信息化觀察網(wǎng)

本文來自微信公眾號“安全學(xué)習(xí)那些事兒”。

2023年5月6日，交通運輸部公布了《公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護管理辦法》(簡稱《管理辦法》)，共6章33條，自今年6月1日起施行，切實保障公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全，維護網(wǎng)絡(luò)安全。公路水路關(guān)鍵信息基礎(chǔ)設(shè)施(簡稱關(guān)基設(shè)施)是指在公路水路領(lǐng)域，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生和公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

2021年出臺的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(簡稱《條例》)對國家關(guān)基設(shè)施安全保護予以了系統(tǒng)規(guī)范。為全面貫徹落實黨中央、國務(wù)院關(guān)于加快建設(shè)交通強國的決策部署，細化落實《條例》制度規(guī)定，同時系統(tǒng)解決關(guān)基設(shè)施安全保護實踐中存在的問題，需要制定《管理辦法》，以全面保障關(guān)基設(shè)施的安全運行。

公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護管理辦法

第一章總則

第一條 為了保障公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全，維護網(wǎng)絡(luò)安全，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律、行政法規(guī)，制定本辦法。

第二條 公路水路關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護和監(jiān)督管理工作，適用本辦法。

前款所稱公路水路關(guān)鍵信息基礎(chǔ)設(shè)施是指在公路水路領(lǐng)域，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生和公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

第三條 交通運輸部負責(zé)全國公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和監(jiān)督管理。對在全國范圍運營以及其他經(jīng)交通運輸部評估明確由部管理的公路水路關(guān)鍵信息基礎(chǔ)設(shè)施（以下統(tǒng)稱部級設(shè)施），由交通運輸部具體實施安全保護和監(jiān)督管理工作。

省級人民政府交通運輸主管部門按照職責(zé)對本行政區(qū)域內(nèi)運營的公路水路關(guān)鍵信息基礎(chǔ)設(shè)施（以下統(tǒng)稱省級設(shè)施）具體實施安全保護和監(jiān)督管理。

交通運輸部和省級人民政府交通運輸主管部門以下統(tǒng)稱交通運輸主管部門。

第四條 公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護堅持強化和落實公路水路關(guān)鍵信息基礎(chǔ)設(shè)施運營者（以下簡稱運營者）主體責(zé)任，加強和規(guī)范交通運輸主管部門監(jiān)督管理，充分發(fā)揮社會各方面的作用，共同保護公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全。

第五條 任何個人和組織不得實施非法侵入、干擾、破壞公路水路關(guān)鍵信息基礎(chǔ)設(shè)施的活動，不得危害公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全。

第二章公路水路關(guān)鍵信息基礎(chǔ)設(shè)施認定

第六條 交通運輸部負責(zé)制定和修改公路水路關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則，并報國務(wù)院公安部門備案。

制定和修改認定規(guī)則應(yīng)當(dāng)主要考慮下列因素：

（一）網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對于公路水路關(guān)鍵核心業(yè)務(wù)的重要程度；

（二）網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等是否存儲處理國家核心數(shù)據(jù)，以及網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度；

（三）對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。

第七條 交通運輸部根據(jù)認定規(guī)則負責(zé)組織認定公路水路關(guān)鍵信息基礎(chǔ)設(shè)施，形成公路水路關(guān)鍵信息基礎(chǔ)設(shè)施清單，及時將認定結(jié)果通知運營者，并通報國務(wù)院公安部門。

第八條 公路水路關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生改建、擴建、運營者變更等較大變化，可能影響其認定結(jié)果的，運營者應(yīng)當(dāng)及時將相關(guān)情況報告交通運輸部。交通運輸部自收到報告之日起3個月內(nèi)完成重新認定，更新公路水路關(guān)鍵信息基礎(chǔ)設(shè)施清單，并通報國務(wù)院公安部門。

第九條 省級人民政府交通運輸主管部門應(yīng)當(dāng)按照交通運輸部的相關(guān)要求，負責(zé)組織篩選識別省級行政區(qū)域內(nèi)運營的公路水路關(guān)鍵信息基礎(chǔ)設(shè)施待認定對象，并研究提出初步認定意見報交通運輸部。

交通運輸部應(yīng)當(dāng)將認定結(jié)果通知省級人民政府交通運輸主管部門。

第三章運營者責(zé)任義務(wù)

第十條 新建、改建、擴建或者升級改造公路水路關(guān)鍵信息基礎(chǔ)設(shè)施的，安全保護措施應(yīng)當(dāng)與公路水路關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用。

運營者應(yīng)當(dāng)按照國家有關(guān)規(guī)定對安全保護措施予以驗證。

第十一條 運營者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全保護制度和責(zé)任制，保障人力、財力、物力投入。運營者的主要負責(zé)人對公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負總責(zé)，領(lǐng)導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和重大網(wǎng)絡(luò)安全事件處置工作，組織研究解決重大網(wǎng)絡(luò)安全問題。

