歡迎訪問平頂山市交通運輸執法局門戶網站!
網站已支持ipv6

法規文件

公路水路關鍵信息基礎設施安全保護管理辦法(中華人民共和國(guó)交通運輸部令2023年第4号)

平頂山市交通運輸執法局 2023-05-10

《公路水路關鍵信息基礎設施安全保護管理辦法》已于2023年4月14日經(jīng)第8次部務會議通過(guò),現予公布,自2023年6月1日起(qǐ)施行。


部長(cháng) 李小鵬

2023年4月24日


公路水路關鍵信息基礎設施安全保護管理辦法

第一章  總   則

第一條 爲了保障公路水路關鍵信息基礎設施安全,維護網絡安全,根據《中華人民共和國(guó)網絡安全法》《關鍵信息基礎設施安全保護條例》等法律、行政法規,制定本辦法。

第二條 公路水路關鍵信息基礎設施的安全保護和監督管理工作,适用本辦法。

前款所稱公路水路關鍵信息基礎設施是指在公路水路領域,一旦遭到破壞、喪失功能(néng)或者數據洩露,可能(néng)嚴重危害國(guó)家安全、國(guó)計民生和公共利益的重要網絡設施、信息系統等。

第三條 交通運輸部負責全國(guó)公路水路關鍵信息基礎設施安全保護和監督管理。對(duì)在全國(guó)範圍運營以及其他經(jīng)交通運輸部評估明确由部管理的公路水路關鍵信息基礎設施(以下統稱部級設施),由交通運輸部具體實施安全保護和監督管理工作。

省級人民政府交通運輸主管部門按照職責對(duì)本行政區域内運營的公路水路關鍵信息基礎設施(以下統稱省級設施)具體實施安全保護和監督管理。

交通運輸部和省級人民政府交通運輸主管部門以下統稱交通運輸主管部門。

第四條 公路水路關鍵信息基礎設施安全保護堅持強化和落實公路水路關鍵信息基礎設施運營者(以下簡稱運營者)主體責任,加強和規範交通運輸主管部門監督管理,充分發(fā)揮社會各方面(miàn)的作用,共同保護公路水路關鍵信息基礎設施安全。

第五條 任何個人和組織不得實施非法侵入、幹擾、破壞公路水路關鍵信息基礎設施的活動,不得危害公路水路關鍵信息基礎設施安全。   

第二章  公路水路關鍵信息基礎設施認定

第六條 交通運輸部負責制定和修改公路水路關鍵信息基礎設施認定規則,并報國(guó)務院公安部門備案。

制定和修改認定規則應當主要考慮下列因素:

(一)網絡設施、信息系統等對(duì)于公路水路關鍵核心業務的重要程度;

(二)網絡設施、信息系統等是否存儲處理國(guó)家核心數據,以及網絡設施、信息系統等一旦遭到破壞、喪失功能(néng)或者數據洩露可能(néng)帶來的危害程度; 

(三)對(duì)其他行業和領域的關聯性影響。

第七條 交通運輸部根據認定規則負責組織認定公路水路關鍵信息基礎設施,形成(chéng)公路水路關鍵信息基礎設施清單,及時將(jiāng)認定結果通知運營者,并通報國(guó)務院公安部門。

第八條 公路水路關鍵信息基礎設施發(fā)生改建、擴建、運營者變更等較大變化,可能(néng)影響其認定結果的,運營者應當及時將(jiāng)相關情況報告交通運輸部。交通運輸部自收到報告之日起(qǐ)3個月内完成(chéng)重新認定,更新公路水路關鍵信息基礎設施清單,并通報國(guó)務院公安部門。    

第九條 省級人民政府交通運輸主管部門應當按照交通運輸部的相關要求,負責組織篩選識别省級行政區域内運營的公路水路關鍵信息基礎設施待認定對(duì)象,并研究提出初步認定意見報交通運輸部。

交通運輸部應當將(jiāng)認定結果通知省級人民政府交通運輸主管部門。

第三章  運營者責任義務 

第十條 新建、改建、擴建或者升級改造公路水路關鍵信息基礎設施的,安全保護措施應當與公路水路關鍵信息基礎設施同步規劃、同步建設、同步使用。

運營者應當按照國(guó)家有關規定對(duì)安全保護措施予以驗證。

第十一條 運營者應當建立健全網絡安全保護制度和責任制,保障人力、财力、物力投入。運營者的主要負責人對(duì)公路水路關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護和重大網絡安全事(shì)件處置工作,組織研究解決重大網絡安全問題。

