中国人民银行信息安全管理规定 第一章 总则 第一条 为强化人民银行信息安全管理，防范计算机信息技术风 险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华 人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系 统安全保护工作暂行规定》等规定，特制定本规定。 第二条 本规定所称信息安全管理，是指在人民银行信息化项目立 项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、 环境、网络和操作安全的一系列管理活动。 第三条 人民银行信息安全管理工作实行统一领导和分级管理。总 行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关 的信息安全管理。分支机构负责本单位和辖内的信息安全管理，各直属 企事业单位负责本单位的信息安全管理。 第四条 人民银行信息安全管理实行分管领导负责制，按照“谁主 管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个 人信息安全责任制。 第五条 本规定适用于人民银行总行机关、各分支机构和直属企事 业单位（以下统称“各单位”）。所有使用人民银行网络或信息资源的 其他外部机构和个人均应遵守本规定。 第二章 组织保障 第六条 各单位应设立由本单位领导和相关部门主要负责人组成 的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本 单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。 第七条 各单位科技部门应设立信息安全管理部门或岗位。总行机 关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心 支行科技部门配备专职信息安全管理人员，实行 A、B 岗制度；地（市） 中心支行和县（市）支行设立信息安全管理岗位。 - 1 - 第八条 除科技部门外，各单位其他部门均应指定至少一名部门计 算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息 安全管理工作。 第三章 人员管理 第九条 各单位工作人员根据不同的岗位或工作范围，履行相应的 信息安全保障职责。 第一节 信息安全管理人员 第十条 各单位应选派政治思想过硬、具有较高计算机水平的人员 从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定 受到过处罚或处分的人员，不得从事此项工作。 第十一条 各单位信息安全管理人员应经过总行或分行、营业管 理部、省会（首府）城市中心支行组织的专业培训与审核，培训与审核 合格后方可上岗。上岗后，每年至少参加一次信息安全专业培训。 第十二条 各单位信息安全管理人员在如下职责范围内开展本单 位信息安全管理工作： （一） 组织落实上级信息安全管理规定，制定信息安全管理制 度，协调部门计算机安全员工作，监督检查信息安全保障工作。 （二） 审核信息化建设项目中的安全方案，组织实施信息安全保 障项目建设，维护、管理信息安全专用设施。 （三） 检测网络和信息系统的安全运行状况，检查运行操作、备 份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并 提出整改意见。统计分析和协调处置信息安全事件。 （四） 定期组织信息安全宣传教育活动，开展信息安全检查、评 估与培训工作。 第十三条 信息安全管理人员在履行职责时，确因工作需要查询 相关涉密信息，须经本单位主管同意后向保密工作委员会办公室提交申 请，获得批准后方可查询。 第十四条 信息安全管理人员实行备案管理制度。信息安全管理 - 2 - 人员的配备和变更情况应及时报上一级科技部门备案。信息安全管理人 员调离原岗位时应办理交接手续，并履行其调离后的保密义务。 第二节 部门计算机安全员 第十五条 各部门应指派素质好、较熟悉计算机知识的人员担任 部门计算机安全员，并报本单位科技部门备案。如有变更应做好交接工 作，并及时通报科技部门。 第十六条 部门计算机安全员配合信息安全管理人员工作，并参 加各项信息安全技能培训。 第十七条 部门计算机安全员在如下职责范围内开展工作： （一） 负责本部门计算机病毒防治工作，监督检查本部门客户端 安全管理情况。 （二） 负责提出本部门信息安全保障需求，及时与信息安全管理 人员沟通信息安全信息。 （三） 负责本部门国际互联网使用和接入安全管理，组织开展本 部门信息安全自查，协助科技部门完成对本部门的信息安全检查工作。 第三节 技术支持人员 第十八条 本规定所称技术支持人员，是指参与人民银行网络、 计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包 服务人员。 第十九条 人民银行内部技术支持人员在履行网络和信息系统建 设和日常运行维护职责过程中，应承担如下安全义务： （一）不得对外泄漏或引用工作中触及的任何敏感信息。严格权 限访问，未经业务主管部门授权不得擅自改变系统设置或修改系统生成 的任何数据。 （二）主动检查和监控生产系统安全运行状况，发现安全隐患或 故障及时报告本部门主管领导，并及时响应、处置。 （三）严格操作管理、测试管理、应急管理、配置管理、变更管 理、档案管理等工作制度，做好数据备份工作。 - 3 - 第二十条 外部技术支持人员应严格履行外包服务合同（协议） 的各项安全承诺。提供技术服务期间，严格遵守人民银行相关安全规定 与操作规程，关键操作应经授权，并有人民银行内部员工在场。不得拷 贝或带走任何配置参数信息或业务数据，不得对外泄漏或引用任何工作 信息。 第四节 业务系统操作人员 第二十一条 本规定所称业务系统操作人员是指直接操作业务系统 进行业务处理的业务部门工作人员。 第二十二条 业务系统操作人员应承担如下安全义务： （一） 严格规程操作，防止误操作。定期修改操作密码并妥善保 管，按需、适时进行必要的数据备份。 （二） 发现业务系统出现异常及时报告科技部门。 （三） 不得在操作终端上安装与业务系统无关的软件和硬件，不 得擅自修改业务系统及其运行环境参数设置。 第二十三条 业务系统操作应按照“权限分散、不得交叉任职”原 则，严格进行操作角色划分和授权管理。技术支持人员不得兼任业务系 统操作人员。 第五节 一般计算机用户 第二十四条 本规定所称一般计算机用户是指使用计算机设备的所 有人员。 第二十五条 一般计算机用户应承担如下安全义务： （一） 及时更新所用计算机的病毒防治软件和安装补丁程序，自 觉接受本部门计算机安全员的指导与管理。 （二） 不得安装与办公和业务处理无关的其他计算机软件和硬 件，不得修改系统和网络配置参数。 （三） 未经科技部门检测和授权，不得将接入人民银行内部网络 的所用计算机转接入国际互联网；不得将便携式计算机接入人民银行内 部网络；不得随意将个人计算机带入机房或私自拷贝任何信息。 - 4 - 第四章 机房环境和设备资产管理 第一节 机房安全管理 第二十六条 本规定所称机房是指计算机系统等主要设备放置、运 行场所以及供配电、通信、空调、消防、监控等配套环境设施。 第二十七条 各单位机房的规划、建设、改造、运行、维护由科技 部门负责，相关设备采购纳入政府集中采购。机房的消防、视频监视录 像、防雷、门禁等子系统的规划、建设、运行和维护由科技部门和保卫 部门协商确定。 第二十八条 各单位原则上只建设一个符合国家计算机机房有关标 准和人民银行相关规定的计算机机房，为所有业务部门提供机房基础设 施服务。 第二十九条 机房建设、改造的方案应报上一级科技部门备案。必 要时，由上一级机构科技部门会同会计、保卫等部门进行审核。 第三十条 机房建设或改造应选择具有国家建筑装修装饰工程专 业承包资质、两年以上从事计算机机房设计与施工经验的专业化公司， 其中总行、分行、营业管理部、省会（首府）城市中心支行、计划单列 市中心支行的机房建设或改造应选择具有国家贰级或贰级以上资质同 时具有三年以上专业从事计算机机房装修装饰经验的专业公司。重要机 房建设或改造工程应引入监理制度。 第三十一条 总行、分行、营业管理部、省会（首府）城市中心支 行应建立机房设施与场地环境监控系统，对机房空调、消防、不间断电 源（UPS）、供配电、门禁系统等重要设施实行全面监控。 第三十二条 各单位机房投入使用前，应经过当地公安消防部门的 消防验收和本单位科技、保卫与会计部门组织的验收，并出具明确结论 的验收报告。未经验收或验收不合格的机房均不得投入使用。 第三十三条 各单位应建立健全机房管理制度，并指派专人担任机 房管理员，落实机房安全责任制。机房管理员应经过相关专业培训，熟 知机房各类设备的分布和操作要领，定期巡查机房，发现问题及时报告。 - 5 - 机房管理员负责保管机房建设或改造的所有文档、图纸以及机房运行记 录等有关资料，并随时提供调阅。 第三十四条 建立机房定期维修保养制度。易受季节、温度等环境 因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养 的重点。 第二节 柜面和核心业务处理环境安全管理 第三十五条 向社会提供公众服务的柜面和核心业务处理环境应严 格出入安全管理，应安装门禁、防入侵报警、视频监视录像系统，实行 定时录像监控，并适当配置自动监控报警功能。 第三十六条 所有门禁、防入侵报警、视频监视录像系统的信息资 料由专人保存至少三个月。 第三节 设备资产管理 第三十七条 各单位科技部门应建立完备的计算机设备登记制度， 严格资产管理，明确计算机设备使用者或管理者及其安全责任。 第三十八条 各单位科技部门应根据计算机设备重要程度采取不同 的安全保护措施，制定完善的访问控制策略，防止未经授权使用设备或 信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区，必要 时，单独建立门禁与监控系统，或配备防电磁泄漏的屏蔽装置等。 第五章 第一节 网络安全管理 网络规划、建设中的安全管理 第三十九条 总行科技司负责网络和网络安全的统一规划、建设部 署、策略配置和网络资源（网络设备、通讯线路、IP 地址和域名等） 分配。 第四十条 各单位科技部门按照总行科技司的统一规划和总体部 署，组织实施网络建设、改造工程。各单位局域网的建设与改造方案应 报上一级科技部门审核、备案，投产前应通过本单位组织的安全测试。 第四十一条 各单位的网络建设和改造应符合如下基本安全要求： (一) 符合人民银行网络安全管理要求，保障网络传输与应用安全。 - 6 - (二) 具备必要的网络监测、跟踪和审计等管理功能。 (三) 针对不同的网络安全域，采取必要的安全隔离措施。 第二节 网络运行安全管理 第四十二条 各单位科技部门应建立健全网络安全运行制度，配备 专（兼）职网络管理员。网络管理员负责日常监测和检查网络安全运行 状况，管理网络资源及其配置信息，建立健全网络运行维护档案，及时 发现和解决网络异常情况。 第四十三条 网络