近日,交通運輸部公布了(le)《公路水(shuǐ)路關鍵信(xìn)息基礎設施安全保(bǎo)護管理辦法》(簡稱《管理辦法(fǎ)》),共6章33條,自今年6月1日起(qǐ)施行,切實(shí)保障公路(lù)水路關鍵信息基礎設施安全(quán),維護網絡安全(quán)。
公路水路(lù)關鍵信息(xī)基礎設施(shī)(簡稱關基設施)是指在公(ɡōnɡ)路水路領域,一旦遭到(dào)破壞、喪失功(ɡōnɡ)能或者數據泄露,可能嚴重(zhònɡ)危害國家(jiā)安全、國計民(mín)生和公共(ɡònɡ)利益的重(zhònɡ)要網絡設施、信息(xī)系統等。
2021年出臺的(de)《關鍵信(xìn)息基礎設施安全保(bǎo)護條例》(簡稱《條例》)對國家關基設施安(ān)全保護予(yǔ)以了系統規范。為全面(miàn)貫徹落實(shí)黨中央、國務院(yuàn)關于加快(kuài)建設交通(tōnɡ)強國的決(jué)策部署,細化落(luò)實《條例(lì)》制度規定,同時系(xì)統解決關基設施安(ān)全保護實(shí)踐中存在(zài)的問題,需要制定(dìnɡ)《管理辦法》,以全面保(bǎo)障關基設施的安全(quán)運行。
公路水路(lù)關鍵信息(xī)基礎設施(shī)安全保護管理辦法(fǎ)第一條 為了(le)保障公路(lù)水路關鍵信息基礎設施安全(quán),維護網絡安全(quán),根據《中華人(rén)民共和國網絡安全(quán)法》《關鍵信息基(jī)礎設施安(ān)全保護條(tiáo)例》等法(fǎ)律、行政法規,制定本(běn)辦法。第二條 公路(lù)水路關鍵信息基礎設施的安(ān)全保護和(hé)監督管理(lǐ)工作,適用本辦法(fǎ)。前款所稱公路水路(lù)關鍵信息(xī)基礎設施(shī)是指在公(ɡōnɡ)路水路領域,一(yī)旦遭到破(pò)壞、喪失功能(nénɡ)或者數據泄露,可能(nénɡ)嚴重危害(hài)國家安全(quán)、國計民(mín)生和公共(ɡònɡ)利益的重(zhònɡ)要網絡設施、信(xìn)息系統等(děnɡ)。第三條 交通(tōnɡ)運輸部負責全國公(ɡōnɡ)路水路關鍵信息基(jī)礎設施安(ān)全保護和(hé)監督管理(lǐ)。對在(zài)全國范圍運營以及(jí)其他經交(jiāo)通運輸部(bù)評估明確由部管理(lǐ)的公路水(shuǐ)路關鍵信(xìn)息基礎設施(以下(xià)統稱部級設施),由交通(tōnɡ)運輸部具(jù)體實施安(ān)全保護和(hé)監督管理(lǐ)工作。省級人民(mín)政府交通(tōnɡ)運輸主管(ɡuǎn)部門按照(zhào)職責對本(běn)行政區域內運營的(de)公路水路(lù)關鍵信息(xī)基礎設施(shī)(以下統稱省級設施)具體實施安全(quán)保護和監督管理。交通運輸部和省級人民政府(fǔ)交通運輸主管部門以下統稱交通運輸主管部門。第四條 公路(lù)水路關鍵信息基礎設施安全(quán)保護堅持(chí)強化和落(luò)實公路水(shuǐ)路關鍵信(xìn)息基礎設施運營者(zhě)(以下簡稱運營者(zhě))主體責任,加(jiā)強和規范(fàn)交通運輸主管部門監督管理(lǐ),充分發(fā)揮社會各(ɡè)方面的作(zuò)用,共同(tónɡ)保護公路(lù)水路關鍵信息基礎設施安全(quán)。第五條 任何(hé)個人和組織不得實(shí)施非法侵(qīn)入、干擾、破壞公路(lù)水路關鍵信息基礎設施的活(huó)動,不得危害(hài)公路水路(lù)關鍵信息(xī)基礎設施(shī)安全。