運營者應當明确管理本單位公路水路關鍵信息基礎設施安全保護工作的具體負責人。

第十二條 運營者應當設置專門安全管理機構,明确負責人和關鍵崗位人員并進(jìn)行安全背景審查和安全技能(néng)培訓,符合要求的人員方能(néng)上崗。鼓勵網絡安全專門人才從事(shì)公路水路關鍵信息基礎設施安全保護工作。    

運營者應當保障專門安全管理機構的人員配備,開(kāi)展與網絡安全和信息化有關的決策應當有專門安全管理機構人員參與。    

專門安全管理機構的負責人和關鍵崗位人員的身份、安全背景等發(fā)生變化或者必要時,運營者應當重新進(jìn)行安全背景審查。

第十三條 運營者應當保障專門安全管理機構的運行經(jīng)費,并依法依規嚴格規範經(jīng)費使用和管理,防止資金擠占挪用。

重要網絡設施和安全設備達到使用期限的,運營者應當優先保障設施設備更新經(jīng)費。

第十四條 運營者應當加強公路水路關鍵信息基礎設施供應鏈安全管理,應當采購依法通過(guò)檢測認證的網絡關鍵設備和網絡安全專用産品,優先采購安全可信的網絡産品和服務;采購網絡産品和服務可能(néng)影響國(guó)家安全的,應當按照國(guó)家網絡安全規定通過(guò)安全審查。

鼓勵運營者從已通過(guò)雲計算服務安全評估的雲計算服務平台中采購雲計算服務。

第十五條 運營者應當加強公路水路關鍵信息基礎設施個人信息和數據安全保護,將(jiāng)在我國(guó)境内運營中收集和産生的個人信息和重要數據存儲在境内。因業務需要,确需向(xiàng)境外提供數據的,應當按照國(guó)家相關規定進(jìn)行安全評估;法律、行政法規另有規定的,依照其規定執行。

第十六條  公路水路關鍵信息基礎設施的網絡安全保護等級應當不低于第三級。

運營者應當在網絡安全等級保護的基礎上,對(duì)公路水路關鍵信息基礎設施實行重點保護,采取技術保護措施和其他必要措施,應對(duì)網絡安全事(shì)件,防範網絡攻擊和違法犯罪活動,保障公路水路關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。

第十七條 運營者應當自行或者委托網絡安全服務機構對(duì)公路水路關鍵信息基礎設施每年至少進(jìn)行一次網絡安全檢測和風險評估,對(duì)發(fā)現的安全問題及時整改。部級設施的運營者應當直接向(xiàng)交通運輸部報送相關情況;省級設施的運營者應當將(jiāng)相關情況報經(jīng)省級人民政府交通運輸主管部門審核後(hòu)報送交通運輸部。

第十八條 法律、行政法規和國(guó)家有關規定要求使用商用密碼進(jìn)行保護的公路水路關鍵信息基礎設施,其運營者應當使用商用密碼進(jìn)行保護,自行或者委托商用密碼檢測機構每年至少開(kāi)展一次商用密碼應用安全性評估。

商用密碼應用安全性評估應當與公路水路關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重複評估、測評。

第十九條 運營者應當加強保密管理,按照國(guó)家有關規定與網絡産品和服務提供者等必要人員簽訂安全保密協議,明确提供者等必要人員的技術支持和安全保密義務與責任,并對(duì)義務與責任履行情況進(jìn)行監督。

第二十條 運營者應當制定網絡安全教育培訓制度,定期開(kāi)展網絡安全教育培訓和技能(néng)考核。教育培訓的具體内容和學(xué)時應當遵守國(guó)家有關規定。

第二十一條 運營者應當建設本單位網絡安全監測系統,對(duì)公路水路關鍵信息基礎設施開(kāi)展全天候監測和值班值守。

運營者應當加強本單位網絡安全信息通報預警力量建設,依托國(guó)家網絡與信息安全信息通報機制,及時收集、彙總、分析各方網絡安全信息,組織開(kāi)展網絡安全威脅分析和态勢研判,及時通報預警和處置。

第二十二條 運營者應當按照國(guó)家有關要求制定網絡安全事(shì)件應急預案,建立網絡安全事(shì)件應急處置機制,加強應急力量建設和應急資源儲備,每年至少開(kāi)展一次應急演練,并針對(duì)應急演練發(fā)現的突出問題和漏洞隐患,及時整改加固,完善保護措施。

第二十三條 部級設施發(fā)生重大網絡安全事(shì)件或者發(fā)現重大網絡安全威脅時,運營者應當直接向(xiàng)交通運輸部、公安機關報告,并立即啓動本單位網絡安全事(shì)件應急預案。

省級設施發(fā)生重大網絡安全事(shì)件或者發(fā)現重大網絡安全威脅時,運營者應當立即向(xiàng)省級人民政府交通運輸主管部門、公安機關報告,并啓動本單位網絡安全事(shì)件應急預案。省級人民政府交通運輸主管部門應當將(jiāng)相關情況及時報告交通運輸部。

