公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理辦法
(2023年4月24日交通運(yùn)輸部令2023年第4號(hào)公布 自2023年6月1日起施行)
第一章??總?? 則
第一條 為了保障公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全,維護(hù)網(wǎng)絡(luò)安全,根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律、行政法規(guī),制定本辦法。
第二條 公路水路關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)和監(jiān)督管理工作,適用本辦法。
前款所稱公路水路關(guān)鍵信息基礎(chǔ)設(shè)施是指在公路水路領(lǐng)域,一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生和公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。
第三條 交通運(yùn)輸部負(fù)責(zé)全國(guó)公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理。對(duì)在全國(guó)范圍運(yùn)營(yíng)以及其他經(jīng)交通運(yùn)輸部評(píng)估明確由部管理的公路水路關(guān)鍵信息基礎(chǔ)設(shè)施(以下統(tǒng)稱部級(jí)設(shè)施),由交通運(yùn)輸部具體實(shí)施安全保護(hù)和監(jiān)督管理工作。
省級(jí)人民政府交通運(yùn)輸主管部門按照職責(zé)對(duì)本行政區(qū)域內(nèi)運(yùn)營(yíng)的公路水路關(guān)鍵信息基礎(chǔ)設(shè)施(以下統(tǒng)稱省級(jí)設(shè)施)具體實(shí)施安全保護(hù)和監(jiān)督管理。
交通運(yùn)輸部和省級(jí)人民政府交通運(yùn)輸主管部門以下統(tǒng)稱交通運(yùn)輸主管部門。
第四條 公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)堅(jiān)持強(qiáng)化和落實(shí)公路水路關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(以下簡(jiǎn)稱運(yùn)營(yíng)者)主體責(zé)任,加強(qiáng)和規(guī)范交通運(yùn)輸主管部門監(jiān)督管理,充分發(fā)揮社會(huì)各方面的作用,共同保護(hù)公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全。
第五條 任何個(gè)人和組織不得實(shí)施非法侵入、干擾、破壞公路水路關(guān)鍵信息基礎(chǔ)設(shè)施的活動(dòng),不得危害公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全。
第二章??公路水路關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定
第六條 交通運(yùn)輸部負(fù)責(zé)制定和修改公路水路關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則,并報(bào)國(guó)務(wù)院公安部門備案。
制定和修改認(rèn)定規(guī)則應(yīng)當(dāng)主要考慮下列因素:
(一)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對(duì)于公路水路關(guān)鍵核心業(yè)務(wù)的重要程度;
(二)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等是否存儲(chǔ)處理國(guó)家核心數(shù)據(jù),以及網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來(lái)的危害程度;
(三)對(duì)其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。
第七條 交通運(yùn)輸部根據(jù)認(rèn)定規(guī)則負(fù)責(zé)組織認(rèn)定公路水路關(guān)鍵信息基礎(chǔ)設(shè)施,形成公路水路關(guān)鍵信息基礎(chǔ)設(shè)施清單,及時(shí)將認(rèn)定結(jié)果通知運(yùn)營(yíng)者,并通報(bào)國(guó)務(wù)院公安部門。
第八條 公路水路關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生改建、擴(kuò)建、運(yùn)營(yíng)者變更等較大變化,可能影響其認(rèn)定結(jié)果的,運(yùn)營(yíng)者應(yīng)當(dāng)及時(shí)將相關(guān)情況報(bào)告交通運(yùn)輸部。交通運(yùn)輸部自收到報(bào)告之日起3個(gè)月內(nèi)完成重新認(rèn)定,更新公路水路關(guān)鍵信息基礎(chǔ)設(shè)施清單,并通報(bào)國(guó)務(wù)院公安部門。
第九條 省級(jí)人民政府交通運(yùn)輸主管部門應(yīng)當(dāng)按照交通運(yùn)輸部的相關(guān)要求,負(fù)責(zé)組織篩選識(shí)別省級(jí)行政區(qū)域內(nèi)運(yùn)營(yíng)的公路水路關(guān)鍵信息基礎(chǔ)設(shè)施待認(rèn)定對(duì)象,并研究提出初步認(rèn)定意見報(bào)交通運(yùn)輸部。
交通運(yùn)輸部應(yīng)當(dāng)將認(rèn)定結(jié)果通知省級(jí)人民政府交通運(yùn)輸主管部門。