第二章? 公路水(shuǐ)路關鍵信(xìn)息基礎設施認定第六條 交通(tōnɡ)運輸部負責制定和(hé)修改公路(lù)水路關鍵信息基礎設施認定(dìnɡ)規則,并報國務院公安(ān)部門備案(àn)。制定和修(xiū)改認定規則應當主要考慮下(xià)列因素:(一)網絡設施、信息(xī)系統等對于公路水(shuǐ)路關鍵核(hé)心業務的(de)重要程度(dù);(二)網絡設施、信息系統等是否存(cún)儲處理國家核心數據,以及(jí)網絡設施(shī)、信息(xī)系統等一(yī)旦遭到破(pò)壞、喪失功能或(huò)者數據泄(xiè)露可能帶來的危害(hài)程度;?(三)對其他行業(yè)和領域的(de)關聯性影(yǐnɡ)響。第七條 交通(tōnɡ)運輸部根(ɡēn)據認定規則負責組織認定公(ɡōnɡ)路水路關鍵信息基(jī)礎設施,形成公路(lù)水路關鍵信息基礎設施清單,及時(shí)將認定結果通知運營者,并通報國務院公安(ān)部門。第八條 公路(lù)水路關鍵信息基礎設施發生(shēnɡ)改建、擴(kuò)建、運營者變更(ɡènɡ)等較大變化,可(kě)能影響其(qí)認定結果(ɡuǒ)的,運營者應當(dānɡ)及時將相(xiānɡ)關情況報告交通運輸部。交(jiāo)通運輸部(bù)自收到報告之日起(qǐ)3個月內完成重新(xīn)認定,更新公路(lù)水路關鍵信息基礎設施清單,并(bìnɡ)通報國務院公安部(bù)門。? ??第九條 省級人民政府(fǔ)交通運輸主管部門應當按照(zhào)交通運輸部的相關要求,負責組織篩選識別省級行政區域內運營的(de)公路水路(lù)關鍵信息(xī)基礎設施(shī)待認定對象,并研(yán)究提出初(chū)步認定意(yì)見報交通(tōnɡ)運輸部。交通運輸部應當將認定結果(ɡuǒ)通知省級人民政府(fǔ)交通運輸主管部門。
第十條 新建(jiàn)、改建、擴建或(huò)者升級改(ɡǎi)造公路水(shuǐ)路關鍵信(xìn)息基礎設施的,安全保護措施應當(dānɡ)與公路水(shuǐ)路關鍵信(xìn)息基礎設施同步規劃、同步建設、同步(bù)使用。運營者應當按照國家有關規定對安全(quán)保護措施(shī)予以驗證。第十一條(tiáo) 運營(yínɡ)者應當建(jiàn)立健全網絡安全保(bǎo)護制度和(hé)責任制,保(bǎo)障人力、財力、物力(lì)投入。運營(yínɡ)者的主要(yào)負責人對公路水路(lù)關鍵信息(xī)基礎設施(shī)安全保護負總責,領導關鍵信息(xī)基礎設施(shī)安全保護和重大網絡安全事(shì)件處置工(ɡōnɡ)作,組織研(yán)究解決重(zhònɡ)大網絡安(ān)全問題。運營者應當明確管(ɡuǎn)理本單位(wèi)公路水路(lù)關鍵信息(xī)基礎設施(shī)安全保護工作的具(jù)體負責人(rén)。第十二條(tiáo) 運營(yínɡ)者應當設置專門安(ān)全管理機(jī)構,明確負責人和關鍵崗位人(rén)員并進行(xínɡ)安全背景(jǐnɡ)審查和安(ān)全技能培(péi)訓,符合要(yào)求的人員(yuán)方能上崗(ɡǎnɡ)。鼓勵網絡安全專門人才從事公路水(shuǐ)路關鍵信(xìn)息基礎設施安全保(bǎo)護工作。? ??運營者應當保障專門安全管(ɡuǎn)理機構的(de)人員配備,開展(zhǎn)與網絡安(ān)全和信息(xī)化有關的(de)決策應當(dānɡ)有專門安(ān)全管理機(jī)構人員參與。? ??專門安全(quán)管理機構(ɡòu)的負責人(rén)和關鍵崗(ɡǎnɡ)位人員的(de)身份、安全背景(jǐnɡ)等發生變化或者必(bì)要時,運營者應當(dānɡ)重新進行(xínɡ)安全背景(jǐnɡ)審查。第十三條(tiáo) 運營(yínɡ)者應當保(bǎo)障專門安(ān)全管理機(jī)構的運行(xínɡ)經費,并依法依(yī)規嚴格規范經費使(shǐ)用和管理(lǐ),防止資金擠(jǐ)占挪用。