第七十条 重要计算机信息系统立项的安全管理实行审批制度。对项目管理部门初审合格的项目申报材料,计算机安全管理部门应进行安全性专项审查,提出审查意见后由项目管理部门最后审批。
第七十一条 项目申报材料在符合电子化项目管理规定有关要求的同时,还应包括以下与信息系统安全有关的内容:
(一)业务主管部门对保证业务正常开展的安全需求;
(二)系统的安全性指标;
(三)系统运行平台的安全性要求;
(四)系统采取的安全策略、安全保护措施及其安全功能设计;
(五)涉密信息系统的申报还应取得同级或上级保密部门的同意。
第七十二条 对没有通过计算机安全管理部门审查的项目,项目管理部门不得予以立项。
第二节 系统开发的安全管理
第七十三条 计算机信息系统的开发必须符合软件工程规范,并在软件开发的各阶段按照安全管理目标进行管理和实施。
第七十四条 计算机信息系统的开发人员或参加开发的协作单位应经过严格资格审查,并签订保密协议书,承诺其负有的安全保密责任和义务。
第七十五条 计算机信息系统的开发环境和现场应当与生产环境和现场隔离。
第七十六条 计算机信息系统开发完成后,开发人员或参加开发的外部单位应及时移交程序源代码及其相关技术文档。
第七十七条 计算机信息系统采用的关键安全技术措施和核心安全功能设计不得进行公开学术交流或发表。
第三节 系统安全的评估与审批
第七十八条 计算机信息系统投入运行前,应向计算机安全管理部门提出安全评估和审批申请,并报送下列材料:
(一)系统的用途、总体结构及软硬件配置等基本情况;
(二)关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明;
(三)系统安全性测试提纲和测试报告;
(四)填制的《银行计算机应用系统安全评估和审批报告书》。
第七十九条 计算机安全管理部门应当对计算机信息系统主管部门(单位)报送的书面材料进行初步审查。初审合格后,委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组,对信息系统进行安全性测试、认证。
第八十条 对信息系统的安全评估应当包括以下内容:
(一)系统的安全策略;
(二)系统的安全措施;
(三)系统安全功能的实现程度;
(四)系统运行的稳定性、可靠性;
(五)系统运行平台的安全可靠性。
第八十一条 安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告,并填制《银行计算机应用系统安全评估和审批报告书》。
第八十二条 计算机安全管理部门应对系统安全评估报告进行审查。对符合安全运行要求的,颁发《中国人民银行计算机信息系统安全许可证》。
第八十三条 计算机信息系统获得《中国人民银行计算机信息系统安全许可证》后方可投入运行。对不能保证安全运行的,经修改完善后另行申报评估。
