔流。
TIME \@ "yy.M.d" 20.6.29 TIME \@ "yy.M.d" 20.6.29 TIME \@ "yy.M.d" 20.6.29。
TIME \@ "yyyy年M月d日星期W" 2020年6月29日星期一 TIME \@ "EEEE年O月A日" 二〇二〇年六月二十九日
8、想要看到千里之外的风光。
DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm:ss" 12:46:27 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "dddd, MMMM d, yyyy" Monday, June 29, 2020
1、那就要再登上更高的一层城楼。
TIME \@ "yy.M.d" 20.6.29 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm:ss" 12:46:27 DATE \@ "MMM-yy" Jun-20 DATE \@ "HH:mm" 12:46
2、旧址在山西永济县。
TIME \@ "EEEE年O月A日" 二〇二〇年六月二十九日 TIME \@ "yyyy年M月d日星期W" 2020年6月29日星期一
3、楼高三层,前对中条山。
DATE \@ "HH:mm" 12:46 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm:ss" 12:46:27 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "M.d.yyyy" 6.29.2020
4、下临黄河。传说常有鹳雀在此停留。
DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm:ss" 12:46:27 DATE \@ "HH:mm:ss" 12:46:27
5、故有此名。
DATE \@ "MMMM yy" June 20 DATE \@ "dddd, MMMM d, yyyy" Monday, June 29, 2020 DATE \@ "M/d/yyyy" 6/29/2020
6、消失。
这句话是说太阳依傍山峦沉落。
TIME \@ "h时m分" 12时46分 TIME \@ "h时m分" 12时46分 DATE \@ "d-MMM-yy" 29-Jun-20 DATE \@ "M.d.yyyy" 6.29.2020
7、想要得到某种东西或达到某种目的的愿望。
TIME \@ "yy.M.d" 20.6.29 TIME \@ "yy.M.d" 20.6.29 TIME \@ "yy.M.d" 20.6.29。
TIME \@ "yyyy年M月d日星期W" 2020年6月29日星期一 TIME \@ "EEEE年O月A日" 二〇二〇年六月二十九日
8、但也有希望、想要的意思。
DATE \@ "HH:mm" 12:46 DATE \@ "HH:mm:ss" 12:46:27 DATE \@ "M.d.yyyy" 6.29.2020 DATE \@ "dddd, MMMM d, yyyy" Monday, June 29, 2020
(责任编辑:单位文秘网) )地址:https://www.kgf8887.com/show-146-12915-1.html
版权声明:
本站由单位文秘网原创策划制作,欢迎订阅或转载,但请注明出处。违者必究。单位文秘网独家运营 版权所有 未经许可不得转载使用