重要網絡設施和安(ān)全設備達到使用期(qī)限的,運營者應當(dānɡ)優先保障(zhànɡ)設施設備更新經費。第十四條(tiáo) 運營(yínɡ)者應當加(jiā)強公路水(shuǐ)路關鍵信(xìn)息基礎設施供應鏈安全管理(lǐ),應當采購依法通過檢測認證的網絡關鍵設備和(hé)網絡安全(quán)專用產品(pǐn),優先(xiān)采購安全(quán)可信的網絡產品和(hé)服務;采購網絡產品和服(fú)務可能影(yǐnɡ)響國家安(ān)全的,應當按照國家網絡安(ān)全規定通(tōnɡ)過安全審(shěn)查。鼓勵運營(yínɡ)者從已通(tōnɡ)過云計算(suàn)服務安全(quán)評估的云(yún)計算服務平臺中采(cǎi)購云計算(suàn)服務。第十五條(tiáo) 運營(yínɡ)者應當加(jiā)強公路水(shuǐ)路關鍵信(xìn)息基礎設施個人信(xìn)息和數據安全保護,將在我國境(jìnɡ)內運營中(zhōnɡ)收集和產(chǎn)生的個人(rén)信息和重(zhònɡ)要數據存(cún)儲在境內。因業務需要,確需向境(jìnɡ)外提供數據的,應當按照(zhào)國家相關規定進行(xínɡ)安全評估(ɡū);法律(lǜ)、行政法(fǎ)規另有規定的,依照其規定執行。第十六條(tiáo)? 公路(lù)水路關鍵信息基礎設施的網絡安全保(bǎo)護等級應當不低于(yú)第三級。運營者應當在網絡安全等級保護的基(jī)礎上,對公(ɡōnɡ)路水路關鍵信息基(jī)礎設施實(shí)行重點保(bǎo)護,采(cǎi)取技術保(bǎo)護措施和(hé)其他必要(yào)措施,應對網絡安全事(shì)件,防范網絡攻擊和違法犯罪活(huó)動,保(bǎo)障公路水(shuǐ)路關鍵信(xìn)息基礎設施安全穩定運行,維護數據的(de)完整性、保(bǎo)密性和可(kě)用性。第十七條(tiáo) 運營(yínɡ)者應當自(zì)行或者委(wěi)托網絡安(ān)全服務機(jī)構對公路(lù)水路關鍵信息基礎設施每年(nián)至少進行(xínɡ)一次網絡安全檢測(cè)和風險評估,對發現的安(ān)全問題及(jí)時整改。部(bù)級設施的(de)運營者應當直接向(xiànɡ)交通運輸部報送相(xiānɡ)關情況;省級設施(shī)的運營者(zhě)應當將相(xiānɡ)關情況報經省級人(rén)民政府交(jiāo)通運輸主管部門審(shěn)核后報送(sònɡ)交通運輸部。第十八條(tiáo) 法律(lǜ)、行政法(fǎ)規和國家(jiā)有關規定(dìnɡ)要求使用(yònɡ)商用密碼進行保護的公路水(shuǐ)路關鍵信(xìn)息基礎設施,其(qí)運營者應當使用商(shānɡ)用密碼進行保護,自行或者(zhě)委托商用(yònɡ)密碼檢測(cè)機構每年(nián)至少開展(zhǎn)一次商用(yònɡ)密碼應用(yònɡ)安全性評估。商用密碼應用安全(quán)性評估應當與公路(lù)水路關鍵信息基礎設施安全(quán)檢測評估(ɡū)、網絡安全等級測評制度(dù)相銜接,避免重復評估、測評。第十九條(tiáo) 運營(yínɡ)者應當加(jiā)強保密管(ɡuǎn)理,按(àn)照國家有(yǒu)關規定與網絡產品(pǐn)和服務提(tí)供者等必(bì)要人員簽訂安全保(bǎo)密協議,明(mínɡ)確提供者(zhě)等必要人(rén)員的技術支持和安(ān)全保密義務與責任(rèn),并(bìnɡ)對義務與責任履行(xínɡ)情況進行(xínɡ)監督。第二十條(tiáo) 運營(yínɡ)者應當制(zhì)定網絡安(ān)全教育培(péi)訓制度,定期開展網絡安(ān)全教育培(péi)訓和技能(nénɡ)考核。教育培訓的具體內容和學時(shí)應當遵守(shǒu)國家有關規定。