公路水路關鍵信息基礎設施安全保護管理辦法

公路水路關鍵信息基礎設施安全保護管理辦法

(2023年4月24日交通運輸部令2023年第4號公布 自2023年6月1日起施行)

第一章  總   則

第一條 為了保障公路水路關鍵信息基礎設施安全，維護網路安全，根據《中華人民共和國網路安全法》《關鍵信息基礎設施安全保護條例》等法律、行政法規，制定本辦法。

第二條 公路水路關鍵信息基礎設施的安全保護和監督管理工作，適用本辦法。

前款所稱公路水路關鍵信息基礎設施是指在公路水路領域，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生和公共利益的重要網路設施、信息系統等。

第三條 交通運輸部負責全國公路水路關鍵信息基礎設施安全保護和監督管理。對在全國範圍運營以及其他經交通運輸部評估明確由部管理的公路水路關鍵信息基礎設施（以下統稱部級設施），由交通運輸部具體實施安全保護和監督管理工作。

省級人民政府交通運輸主管部門按照職責對本行政區域內運營的公路水路關鍵信息基礎設施（以下統稱省級設施）具體實施安全保護和監督管理。

交通運輸部和省級人民政府交通運輸主管部門以下統稱交通運輸主管部門。

第四條 公路水路關鍵信息基礎設施安全保護堅持強化和落實公路水路關鍵信息基礎設施運營者（以下簡稱運營者）主體責任，加強和規範交通運輸主管部門監督管理，充分發揮社會各方面的作用，共同保護公路水路關鍵信息基礎設施安全。

第五條 任何個人和組織不得實施非法侵入、干擾、破壞公路水路關鍵信息基礎設施的活動，不得危害公路水路關鍵信息基礎設施安全。

第二章  公路水路關鍵信息基礎設施認定

第六條 交通運輸部負責制定和修改公路水路關鍵信息基礎設施認定規則，並報國務院公安部門備案。

制定和修改認定規則應當主要考慮下列因素：

（一）網路設施、信息系統等對於公路水路關鍵核心業務的重要程度；

（二）網路設施、信息系統等是否存儲處理國家核心數據，以及網路設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度；

（三）對其他行業和領域的關聯性影響。

第七條 交通運輸部根據認定規則負責組織認定公路水路關鍵信息基礎設施，形成公路水路關鍵信息基礎設施清單，及時將認定結果通知運營者，並通報國務院公安部門。

第八條 公路水路關鍵信息基礎設施發生改建、擴建、運營者變更等較大變化，可能影響其認定結果的，運營者應當及時將相關情況報告交通運輸部。交通運輸部自收到報告之日起3個月內完成重新認定，更新公路水路關鍵信息基礎設施清單，並通報國務院公安部門。

第九條 省級人民政府交通運輸主管部門應當按照交通運輸部的相關要求，負責組織篩選識別省級行政區域內運營的公路水路關鍵信息基礎設施待認定對象，並研究提出初步認定意見報交通運輸部。

交通運輸部應當將認定結果通知省級人民政府交通運輸主管部門。

第三章  運營者責任義務

第十條 新建、改建、擴建或者升級改造公路水路關鍵信息基礎設施的，安全保護措施應當與公路水路關鍵信息基礎設施同步規劃、同步建設、同步使用。

運營者應當按照國家有關規定對安全保護措施予以驗證。

第十一條 運營者應當建立健全網路安全保護制度和責任制，保障人力、財力、物力投入。運營者的主要負責人對公路水路關鍵信息基礎設施安全保護負總責，領導關鍵信息基礎設施安全保護和重大網路安全事件處置工作，組織研究解決重大網路安全問題。

運營者應當明確管理本單位公路水路關鍵信息基礎設施安全保護工作的具體負責人。

第十二條 運營者應當設定專門安全管理機構，明確負責人和關鍵崗位人員並進行安全背景審查和安全技能培訓，符合要求的人員方能上崗。鼓勵網路安全專門人才從事公路水路關鍵信息基礎設施安全保護工作。

運營者應當保障專門安全管理機構的人員配備，開展與網路安全和信息化有關的決策應當有專門安全管理機構人員參與。

專門安全管理機構的負責人和關鍵崗位人員的身份、安全背景等發生變化或者必要時，運營者應當重新進行安全背景審查。

第十三條 運營者應當保障專門安全管理機構的運行經費，並依法依規嚴格規範經費使用和管理，防止資金擠占挪用。

重要網路設施和安全設備達到使用期限的，運營者應當優先保障設施設備更新經費。

第十四條 運營者應當加強公路水路關鍵信息基礎設施供應鏈安全管理，應當採購依法通過檢測認證的網路關鍵設備和網路安全專用產品，優先採購安全可信的網路產品和服務；採購網路產品和服務可能影響國家安全的，應當按照國家網路安全規定通過安全審查。

鼓勵運營者從已通過雲計算服務安全評估的雲計算服務平台中採購雲計算服務。

第十五條 運營者應當加強公路水路關鍵信息基礎設施個人信息和數據安全保護，將在我國境內運營中收集和產生的個人信息和重要數據存儲在境內。因業務需要，確需向境外提供數據的，應當按照國家相關規定進行安全評估；法律、行政法規另有規定的，依照其規定執行。