第三章??運(yùn)營(yíng)者責(zé)任義務(wù)
第十條 新建、改建、擴(kuò)建或者升級(jí)改造公路水路關(guān)鍵信息基礎(chǔ)設(shè)施的,安全保護(hù)措施應(yīng)當(dāng)與公路水路關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用。
運(yùn)營(yíng)者應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定對(duì)安全保護(hù)措施予以驗(yàn)證。
第十一條 運(yùn)營(yíng)者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制,保障人力、財(cái)力、物力投入。運(yùn)營(yíng)者的主要負(fù)責(zé)人對(duì)公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)負(fù)總責(zé),領(lǐng)導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和重大網(wǎng)絡(luò)安全事件處置工作,組織研究解決重大網(wǎng)絡(luò)安全問(wèn)題。
運(yùn)營(yíng)者應(yīng)當(dāng)明確管理本單位公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的具體負(fù)責(zé)人。
第十二條 運(yùn)營(yíng)者應(yīng)當(dāng)設(shè)置專門安全管理機(jī)構(gòu),明確負(fù)責(zé)人和關(guān)鍵崗位人員并進(jìn)行安全背景審查和安全技能培訓(xùn),符合要求的人員方能上崗。鼓勵(lì)網(wǎng)絡(luò)安全專門人才從事公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。
運(yùn)營(yíng)者應(yīng)當(dāng)保障專門安全管理機(jī)構(gòu)的人員配備,開展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策應(yīng)當(dāng)有專門安全管理機(jī)構(gòu)人員參與。
專門安全管理機(jī)構(gòu)的負(fù)責(zé)人和關(guān)鍵崗位人員的身份、安全背景等發(fā)生變化或者必要時(shí),運(yùn)營(yíng)者應(yīng)當(dāng)重新進(jìn)行安全背景審查。
第十三條 運(yùn)營(yíng)者應(yīng)當(dāng)保障專門安全管理機(jī)構(gòu)的運(yùn)行經(jīng)費(fèi),并依法依規(guī)嚴(yán)格規(guī)范經(jīng)費(fèi)使用和管理,防止資金擠占挪用。
重要網(wǎng)絡(luò)設(shè)施和安全設(shè)備達(dá)到使用期限的,運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先保障設(shè)施設(shè)備更新經(jīng)費(fèi)。
第十四條 運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)公路水路關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全管理,應(yīng)當(dāng)采購(gòu)依法通過(guò)檢測(cè)認(rèn)證的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品,優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù);采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全的,應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定通過(guò)安全審查。
鼓勵(lì)運(yùn)營(yíng)者從已通過(guò)云計(jì)算服務(wù)安全評(píng)估的云計(jì)算服務(wù)平臺(tái)中采購(gòu)云計(jì)算服務(wù)。
第十五條 運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)公路水路關(guān)鍵信息基礎(chǔ)設(shè)施個(gè)人信息和數(shù)據(jù)安全保護(hù),將在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)存儲(chǔ)在境內(nèi)。因業(yè)務(wù)需要,確需向境外提供數(shù)據(jù)的,應(yīng)當(dāng)按照國(guó)家相關(guān)規(guī)定進(jìn)行安全評(píng)估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定執(zhí)行。
第十六條?公路水路關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保護(hù)等級(jí)應(yīng)當(dāng)不低于第三級(jí)。
運(yùn)營(yíng)者應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上,對(duì)公路水路關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù),采取技術(shù)保護(hù)措施和其他必要措施,應(yīng)對(duì)網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)攻擊和違法犯罪活動(dòng),保障公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行,維護(hù)數(shù)據(jù)的完整性、保密性和可用性。
