第一百零九条 允许被第三方访问的人民银行计算机系统和资源应建立存取控制机制、认证机制,列明所有用户名单及其权限,严格监督第三方访问活动。
第一百一十条 获得第三方访问授权的所有单位和个人应与人民银行签订安全保密协议,不得进行未授权的修改、增加、删除数据操作,不得复制和泄露人民银行任何信息。
第二节 外包服务管理
第一百一十一条 本规定所称外包服务是指由人民银行之外的其他社会厂商为人民银行计算机系统、网络或桌面环境提供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议,明确约定双方义务。
第一百一十二条 经本单位科技部门领导批准,外包服务提供商可提供上门维护服务并由人民银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离人民银行。
第一百一十三条 计算机设备确需送外单位维修时,各单位科技部门应彻底清除所存工作信息,必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件,并彻底清除与密码有关的软件和信息。
第十一章 信息通报、灾难备份与应急管理
第一节 信息通报
第一百一十四条 各单位应按照人民银行信息安全事件报告制度进行信息通报,一般信息安全事件应逐级通报,发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的信息安全事件(下称“重大信息安全事件”)应直接报总行科技司。
第一百一十五条 重大信息安全事件发生后,各单位相关人员应注意保护事件现场,采取必要的控制措施,调查事件原因,并及时报告本单位主管领导。
第一百一十六条 各单位应在重大信息安全事件发生后的两小时内按规定程序报上一级科技部门,由上级科技部门决定是否发布预警信息或启动辖内应急预案。
第二节 灾难备份管理
第一百一十七条 灾难备份是指利用技术、管理手段以及相关资源,确保已有业务数据和计算机系统在地震、水灾、火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件(以下称“灾难”)发生后在规定的时间内可以恢复和继续运营的有序管理过程。
第一百一十八条 总行科技司将按照“统筹安排、资源共享、平战结合”的原则,负责人民银行重要信息系统灾难备份的统一规划、实施和管理。
第一百一十九条 总行业务司局负责提出业务系统灾难备份需求,明确可容忍的业务中断时间和数据丢失量。总行科技司据此确定灾难备份等级和备份方案。
第一百二十条 各单位应建立健全灾难恢复计划,定期开展灾难恢复培训。在条件许可的情况下,由总行相关部门统一部署,重要信息系统至少每年进行一次灾难恢复演练,包括异地备份站点切换演练和本地系统灾难恢复演练。
第三节 应急管理
第一百二十一条 应急预案是针对可能发生的意外事件并可能导致业务差错和停顿,甚至系统混乱、崩溃等灾难而采取的应对策略、措施的有机集合。
第一百二十二条 在计算机系统推广应用方案中应同时设计应急备份策略,同步实施备份方案。
第一百二十三条 各单位应制定和不断完善网络、计算机系统和机房环境等应急预案。预案的编制工作由相关业务部门和科技部门共同完成。
第一百二十四条 应急预案应包括以下基本内容:
