近日,交通運輸部公布了《公路水路關鍵信息基礎設施安全保護管理辦法》(簡稱《管理辦法》),共6章33條,自今年6月1日起施行,切實保障公路水路關鍵信息基礎設施安全,維護網(wǎng)絡安全。
公路水路關鍵信息基礎設施(簡稱關基設施)是指在公路水路領域,一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生和公共利益的重要網(wǎng)絡設施、信息系統(tǒng)等。
2021年出臺的《關鍵信息基礎設施安全保護條例》(簡稱《條例》)對國家關基設施安全保護予以了系統(tǒng)規(guī)范。為全面貫徹落實黨中央、國務院關于加快建設交通強國的決策部署,細化落實《條例》制度規(guī)定,同時系統(tǒng)解決關基設施安全保護實踐中存在的問題,需要制定《管理辦法》,以全面保障關基設施的安全運行。
第一條 為了保障公路水路關鍵信息基礎設施安全,維護網(wǎng)絡安全,根據(jù)《中華人民共和國網(wǎng)絡安全法》《關鍵信息基礎設施安全保護條例》等法律、行政法規(guī),制定本辦法。第二條 公路水路關鍵信息基礎設施的安全保護和監(jiān)督管理工作,適用本辦法。前款所稱公路水路關鍵信息基礎設施是指在公路水路領域,一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生和公共利益的重要網(wǎng)絡設施、信息系統(tǒng)等。第三條 交通運輸部負責全國公路水路關鍵信息基礎設施安全保護和監(jiān)督管理。對在全國范圍運營以及其他經(jīng)交通運輸部評估明確由部管理的公路水路關鍵信息基礎設施(以下統(tǒng)稱部級設施),由交通運輸部具體實施安全保護和監(jiān)督管理工作。省級人民政府交通運輸主管部門按照職責對本行政區(qū)域內運營的公路水路關鍵信息基礎設施(以下統(tǒng)稱省級設施)具體實施安全保護和監(jiān)督管理。交通運輸部和省級人民政府交通運輸主管部門以下統(tǒng)稱交通運輸主管部門。第四條 公路水路關鍵信息基礎設施安全保護堅持強化和落實公路水路關鍵信息基礎設施運營者(以下簡稱運營者)主體責任,加強和規(guī)范交通運輸主管部門監(jiān)督管理,充分發(fā)揮社會各方面的作用,共同保護公路水路關鍵信息基礎設施安全。第五條 任何個人和組織不得實施非法侵入、干擾、破壞公路水路關鍵信息基礎設施的活動,不得危害公路水路關鍵信息基礎設施安全。
第六條 交通運輸部負責制定和修改公路水路關鍵信息基礎設施認定規(guī)則,并報國務院公安部門備案。制定和修改認定規(guī)則應當主要考慮下列因素:(一)網(wǎng)絡設施、信息系統(tǒng)等對于公路水路關鍵核心業(yè)務的重要程度;(二)網(wǎng)絡設施、信息系統(tǒng)等是否存儲處理國家核心數(shù)據(jù),以及網(wǎng)絡設施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度;?(三)對其他行業(yè)和領域的關聯(lián)性影響。第七條 交通運輸部根據(jù)認定規(guī)則負責組織認定公路水路關鍵信息基礎設施,形成公路水路關鍵信息基礎設施清單,及時將認定結果通知運營者,并通報國務院公安部門。第八條 公路水路關鍵信息基礎設施發(fā)生改建、擴建、運營者變更等較大變化,可能影響其認定結果的,運營者應當及時將相關情況報告交通運輸部。交通運輸部自收到報告之日起3個月內完成重新認定,更新公路水路關鍵信息基礎設施清單,并通報國務院公安部門。? ??第九條 省級人民政府交通運輸主管部門應當按照交通運輸部的相關要求,負責組織篩選識別省級行政區(qū)域內運營的公路水路關鍵信息基礎設施待認定對象,并研究提出初步認定意見報交通運輸部。交通運輸部應當將認定結果通知省級人民政府交通運輸主管部門。
第十條 新建、改建、擴建或者升級改造公路水路關鍵信息基礎設施的,安全保護措施應當與公路水路關鍵信息基礎設施同步規(guī)劃、同步建設、同步使用。運營者應當按照國家有關規(guī)定對安全保護措施予以驗證。第十一條 運營者應當建立健全網(wǎng)絡安全保護制度和責任制,保障人力、財力、物力投入。運營者的主要負責人對公路水路關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護和重大網(wǎng)絡安全事件處置工作,組織研究解決重大網(wǎng)絡安全問題。運營者應當明確管理本單位公路水路關鍵信息基礎設施安全保護工作的具體負責人。第十二條 運營者應當設置專門安全管理機構,明確負責人和關鍵崗位人員并進行安全背景審查和安全技能培訓,符合要求的人員方能上崗。鼓勵網(wǎng)絡安全專門人才從事公路水路關鍵信息基礎設施安全保護工作。? ??運營者應當保障專門安全管理機構的人員配備,開展與網(wǎng)絡安全和信息化有關的決策應當有專門安全管理機構人員參與。? ??專門安全管理機構的負責人和關鍵崗位人員的身份、安全背景等發(fā)生變化或者必要時,運營者應當重新進行安全背景審查。第十三條 運營者應當保障專門安全管理機構的運行經(jīng)費,并依法依規(guī)嚴格規(guī)范經(jīng)費使用和管理,防止資金擠占挪用。重要網(wǎng)絡設施和安全設備達到使用期限的,運營者應當優(yōu)先保障設施設備更新經(jīng)費。第十四條 運營者應當加強公路水路關鍵信息基礎設施供應鏈安全管理,應當采購依法通過檢測認證的網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品,優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務;采購網(wǎng)絡產(chǎn)品和服務可能影響國家安全的,應當按照國家網(wǎng)絡安全規(guī)定通過安全審查。鼓勵運營者從已通過云計算服務安全評估的云計算服務平臺中采購云計算服務。第十五條 運營者應當加強公路水路關鍵信息基礎設施個人信息和數(shù)據(jù)安全保護,將在我國境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)存儲在境內。因業(yè)務需要,確需向境外提供數(shù)據(jù)的,應當按照國家相關規(guī)定進行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定執(zhí)行。第十六條? 公路水路關鍵信息基礎設施的網(wǎng)絡安全保護等級應當不低于第三級。運營者應當在網(wǎng)絡安全等級保護的基礎上,對公路水路關鍵信息基礎設施實行重點保護,采取技術保護措施和其他必要措施,應對網(wǎng)絡安全事件,防范網(wǎng)絡攻擊和違法犯罪活動,保障公路水路關鍵信息基礎設施安全穩(wěn)定運行,維護數(shù)據(jù)的完整性、保密性和可用性。第十七條 運營者應當自行或者委托網(wǎng)絡安全服務機構對公路水路關鍵信息基礎設施每年至少進行一次網(wǎng)絡安全檢測和風險評估,對發(fā)現(xiàn)的安全問題及時整改。部級設施的運營者應當直接向交通運輸部報送相關情況;省級設施的運營者應當將相關情況報經(jīng)省級人民政府交通運輸主管部門審核后報送交通運輸部。第十八條 法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的公路水路關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構每年至少開展一次商用密碼應用安全性評估。商用密碼應用安全性評估應當與公路水路關鍵信息基礎設施安全檢測評估、網(wǎng)絡安全等級測評制度相銜接,避免重復評估、測評。第十九條 運營者應當加強保密管理,按照國家有關規(guī)定與網(wǎng)絡產(chǎn)品和服務提供者等必要人員簽訂安全保密協(xié)議,明確提供者等必要人員的技術支持和安全保密義務與責任,并對義務與責任履行情況進行監(jiān)督。第二十條 運營者應當制定網(wǎng)絡安全教育培訓制度,定期開展網(wǎng)絡安全教育培訓和技能考核。教育培訓的具體內容和學時應當遵守國家有關規(guī)定。第二十一條 運營者應當建設本單位網(wǎng)絡安全監(jiān)測系統(tǒng),對公路水路關鍵信息基礎設施開展全天候監(jiān)測和值班值守。運營者應當加強本單位網(wǎng)絡安全信息通報預警力量建設,依托國家網(wǎng)絡與信息安全信息通報機制,及時收集、匯總、分析各方網(wǎng)絡安全信息,組織開展網(wǎng)絡安全威脅分析和態(tài)勢研判,及時通報預警和處置。第二十二條 運營者應當按照國家有關要求制定網(wǎng)絡安全事件應急預案,建立網(wǎng)絡安全事件應急處置機制,加強應急力量建設和應急資源儲備,每年至少開展一次應急演練,并針對應急演練發(fā)現(xiàn)的突出問題和漏洞隱患,及時整改加固,完善保護措施。第二十三條 部級設施發(fā)生重大網(wǎng)絡安全事件或者發(fā)現(xiàn)重大網(wǎng)絡安全威脅時,運營者應當直接向交通運輸部、公安機關報告,并立即啟動本單位網(wǎng)絡安全事件應急預案。