第十七條 運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)公路水路關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估,對(duì)發(fā)現(xiàn)的安全問(wèn)題及時(shí)整改。部級(jí)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)直接向交通運(yùn)輸部報(bào)送相關(guān)情況;省級(jí)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)將相關(guān)情況報(bào)經(jīng)省級(jí)人民政府交通運(yùn)輸主管部門審核后報(bào)送交通運(yùn)輸部。
第十八條 法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的公路水路關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)每年至少開展一次商用密碼應(yīng)用安全性評(píng)估。
商用密碼應(yīng)用安全性評(píng)估應(yīng)當(dāng)與公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度相銜接,避免重復(fù)評(píng)估、測(cè)評(píng)。
第十九條 運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)保密管理,按照國(guó)家有關(guān)規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者等必要人員簽訂安全保密協(xié)議,明確提供者等必要人員的技術(shù)支持和安全保密義務(wù)與責(zé)任,并對(duì)義務(wù)與責(zé)任履行情況進(jìn)行監(jiān)督。
第二十條 運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全教育培訓(xùn)制度,定期開展網(wǎng)絡(luò)安全教育培訓(xùn)和技能考核。教育培訓(xùn)的具體內(nèi)容和學(xué)時(shí)應(yīng)當(dāng)遵守國(guó)家有關(guān)規(guī)定。
第二十一條 運(yùn)營(yíng)者應(yīng)當(dāng)建設(shè)本單位網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng),對(duì)公路水路關(guān)鍵信息基礎(chǔ)設(shè)施開展全天候監(jiān)測(cè)和值班值守。
運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)本單位網(wǎng)絡(luò)安全信息通報(bào)預(yù)警力量建設(shè),依托國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制,及時(shí)收集、匯總、分析各方網(wǎng)絡(luò)安全信息,組織開展網(wǎng)絡(luò)安全威脅分析和態(tài)勢(shì)研判,及時(shí)通報(bào)預(yù)警和處置。
第二十二條 運(yùn)營(yíng)者應(yīng)當(dāng)按照國(guó)家有關(guān)要求制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,建立網(wǎng)絡(luò)安全事件應(yīng)急處置機(jī)制,加強(qiáng)應(yīng)急力量建設(shè)和應(yīng)急資源儲(chǔ)備,每年至少開展一次應(yīng)急演練,并針對(duì)應(yīng)急演練發(fā)現(xiàn)的突出問(wèn)題和漏洞隱患,及時(shí)整改加固,完善保護(hù)措施。
第二十三條 部級(jí)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時(shí),運(yùn)營(yíng)者應(yīng)當(dāng)直接向交通運(yùn)輸部、公安機(jī)關(guān)報(bào)告,并立即啟動(dòng)本單位網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。
省級(jí)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時(shí),運(yùn)營(yíng)者應(yīng)當(dāng)立即向省級(jí)人民政府交通運(yùn)輸主管部門、公安機(jī)關(guān)報(bào)告,并啟動(dòng)本單位網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。省級(jí)人民政府交通運(yùn)輸主管部門應(yīng)當(dāng)將相關(guān)情況及時(shí)報(bào)告交通運(yùn)輸部。
公路水路關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅時(shí),交通運(yùn)輸部應(yīng)當(dāng)在收到報(bào)告后,及時(shí)向國(guó)家網(wǎng)信部門、國(guó)務(wù)院公安部門報(bào)告。
第四章??保障和監(jiān)督
第二十四條 交通運(yùn)輸部應(yīng)當(dāng)制定公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃,明確保護(hù)目標(biāo)、基本要求、工作任務(wù)、具體措施。
交通運(yùn)輸主管部門、運(yùn)營(yíng)者應(yīng)當(dāng)嚴(yán)格落實(shí)公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃。