第二十一(yī)條 運營(yínɡ)者應當建(jiàn)設本單位(wèi)網絡安全(quán)監測系統,對公(ɡōnɡ)路水路關鍵信息基(jī)礎設施開展全天候(hòu)監測和值(zhí)班值守。運營者應當加強本(běn)單位網絡安全信息(xī)通報預警(jǐnɡ)力量建設,依托國家網絡與信息安全(quán)信息通報機制,及時收集(jí)、匯(huì)總、分析各(ɡè)方網絡安(ān)全信息,組織開展網絡安(ān)全威脅分(fēn)析和態勢研判,及時通報預警和處置。第二十二(èr)條 運營(yínɡ)者應當按(àn)照國家有(yǒu)關要求制(zhì)定網絡安(ān)全事件應急預案,建立網絡安全事(shì)件應急處置機制,加強應急(jí)力量建設和應急資源儲備,每年(nián)至少開展(zhǎn)一次應急(jí)演練,并針對應急演練發現的突(tū)出問題和(hé)漏洞隱患(huàn),及時(shí)整改加固(ɡù),完(wán)善保護措(cuò)施。第二十三(sān)條 部級設施發生(shēnɡ)重大網絡安全事件(jiàn)或者發現(xiàn)重大網絡安全威脅時,運營者應當直接向(xiànɡ)交通運輸部、公(ɡōnɡ)安機關報告,并立(lì)即啟動本(běn)單位網絡安全事件(jiàn)應急預案(àn)。省級設施(shī)發生重大(dà)網絡安全(quán)事件或者(zhě)發現重大(dà)網絡安全(quán)威脅時,運營(yínɡ)者應當立(lì)即向省級人民政府(fǔ)交通運輸主管部門、公安(ān)機關報告(ɡào),并啟動本單位(wèi)網絡安全(quán)事件應急(jí)預案。省級人民政府(fǔ)交通運輸主管部門應當將相(xiānɡ)關情況及(jí)時報告交(jiāo)通運輸部(bù)。公路水路(lù)關鍵信息(xī)基礎設施(shī)發生特別(bié)重大網絡安全事件(jiàn)或者發現(xiàn)特別重大(dà)網絡安全(quán)威脅時,交通運輸部應當在(zài)收到報告(ɡào)后,及時(shí)向國家網信部門、國務院公安(ān)部門報告(ɡào)。
第二十四(sì)條 交通(tōnɡ)運輸部應當制定公(ɡōnɡ)路水路關鍵信息基(jī)礎設施安(ān)全規劃,明確保護目標、基本(běn)要求、工(ɡōnɡ)作任務、具體措(cuò)施。交通運輸主管部門、運營者應當(dānɡ)嚴格落實(shí)公路水路(lù)關鍵信息(xī)基礎設施(shī)安全規劃(huà)。第二十五(wǔ)條 交通(tōnɡ)運輸部應當建立公(ɡōnɡ)路水路關鍵信息基(jī)礎設施網絡安全監測預警制(zhì)度,充分(fēn)利用網絡安全信息(xī)共享機制(zhì),及(jí)時掌握公(ɡōnɡ)路水路關鍵信息基(jī)礎設施運行狀況、安全態勢,預警(jǐnɡ)通報網絡安全威脅和隱患,指導做(zuò)好安全防范工作。省級人民(mín)政府交通(tōnɡ)運輸主管(ɡuǎn)部門應當(dānɡ)及時掌握(wò)省級設施(shī)的運行狀況、安(ān)全態勢,并組織做好預警通報和(hé)安全防范(fàn)工作。第二十六(liù)條 交通(tōnɡ)運輸部應當按照國家網絡安(ān)全事件應急預案的(de)要求,建(jiàn)立健全公(ɡōnɡ)路水路網絡安全事(shì)件應急預案,定(dìnɡ)期組織應急演練;指導運營者做(zuò)好網絡安(ān)全事件應對處置,并(bìnɡ)根據需要(yào)組織提供(ɡònɡ)技術支持(chí)與協助。省級人民(mín)政府交通(tōnɡ)運輸主管(ɡuǎn)部門應當(dānɡ)依據前款(kuǎn)規定組織做好本行(xínɡ)政區域內公路水路(lù)網絡安全(quán)事件應急(jí)預案、應急(jí)演練相關工作,并將應急(jí)預案、應急演練情況及時(shí)報告交通(tōnɡ)運輸部。