運營者應(yīng)當(dāng)明確管理本單位公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的具體負責(zé)人。

第十二條 運營者應(yīng)當(dāng)設(shè)置專門安全管理機構(gòu)，明確負責(zé)人和關(guān)鍵崗位人員并進行安全背景審查和安全技能培訓(xùn)，符合要求的人員方能上崗。鼓勵網(wǎng)絡(luò)安全專門人才從事公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。

運營者應(yīng)當(dāng)保障專門安全管理機構(gòu)的人員配備，開展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策應(yīng)當(dāng)有專門安全管理機構(gòu)人員參與。

專門安全管理機構(gòu)的負責(zé)人和關(guān)鍵崗位人員的身份、安全背景等發(fā)生變化或者必要時，運營者應(yīng)當(dāng)重新進行安全背景審查。

第十三條 運營者應(yīng)當(dāng)保障專門安全管理機構(gòu)的運行經(jīng)費，并依法依規(guī)嚴格規(guī)范經(jīng)費使用和管理，防止資金擠占挪用。

重要網(wǎng)絡(luò)設(shè)施和安全設(shè)備達到使用期限的，運營者應(yīng)當(dāng)優(yōu)先保障設(shè)施設(shè)備更新經(jīng)費。

第十四條 運營者應(yīng)當(dāng)加強公路水路關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全管理，應(yīng)當(dāng)采購依法通過檢測認證的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品，優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查。

鼓勵運營者從已通過云計算服務(wù)安全評估的云計算服務(wù)平臺中采購云計算服務(wù)。

第十五條 運營者應(yīng)當(dāng)加強公路水路關(guān)鍵信息基礎(chǔ)設(shè)施個人信息和數(shù)據(jù)安全保護，將在我國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)存儲在境內(nèi)。因業(yè)務(wù)需要，確需向境外提供數(shù)據(jù)的，應(yīng)當(dāng)按照國家相關(guān)規(guī)定進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定執(zhí)行。

第十六條 公路水路關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保護等級應(yīng)當(dāng)不低于第三級。

運營者應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護的基礎(chǔ)上，對公路水路關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護，采取技術(shù)保護措施和其他必要措施，應(yīng)對網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)攻擊和違法犯罪活動，保障公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行，維護數(shù)據(jù)的完整性、保密性和可用性。

第十七條 運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對公路水路關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估，對發(fā)現(xiàn)的安全問題及時整改。部級設(shè)施的運營者應(yīng)當(dāng)直接向交通運輸部報送相關(guān)情況；省級設(shè)施的運營者應(yīng)當(dāng)將相關(guān)情況報經(jīng)省級人民政府交通運輸主管部門審核后報送交通運輸部。

第十八條 法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的公路水路關(guān)鍵信息基礎(chǔ)設(shè)施，其運營者應(yīng)當(dāng)使用商用密碼進行保護，自行或者委托商用密碼檢測機構(gòu)每年至少開展一次商用密碼應(yīng)用安全性評估。

商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評制度相銜接，避免重復(fù)評估、測評。

第十九條 運營者應(yīng)當(dāng)加強保密管理，按照國家有關(guān)規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者等必要人員簽訂安全保密協(xié)議，明確提供者等必要人員的技術(shù)支持和安全保密義務(wù)與責(zé)任，并對義務(wù)與責(zé)任履行情況進行監(jiān)督。

第二十條 運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全教育培訓(xùn)制度，定期開展網(wǎng)絡(luò)安全教育培訓(xùn)和技能考核。教育培訓(xùn)的具體內(nèi)容和學(xué)時應(yīng)當(dāng)遵守國家有關(guān)規(guī)定。

第二十一條 運營者應(yīng)當(dāng)建設(shè)本單位網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，對公路水路關(guān)鍵信息基礎(chǔ)設(shè)施開展全天候監(jiān)測和值班值守。

運營者應(yīng)當(dāng)加強本單位網(wǎng)絡(luò)安全信息通報預(yù)警力量建設(shè)，依托國家網(wǎng)絡(luò)與信息安全信息通報機制，及時收集、匯總、分析各方網(wǎng)絡(luò)安全信息，組織開展網(wǎng)絡(luò)安全威脅分析和態(tài)勢研判，及時通報預(yù)警和處置。

第二十二條 運營者應(yīng)當(dāng)按照國家有關(guān)要求制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，建立網(wǎng)絡(luò)安全事件應(yīng)急處置機制，加強應(yīng)急力量建設(shè)和應(yīng)急資源儲備，每年至少開展一次應(yīng)急演練，并針對應(yīng)急演練發(fā)現(xiàn)的突出問題和漏洞隱患，及時整改加固，完善保護措施。

第二十三條部級設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時，運營者應(yīng)當(dāng)直接向交通運輸部、公安機關(guān)報告，并立即啟動本單位網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。