第二十五條 交通運(yùn)輸部應(yīng)當(dāng)建立公路水路關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警制度,充分利用網(wǎng)絡(luò)安全信息共享機(jī)制,及時(shí)掌握公路水路關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行狀況、安全態(tài)勢(shì),預(yù)警通報(bào)網(wǎng)絡(luò)安全威脅和隱患,指導(dǎo)做好安全防范工作。
省級(jí)人民政府交通運(yùn)輸主管部門應(yīng)當(dāng)及時(shí)掌握省級(jí)設(shè)施的運(yùn)行狀況、安全態(tài)勢(shì),并組織做好預(yù)警通報(bào)和安全防范工作。
第二十六條 交通運(yùn)輸部應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的要求,建立健全公路水路網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,定期組織應(yīng)急演練;指導(dǎo)運(yùn)營(yíng)者做好網(wǎng)絡(luò)安全事件應(yīng)對(duì)處置,并根據(jù)需要組織提供技術(shù)支持與協(xié)助。
省級(jí)人民政府交通運(yùn)輸主管部門應(yīng)當(dāng)依據(jù)前款規(guī)定組織做好本行政區(qū)域內(nèi)公路水路網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案、應(yīng)急演練相關(guān)工作,并將應(yīng)急預(yù)案、應(yīng)急演練情況及時(shí)報(bào)告交通運(yùn)輸部。省級(jí)人民政府交通運(yùn)輸主管部門應(yīng)當(dāng)指導(dǎo)省級(jí)設(shè)施運(yùn)營(yíng)者做好網(wǎng)絡(luò)安全事件應(yīng)對(duì)處置,并根據(jù)需要組織提供技術(shù)支持與協(xié)助。
第二十七條 交通運(yùn)輸主管部門應(yīng)當(dāng)定期組織開展公路水路關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測(cè),指導(dǎo)監(jiān)督運(yùn)營(yíng)者建立問(wèn)題臺(tái)賬,制定整改方案,及時(shí)整改安全隱患、完善安全措施。省級(jí)人民政府交通運(yùn)輸主管部門應(yīng)當(dāng)將檢查檢測(cè)情況及時(shí)報(bào)告交通運(yùn)輸部。
公路水路關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測(cè)應(yīng)當(dāng)在國(guó)家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)下開展,避免不必要的檢查和交叉重復(fù)檢查。檢查工作不得收取費(fèi)用,不得要求被檢查單位購(gòu)買指定品牌或者指定生產(chǎn)、銷售單位的產(chǎn)品和服務(wù)。
第二十八條 運(yùn)營(yíng)者對(duì)交通運(yùn)輸主管部門開展的網(wǎng)絡(luò)安全檢查檢測(cè)工作,以及公安、國(guó)家安全、保密行政管理、密碼管理等有關(guān)部門依法開展的公路水路關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作應(yīng)當(dāng)予以配合,并如實(shí)提供網(wǎng)絡(luò)安全管理制度、重要資產(chǎn)清單、網(wǎng)絡(luò)日志等必要的資料。
第二十九條 交通運(yùn)輸主管部門按照國(guó)家有關(guān)規(guī)定,對(duì)網(wǎng)絡(luò)安全工作不力、重大安全問(wèn)題隱患久拖不改,或者存在重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、發(fā)生重大網(wǎng)絡(luò)安全事件的運(yùn)營(yíng)者,約談單位負(fù)責(zé)人,并加大網(wǎng)絡(luò)安全監(jiān)督檢查力度。
第三十條 交通運(yùn)輸主管部門、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)及其工作人員對(duì)于在公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)過(guò)程中獲取的信息,只能用于維護(hù)網(wǎng)絡(luò)安全,并嚴(yán)格按照有關(guān)法律、行政法規(guī)的要求確保信息安全,不得泄露、出售或者非法向他人提供。
第五章??法律責(zé)任
第三十一條 運(yùn)營(yíng)者違反本辦法規(guī)定的,由交通運(yùn)輸主管部門按照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律、行政法規(guī)的規(guī)定予以處罰。
第三十二條 交通運(yùn)輸主管部門及其工作人員存在以下情形之一的,按照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律、行政法規(guī)的規(guī)定予以處分:
(一)未履行公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理職責(zé)或者玩忽職守、濫用職權(quán)、徇私舞弊的;
(二)在開展公路水路關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作中收取費(fèi)用,或者要求被檢查單位購(gòu)買指定品牌或者指定生產(chǎn)、銷售單位的產(chǎn)品和服務(wù)的;
(三)將在公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作中獲取的信息用于其他用途,或者泄露、出售、非法向他人提供的。
第六章??附?? 則
第三十三條 本辦法自2023年6月1日起施行。