第九十一条 各单位所有部门和个人应加强对移动存储设备(U盘、软盘、移动硬盘)的管理。
第九十二条 各单位应建立存储介质销毁制度,对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。
第三节 数据安全
第九十三条 本规定中所称的数据是指以电子形式存储的人民银行业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。
第九十四条 各单位业务部门负责提出数据在输入、处理、输出等不同状态下的安全需求,科技部门负责审核安全需求并提供一定的技术实现手段。
第九十五条 各单位业务部门应严格管理业务数据的增加、修改、删除等变更操作,适时进行业务数据有效性检查,按照既定备份策略执行数据备份任务,并定期测试备份数据的有效性和预演数据恢复流程。
第九十六条 各单位科技部门系统管理员负责定期导出网络和重要计算机系统日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年,妥善保管。
第九十七条 各单位业务部门应明确规定备份数据的保存时限和密级,建立备份数据销毁审批登记制度,并根据数据重要性级别分类采取相应的安全销毁措施。
第九十八条 所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的,应把口令密码密封后与数据备份介质一并妥善保管。
第四节 口令密码
第九十九条 各单位系统管理员、数据库管理员、网络管理员、业务操作人员均须设置口令密码,至少每三个月更换一次。口令密码的强度应满足不同安全性要求。
第一百条 敏感计算机系统和设备的口令密码设置应在安全的环境下进行,必要时应将口令密码笔录、密封交相关部门保管。未经科技部门主管领导许可,任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。
第一百零一条 各单位应根据实际情况在一定时限内妥善保存重要计算机系统升级改造前的口令密码。
第五节 密码技术应用管理
第一百零二条 人民银行涉密网络和计算机系统应严格按照国家密码政策规定,采用相应的加密措施。非涉密网络和信息系统应依据人民银行实际需求和统一安全策略,合理选择加密措施。
第一百零三条 各单位选用的密码产品和加密算法应符合国家相关密码管理政策规定,密码产品自身的物理和逻辑安全性应符合人民银行的相关安全要求。
第一百零四条 各单位应建立严格的密钥管理体制,选择密码管理人员必须是本单位在编的正式员工,并逐级进行备案,规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。
第一百零五条 各单位应在安全环境中进行关键密钥的备份工作,并设置遇紧急情况下密钥自动销毁功能。
第一百零六条 各类密钥应定期更换,对已泄露或怀疑泄露的密钥应及时废除,过期密钥应安全归档或定期销毁。
第十章 第三方访问和外包服务安全管理
第一节 第三方访问控制
第一百零七条 本规定所称第三方访问是指人民银行之外的单位和个人物理访问人民银行计算机房或者通过网络连接逻辑访问人民银行数据库和计算机系统等活动。
第一百零八条 各单位保密工作委员会负责涉密计算机系统和网络相关的第三方访问授权审批,各单位科技部门负责非涉密计算机系统和网络相关的第三方访问授权审批。未经人民银行授权的任何第三方访问均视为非法入侵行为。