省級設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時，運營者應(yīng)當(dāng)立即向省級人民政府交通運輸主管部門、公安機關(guān)報告，并啟動本單位網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。省級人民政府交通運輸主管部門應(yīng)當(dāng)將相關(guān)情況及時報告交通運輸部。

公路水路關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅時，交通運輸部應(yīng)當(dāng)在收到報告后，及時向國家網(wǎng)信部門、國務(wù)院公安部門報告。

第四章保障和監(jiān)督

第二十四條 交通運輸部應(yīng)當(dāng)制定公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃，明確保護目標、基本要求、工作任務(wù)、具體措施。

交通運輸主管部門、運營者應(yīng)當(dāng)嚴格落實公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃。

第二十五條 交通運輸部應(yīng)當(dāng)建立公路水路關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警制度，充分利用網(wǎng)絡(luò)安全信息共享機制，及時掌握公路水路關(guān)鍵信息基礎(chǔ)設(shè)施運行狀況、安全態(tài)勢，預(yù)警通報網(wǎng)絡(luò)安全威脅和隱患，指導(dǎo)做好安全防范工作。

省級人民政府交通運輸主管部門應(yīng)當(dāng)及時掌握省級設(shè)施的運行狀況、安全態(tài)勢，并組織做好預(yù)警通報和安全防范工作。

第二十六條 交通運輸部應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的要求，建立健全公路水路網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，定期組織應(yīng)急演練；指導(dǎo)運營者做好網(wǎng)絡(luò)安全事件應(yīng)對處置，并根據(jù)需要組織提供技術(shù)支持與協(xié)助。

省級人民政府交通運輸主管部門應(yīng)當(dāng)依據(jù)前款規(guī)定組織做好本行政區(qū)域內(nèi)公路水路網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案、應(yīng)急演練相關(guān)工作，并將應(yīng)急預(yù)案、應(yīng)急演練情況及時報告交通運輸部。省級人民政府交通運輸主管部門應(yīng)當(dāng)指導(dǎo)省級設(shè)施運營者做好網(wǎng)絡(luò)安全事件應(yīng)對處置，并根據(jù)需要組織提供技術(shù)支持與協(xié)助。

第二十七條 交通運輸主管部門應(yīng)當(dāng)定期組織開展公路水路關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測，指導(dǎo)監(jiān)督運營者建立問題臺賬，制定整改方案，及時整改安全隱患、完善安全措施。省級人民政府交通運輸主管部門應(yīng)當(dāng)將檢查檢測情況及時報告交通運輸部。

公路水路關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測應(yīng)當(dāng)在國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)下開展，避免不必要的檢查和交叉重復(fù)檢查。檢查工作不得收取費用，不得要求被檢查單位購買指定品牌或者指定生產(chǎn)、銷售單位的產(chǎn)品和服務(wù)。

第二十八條 運營者對交通運輸主管部門開展的網(wǎng)絡(luò)安全檢查檢測工作，以及公安、國家安全、保密行政管理、密碼管理等有關(guān)部門依法開展的公路水路關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作應(yīng)當(dāng)予以配合，并如實提供網(wǎng)絡(luò)安全管理制度、重要資產(chǎn)清單、網(wǎng)絡(luò)日志等必要的資料。

第二十九條 交通運輸主管部門按照國家有關(guān)規(guī)定，對網(wǎng)絡(luò)安全工作不力、重大安全問題隱患久拖不改，或者存在重大網(wǎng)絡(luò)安全風(fēng)險、發(fā)生重大網(wǎng)絡(luò)安全事件的運營者，約談單位負責(zé)人，并加大網(wǎng)絡(luò)安全監(jiān)督檢查力度。

第三十條 交通運輸主管部門、網(wǎng)絡(luò)安全服務(wù)機構(gòu)及其工作人員對于在公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護過程中獲取的信息，只能用于維護網(wǎng)絡(luò)安全，并嚴格按照有關(guān)法律、行政法規(guī)的要求確保信息安全，不得泄露、出售或者非法向他人提供。

第五章法律責(zé)任

第三十一條 運營者違反本辦法規(guī)定的，由交通運輸主管部門按照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律、行政法規(guī)的規(guī)定予以處罰。

第三十二條 交通運輸主管部門及其工作人員存在以下情形之一的，按照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律、行政法規(guī)的規(guī)定予以處分：

（一）未履行公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和監(jiān)督管理職責(zé)或者玩忽職守、濫用職權(quán)、徇私舞弊的；

（二）在開展公路水路關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作中收取費用，或者要求被檢查單位購買指定品牌或者指定生產(chǎn)、銷售單位的產(chǎn)品和服務(wù)的；

（三）將在公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作中獲取的信息用于其他用途，或者泄露、出售、非法向他人提供的。

第六章附則

第三十三條 本辦法自2023年6月1日起施行。