中国人民银行信息安全管理规章制度

银行计算机安全事件报告制度第一条为加强银行计算机安全管理，防范信息系统的技术风险，保障银行信息系统安全运行，根据《中华人民共和国计算机信息系统安全保护条例》，制定本制度。

关联法规：第二条本制度适用于人民银行、政策性银行、中资商业银行、在中华人民共和国境内的外资商业银行、城乡信用社。

第三条银行计算机安全事件的报告必须做到快速及时、客观真实，并实行归口管理、分别报告的原则。

第四条人民银行总行计算机安全主管部门，负责全国银行系统计算机安全事件的接报、汇总、通报和处置工作。

第五条人民银行当地分支机构计算机安全主管部门，负责辖区内银行系统计算机安全事件的报告、接报和处理工作。

第六条政策性银行、中资商业银行、外资商业银行、城乡信用社的计算机安全主管部门，负责本系统内计算机安全事件的报告、接报和处理工作。

第七条发生计算机犯罪案件的银行应当按照有关规定向人民银行当地监管行保卫部门报告，并同时抄报计算机安全主管部门。

第八条银行计算机安全事件具体包括：(一)信息系统软硬件故障；(二)网络通信系统故障；(三)供电系统故障；(四)系统感染计算机病毒；(五)数据处理中心遭水灾、火灾、雷击；(六)银行网络遭遇入侵或攻击；(七)信息系统敏感数据泄露；(八)信息系统数据失窃；(九)银行数据处理设备失窃。

第九条符合以下条件之一的计算机安全事件必须报告：(一)计算机信息系统中断或运行不正常超过4小时；(二)造成直接经济损失超过100万元；(三)严重威胁银行资金安全；(四)因计算机安全事件造成银行不能正常运营，且影响范围超过一个县级行政区域。

第十条计算机安全事件报告包括以下内容：(一)计算机安全事件发生的时间、地点、单位、单位负责人和联系方式；(二)计算机安全事件的类别、涉及软硬件系统的情况和事件发生的过程；(三)计算机安全事件造成的后果和影响范围；(四)计算机安全事件发生的原因；(五)责任人或涉案人员；(六)计算机安全事件发生后采取的应急措施。

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行 A、B 岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖信息安全管理工作，决策本单位及辖信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

中国人民银行办公厅关于加强征信系统查询用户信息管理的通知文章属性•【制定机关】中国人民银行•【公布日期】2017.08.02•【文号】银办发〔2017〕164号•【施行日期】2017.08.02•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国人民银行办公厅关于加强征信系统查询用户信息管理的通知银办发〔2017〕164号中国人民银行上海总部，各分行、营业管理部，各省会（首府）城市中心支行，各副省级城市中心支行；国家开发银行，各政策性银行、国有商业银行、股份制商业银行，中国邮政储蓄银行：近期，多家金融机构相继发生金融信用信息基础数据库（以下简称征信系统）查询用户和密码等信息被骗取的案件。

不法分子冒充金融机构总部工作人员，使用虚拟号段与金融机构分支机构征信业务人员进行联系，以征信系统异常、系统升级、联调测试、加强内部管理等为由，要求其提供本人查询用户和密码等信息，诈骗成功后在短时间内大量查询个人信用报告，对个人征信信息安全构成较大隐患。

为防范相关风险，保障个人征信信息安全，现就有关工作要求通知如下：一、各征信系统接入机构要高度重视征信系统用户信息泄露风险，切实做好相关风险管理工作。

上级机构管理人员不得通过电话、短信、内部通讯工具等非正式渠道，以系统升级、联调测试、系统故障等为由，要求下级机构征信业务人员提供征信系统管理员用户、查询用户信息等；提示征信系统用户不得将用户名和密码提供或出借给他人使用；征信系统接入机构工作人员不得为他人查询征信系统提供场地、网络、技术等便利。

二、各征信系统接入机构要认真开展征信系统用户信息泄露风险排查。

已发生用户信息泄露的，要认真核查用户信息泄露以来该用户的征信系统查询情况，及时将有关情况报告所在地人民银行分支机构；排查中发现涉嫌电信骗取征信系统用户信息的，要及时采取风险防范措施，并报告所在地人民银行分支机构，必要时向公安机关报案。

三、人民银行各级分支机构要进一步加强对辖区内征信系统接入机构征信系统用户安全管理，组织辖区内征信系统接入机构开展征信系统用户信息泄露风险排查，做到全面排查、不留死角，并督促其认真做好相关工作，严防个人信息泄露事件发生。

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据〈〈中华人民共和国计算机信息系统安全保护条例》、〈〈金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

附：商业银行客户信息保护的相关法律、法规、规章及规范性文件摘录一、综合类监管规定1、中华人民共和国刑法第一百七十七条规定有下列情形之一，妨害信用卡管理的，处三年以下有期徒刑或者拘役，并处或者单处一万元以上十万元以下罚金；数量巨大或者有其他严重情节的，处三年以上十年以下有期徒刑，并处二万元以上二十万元以下罚金：（一）明知是伪造的信用卡而持有、运输的，或者明知是伪造的空白信用卡而持有、运输，数量较大的；（二）非法持有他人信用卡，数量较大的；（三）使用虚假的身份证明骗领信用卡的；（四）出售、购买、为他人提供伪造的信用卡或者以虚假的身份证明骗领的信用卡的。