省級設施發(fā)生重大網(wǎng)絡安全事件或者發(fā)現(xiàn)重大網(wǎng)絡安全威脅時,運營者應當立即向省級人民政府交通運輸主管部門、公安機關報告,并啟動本單位網(wǎng)絡安全事件應急預案。省級人民政府交通運輸主管部門應當將相關情況及時報告交通運輸部。公路水路關鍵信息基礎設施發(fā)生特別重大網(wǎng)絡安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡安全威脅時,交通運輸部應當在收到報告后,及時向國家網(wǎng)信部門、國務院公安部門報告。
第二十四條 交通運輸部應當制定公路水路關鍵信息基礎設施安全規(guī)劃,明確保護目標、基本要求、工作任務、具體措施。交通運輸主管部門、運營者應當嚴格落實公路水路關鍵信息基礎設施安全規(guī)劃。第二十五條 交通運輸部應當建立公路水路關鍵信息基礎設施網(wǎng)絡安全監(jiān)測預警制度,充分利用網(wǎng)絡安全信息共享機制,及時掌握公路水路關鍵信息基礎設施運行狀況、安全態(tài)勢,預警通報網(wǎng)絡安全威脅和隱患,指導做好安全防范工作。省級人民政府交通運輸主管部門應當及時掌握省級設施的運行狀況、安全態(tài)勢,并組織做好預警通報和安全防范工作。第二十六條 交通運輸部應當按照國家網(wǎng)絡安全事件應急預案的要求,建立健全公路水路網(wǎng)絡安全事件應急預案,定期組織應急演練;指導運營者做好網(wǎng)絡安全事件應對處置,并根據(jù)需要組織提供技術支持與協(xié)助。省級人民政府交通運輸主管部門應當依據(jù)前款規(guī)定組織做好本行政區(qū)域內公路水路網(wǎng)絡安全事件應急預案、應急演練相關工作,并將應急預案、應急演練情況及時報告交通運輸部。省級人民政府交通運輸主管部門應當指導省級設施運營者做好網(wǎng)絡安全事件應對處置,并根據(jù)需要組織提供技術支持與協(xié)助。第二十七條 交通運輸主管部門應當定期組織開展公路水路關鍵信息基礎設施網(wǎng)絡安全檢查檢測,指導監(jiān)督運營者建立問題臺賬,制定整改方案,及時整改安全隱患、完善安全措施。省級人民政府交通運輸主管部門應當將檢查檢測情況及時報告交通運輸部。公路水路關鍵信息基礎設施網(wǎng)絡安全檢查檢測應當在國家網(wǎng)信部門的統(tǒng)籌協(xié)調下開展,避免不必要的檢查和交叉重復檢查。檢查工作不得收取費用,不得要求被檢查單位購買指定品牌或者指定生產(chǎn)、銷售單位的產(chǎn)品和服務。第二十八條 運營者對交通運輸主管部門開展的網(wǎng)絡安全檢查檢測工作,以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的公路水路關鍵信息基礎設施網(wǎng)絡安全檢查工作應當予以配合,并如實提供網(wǎng)絡安全管理制度、重要資產(chǎn)清單、網(wǎng)絡日志等必要的資料。第二十九條 交通運輸主管部門按照國家有關規(guī)定,對網(wǎng)絡安全工作不力、重大安全問題隱患久拖不改,或者存在重大網(wǎng)絡安全風險、發(fā)生重大網(wǎng)絡安全事件的運營者,約談單位負責人,并加大網(wǎng)絡安全監(jiān)督檢查力度。第三十條 交通運輸主管部門、網(wǎng)絡安全服務機構及其工作人員對于在公路水路關鍵信息基礎設施安全保護過程中獲取的信息,只能用于維護網(wǎng)絡安全,并嚴格按照有關法律、行政法規(guī)的要求確保信息安全,不得泄露、出售或者非法向他人提供。
第三十一條 運營者違反本辦法規(guī)定的,由交通運輸主管部門按照《關鍵信息基礎設施安全保護條例》等法律、行政法規(guī)的規(guī)定予以處罰。第三十二條 交通運輸主管部門及其工作人員存在以下情形之一的,按照《關鍵信息基礎設施安全保護條例》等法律、行政法規(guī)的規(guī)定予以處分:(一)未履行公路水路關鍵信息基礎設施安全保護和監(jiān)督管理職責或者玩忽職守、濫用職權、徇私舞弊的;(二)在開展公路水路關鍵信息基礎設施網(wǎng)絡安全檢查工作中收取費用,或者要求被檢查單位購買指定品牌或者指定生產(chǎn)、銷售單位的產(chǎn)品和服務的;(三)將在公路水路關鍵信息基礎設施安全保護工作中獲取的信息用于其他用途,或者泄露、出售、非法向他人提供的。
第三十三條 本辦法自2023年6月1日起施行。