省級人民(mín)政府交通(tōnɡ)運輸主管(ɡuǎn)部門應當(dānɡ)指導省級設施運營(yínɡ)者做好網絡安全事(shì)件應對處置,并根(ɡēn)據需要組織提供技(jì)術支持與協助。第二十七(qī)條 交通(tōnɡ)運輸主管(ɡuǎn)部門應當(dānɡ)定期組織開展公路(lù)水路關鍵信息基礎設施網絡安全檢查(chá)檢測,指導監督運營者(zhě)建立問題臺賬,制定整改(ɡǎi)方案,及時整改(ɡǎi)安全隱患(huàn)、完善(shàn)安全措施(shī)。省級人民政府(fǔ)交通運輸主管部門應當將檢(jiǎn)查檢測情況及時報告交通運輸部。公路水路(lù)關鍵信息(xī)基礎設施(shī)網絡安全(quán)檢查檢測(cè)應當在國家網信部(bù)門的統籌協調下開展,避免不必(bì)要的檢查(chá)和交叉重(zhònɡ)復檢查。檢查(chá)工作不得(dé)收取費用(yònɡ),不得要求(qiú)被檢查單位購買指(zhǐ)定品牌或(huò)者指定生(shēnɡ)產、銷售單位(wèi)的產品和(hé)服務。第二十八(bā)條 運營(yínɡ)者對交通(tōnɡ)運輸主管(ɡuǎn)部門開展(zhǎn)的網絡安(ān)全檢查檢(jiǎn)測工作,以(yǐ)及公安、國家安全、保密行(xínɡ)政管理、密(mì)碼管理等(děnɡ)有關部門依法開展(zhǎn)的公路水(shuǐ)路關鍵信(xìn)息基礎設施網絡安(ān)全檢查工(ɡōnɡ)作應當予(yǔ)以配合,并如實提(tí)供網絡安(ān)全管理制(zhì)度、重(zhònɡ)要資產清(qīnɡ)單、網絡日志等(děnɡ)必要的資料。第二十九(jiǔ)條 交通(tōnɡ)運輸主管(ɡuǎn)部門按照(zhào)國家有關規定,對網絡安全工(ɡōnɡ)作不力、重大安(ān)全問題隱患久拖不(bù)改,或者存在(zài)重大網絡安全風險、發生重大(dà)網絡安全(quán)事件的運營者,約談單位負責人,并加大(dà)網絡安全(quán)監督檢查(chá)力度。第三十條(tiáo) 交通(tōnɡ)運輸主管(ɡuǎn)部門、網絡安全服(fú)務機構及(jí)其工作人(rén)員對于在(zài)公路水路(lù)關鍵信息(xī)基礎設施(shī)安全保護過程中獲(huò)取的信息(xī),只能用于(yú)維護網絡安全,并嚴格按(àn)照有關法(fǎ)律、行政法(fǎ)規的要求(qiú)確保信息(xī)安全,不得泄露(lù)、出售或者(zhě)非法向他(tā)人提供。
第三十一(yī)條 運營(yínɡ)者違反本(běn)辦法規定(dìnɡ)的,由交通運輸主管部(bù)門按照《關鍵信息(xī)基礎設施(shī)安全保護條例》等(děnɡ)法律、行政法(fǎ)規的規定(dìnɡ)予以處罰。第三十二(èr)條 交通(tōnɡ)運輸主管(ɡuǎn)部門及其(qí)工作人員(yuán)存在以下(xià)情形之一(yī)的,按照《關鍵信息基(jī)礎設施安(ān)全保護條(tiáo)例》等法(fǎ)律、行政法(fǎ)規的規定(dìnɡ)予以處分(fēn):(一)未(wèi)履行公路(lù)水路關鍵信息基礎設施安全(quán)保護和監督管理職責或者玩(wán)忽職守、濫用(yònɡ)職權、徇私舞弊(bì)的;(二)在(zài)開展公路(lù)水路關鍵信息基礎設施網絡安全檢查(chá)工作中收(shōu)取費用,或者要(yào)求被檢查(chá)單位購買指定品牌(pái)或者指定(dìnɡ)生產、銷售單位(wèi)的產品和(hé)服務的;(三)將在公路水(shuǐ)路關鍵信(xìn)息基礎設施安全保(bǎo)護工作中(zhōnɡ)獲取的信(xìn)息用于其(qí)他用途,或者泄(xiè)露、出(chū)售、非(fēi)法向他人(rén)提供的。
第三十三(sān)條 本辦法自2023年6月1日起(qǐ)施行。