公路水路關鍵信息基礎設施發(fā)生特别重大網絡安全事(shì)件或者發(fā)現特别重大網絡安全威脅時,交通運輸部應當在收到報告後(hòu),及時向(xiàng)國(guó)家網信部門、國(guó)務院公安部門報告。

第四章  保障和監督

第二十四條 交通運輸部應當制定公路水路關鍵信息基礎設施安全規劃,明确保護目标、基本要求、工作任務、具體措施。

交通運輸主管部門、運營者應當嚴格落實公路水路關鍵信息基礎設施安全規劃。

第二十五條 交通運輸部應當建立公路水路關鍵信息基礎設施網絡安全監測預警制度,充分利用網絡安全信息共享機制,及時掌握公路水路關鍵信息基礎設施運行狀況、安全态勢,預警通報網絡安全威脅和隐患,指導做好(hǎo)安全防範工作。

省級人民政府交通運輸主管部門應當及時掌握省級設施的運行狀況、安全态勢,并組織做好(hǎo)預警通報和安全防範工作。

第二十六條 交通運輸部應當按照國(guó)家網絡安全事(shì)件應急預案的要求,建立健全公路水路網絡安全事(shì)件應急預案,定期組織應急演練;指導運營者做好(hǎo)網絡安全事(shì)件應對(duì)處置,并根據需要組織提供技術支持與協助。

省級人民政府交通運輸主管部門應當依據前款規定組織做好(hǎo)本行政區域内公路水路網絡安全事(shì)件應急預案、應急演練相關工作,并將(jiāng)應急預案、應急演練情況及時報告交通運輸部。省級人民政府交通運輸主管部門應當指導省級設施運營者做好(hǎo)網絡安全事(shì)件應對(duì)處置,并根據需要組織提供技術支持與協助。

第二十七條 交通運輸主管部門應當定期組織開(kāi)展公路水路關鍵信息基礎設施網絡安全檢查檢測,指導監督運營者建立問題台賬,制定整改方案,及時整改安全隐患、完善安全措施。省級人民政府交通運輸主管部門應當將(jiāng)檢查檢測情況及時報告交通運輸部。

公路水路關鍵信息基礎設施網絡安全檢查檢測應當在國(guó)家網信部門的統籌協調下開(kāi)展,避免不必要的檢查和交叉重複檢查。檢查工作不得收取費用,不得要求被檢查單位購買指定品牌或者指定生産、銷售單位的産品和服務。

第二十八條 運營者對(duì)交通運輸主管部門開(kāi)展的網絡安全檢查檢測工作,以及公安、國(guó)家安全、保密行政管理、密碼管理等有關部門依法開(kāi)展的公路水路關鍵信息基礎設施網絡安全檢查工作應當予以配合,并如實提供網絡安全管理制度、重要資産清單、網絡日志等必要的資料。

第二十九條 交通運輸主管部門按照國(guó)家有關規定,對(duì)網絡安全工作不力、重大安全問題隐患久拖不改,或者存在重大網絡安全風險、發(fā)生重大網絡安全事(shì)件的運營者,約談單位負責人,并加大網絡安全監督檢查力度。

第三十條 交通運輸主管部門、網絡安全服務機構及其工作人員對(duì)于在公路水路關鍵信息基礎設施安全保護過(guò)程中獲取的信息,隻能(néng)用于維護網絡安全,并嚴格按照有關法律、行政法規的要求确保信息安全,不得洩露、出售或者非法向(xiàng)他人提供。

第五章  法律責任

第三十一條 運營者違反本辦法規定的,由交通運輸主管部門按照《關鍵信息基礎設施安全保護條例》等法律、行政法規的規定予以處罰。

第三十二條 交通運輸主管部門及其工作人員存在以下情形之一的,按照《關鍵信息基礎設施安全保護條例》等法律、行政法規的規定予以處分:

(一)未履行公路水路關鍵信息基礎設施安全保護和監督管理職責或者玩忽職守、濫用職權、徇私舞弊的;

(二)在開(kāi)展公路水路關鍵信息基礎設施網絡安全檢查工作中收取費用,或者要求被檢查單位購買指定品牌或者指定生産、銷售單位的産品和服務的;

(三)將(jiāng)在公路水路關鍵信息基礎設施安全保護工作中獲取的信息用于其他用途,或者洩露、出售、非法向(xiàng)他人提供的。

第六章  附   則

第三十三條 本辦法自2023年6月1日起(qǐ)施行。



相關政策解讀:《公路水路關鍵信息基礎設施安全保護管理辦法》解讀