窃取、收买或者非法提供他人信用卡信息资料的，依照前款规定处罚。

银行或者其他金融机构的工作人员利用职务上的便利，犯第二款罪的，从重处罚。

第二百五十三条国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

2、中华人民共和国商业银行法第二十九条商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。

对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。

第三十条对单位存款，商业银行有权拒绝任何单位或者个人查询，但法律、行政法规另有规定的除外；有权拒绝任何单位或者个人冻结、扣划，但法律另有规定的除外。

3、中华人民共和国侵权责任法第二条侵害民事权益，应当依照本法承担侵权责任。

本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。

中国人民银行关于印发《中国人民银行互联网站管理办法(试行)》的通知文章属性•【制定机关】中国人民银行•【公布日期】2010.09.24•【文号】银发[2010]270号•【施行日期】2010.09.24•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】通信业正文中国人民银行关于印发《中国人民银行互联网站管理办法(试行)》的通知（2010年9月24日银发[2010]270号）人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各副省级城市中心支行，各司局，党委各部门，各直属企事业单位：现将《中国人民银行互联网站管理办法(试行)》印发给你们，请遵照执行。

附件：中国人民银行互联网站管理办法(试行)附件中国人民银行互联网站管理办法(试行)第一章总则第一条为加强中国人民银行互联网站(，以下简称人民银行网站)的管理，全面推动政府网站建设，根据《中华人民共和国政府信息公开条例》、《互联网信息服务管理办法》、《国务院办公厅关于加强政府网站建设和管理工作的意见》、《中国人民银行新闻宣传工作管理规定》、《中国人民银行突发事件应急预案管理办法》、《中国人民银行政务主动公开制度》和《中国人民银行政务公开保密审查办法》，结合中国人民银行实际，制定本办法。

第二条人民银行网站是唯一以中国人民银行名义冠名的网站。

人民银行网站是人民银行新闻发布的窗口、政务公开的平台、互动交流的桥梁和公共服务的门户网站，是中国政府网()的重要组成网站之一。

人民银行副省级城市中心支行以上分支机构及各司局、党委各部门(以下简称各单位)应充分发挥人民银行网站作用，提高人民银行履职透明度。

第三条人民银行网站采用“主网站＋子网站”两层结构的网站群模式。

人民银行主网站(以下简称主网站)为人民银行网站首页，综合反映人民银行工作信息；人民银行子网站(以下简称子网站)包括行领导子网站、英文子网站和各单位子网站，分别反映其工作信息。

各单位是人民银行网站建设和内容保障的主体。

征信业管理条例第一章总则第一条为了规范征信活动，保护当事人合法权益，引导、促进征信业健康发展，推进社会信用体系建设，制定本条例。

第二条在中国境内从事征信业务及相关活动，适用本条例。

本条例所称征信业务，是指对企业、事业单位等组织（以下统称企业）的信用信息和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动。

国家设立的金融信用信息基础数据库进行信息的采集、整理、保存、加工和提供，适用本条例第五章规定。

国家机关以及法律、法规授权的具有管理公共事务职能的组织依照法律、行政法规和国务院的规定，为履行职责进行的企业和个人信息的采集、整理、保存、加工和公布，不适用本条例。

第三条从事征信业务及相关活动，应当遵守法律法规，诚实守信，不得危害国家秘密，不得侵犯商业秘密和个人隐私。

第四条中国人民银行（以下称国务院征信业监督管理部门）及其派出机构依法对征信业进行监督管理。

县级以上地方人民政府和国务院有关部门依法推进本地区、本行业的社会信用体系建设，培育征信市场，推动征信业发展。

第二章征信机构第五条本条例所称征信机构，是指依法设立，主要经营征信业务的机构。

第六条设立经营个人征信业务的征信机构，应当符合《中华人民共和国公司法》规定的公司设立条件和下列条件，并经国务院征信业监督管理部门批准：（一）主要股东信誉良好，最近 3 年无重大违法违规记录；（二）注册资本不少于人民币5000 万元；（三）有符合国务院征信业监督管理部门规定的保障信息安全的设施、设备和制度、措施；（四）拟任董事、监事和高级管理人员符合本条例第八条规定的任职条件；（五）国务院征信业监督管理部门规定的其他审慎性条件。

第七条申请设立经营个人征信业务的征信机构，应当向国务院征信业监督管理部门提交申请书和证明其符合本条例第六条规定条件的材料。

国务院征信业监督管理部门应当依法进行审查，自受理申请之日起 60 日内作出批准或者不予批准的决定。

决定批准的，颁发个人征信业务经营许可证；不予批准的，应当书面说明理由。