第十六條 公路水路關鍵信息基礎設施的網路安全保護等級應當不低於第三級。

運營者應當在網路安全等級保護的基礎上，對公路水路關鍵信息基礎設施實行重點保護，採取技術保護措施和其他必要措施，應對網路安全事件，防範網路攻擊和違法犯罪活動，保障公路水路關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。

第十七條 運營者應當自行或者委託網路安全服務機構對公路水路關鍵信息基礎設施每年至少進行一次網路安全檢測和風險評估，對發現的安全問題及時整改。部級設施的運營者應當直接向交通運輸部報送相關情況；省級設施的運營者應當將相關情況報經省級人民政府交通運輸主管部門審核後報送交通運輸部。

第十八條 法律、行政法規和國家有關規定要求使用商用密碼進行保護的公路水路關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委託商用密碼檢測機構每年至少開展一次商用密碼套用安全性評估。

商用密碼套用安全性評估應當與公路水路關鍵信息基礎設施安全檢測評估、網路安全等級測評制度相銜接，避免重複評估、測評。

第十九條 運營者應當加強保密管理，按照國家有關規定與網路產品和服務提供者等必要人員簽訂安全保密協定，明確提供者等必要人員的技術支持和安全保密義務與責任，並對義務與責任履行情況進行監督。

第二十條 運營者應當制定網路安全教育培訓制度，定期開展網路安全教育培訓和技能考核。教育培訓的具體內容和學時應當遵守國家有關規定。

第二十一條 運營者應當建設本單位網路安全監測系統，對公路水路關鍵信息基礎設施開展全天候監測和值班值守。

運營者應當加強本單位網路安全信息通報預警力量建設，依託國家網路與信息安全信息通報機制，及時收集、匯總、分析各方網路安全信息，組織開展網路安全威脅分析和態勢研判，及時通報預警和處置。

第二十二條 運營者應當按照國家有關要求制定網路安全事件應急預案，建立網路安全事件應急處置機制，加強應急力量建設和應急資源儲備，每年至少開展一次應急演練，並針對應急演練發現的突出問題和漏洞隱患，及時整改加固，完善保護措施。

第二十三條 部級設施發生重大網路安全事件或者發現重大網路安全威脅時，運營者應當直接向交通運輸部、公安機關報告，並立即啟動本單位網路安全事件應急預案。

省級設施發生重大網路安全事件或者發現重大網路安全威脅時，運營者應當立即向省級人民政府交通運輸主管部門、公安機關報告，並啟動本單位網路安全事件應急預案。省級人民政府交通運輸主管部門應當將相關情況及時報告交通運輸部。

公路水路關鍵信息基礎設施發生特別重大網路安全事件或者發現特別重大網路安全威脅時，交通運輸部應當在收到報告後，及時向國家網信部門、國務院公安部門報告。

第四章  保障和監督

第二十四條 交通運輸部應當制定公路水路關鍵信息基礎設施安全規劃，明確保護目標、基本要求、工作任務、具體措施。

交通運輸主管部門、運營者應當嚴格落實公路水路關鍵信息基礎設施安全規劃。

第二十五條 交通運輸部應當建立公路水路關鍵信息基礎設施網路安全監測預警制度，充分利用網路安全信息共享機制，及時掌握公路水路關鍵信息基礎設施運行狀況、安全態勢，預警通報網路安全威脅和隱患，指導做好安全防範工作。

省級人民政府交通運輸主管部門應當及時掌握省級設施的運行狀況、安全態勢，並組織做好預警通報和安全防範工作。

第二十六條 交通運輸部應當按照國家網路安全事件應急預案的要求，建立健全公路水路網路安全事件應急預案，定期組織應急演練；指導運營者做好網路安全事件應對處置，並根據需要組織提供技術支持與協助。

省級人民政府交通運輸主管部門應當依據前款規定組織做好本行政區域內公路水路網路安全事件應急預案、應急演練相關工作，並將應急預案、應急演練情況及時報告交通運輸部。省級人民政府交通運輸主管部門應當指導省級設施運營者做好網路安全事件應對處置，並根據需要組織提供技術支持與協助。

第二十七條 交通運輸主管部門應當定期組織開展公路水路關鍵信息基礎設施網路安全檢查檢測，指導監督運營者建立問題台賬，制定整改方案，及時整改安全隱患、完善安全措施。省級人民政府交通運輸主管部門應當將檢查檢測情況及時報告交通運輸部。

公路水路關鍵信息基礎設施網路安全檢查檢測應當在國家網信部門的統籌協調下開展，避免不必要的檢查和交叉重複檢查。檢查工作不得收取費用，不得要求被檢查單位購買指定品牌或者指定生產、銷售單位的產品和服務。

第二十八條 運營者對交通運輸主管部門開展的網路安全檢查檢測工作，以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的公路水路關鍵信息基礎設施網路安全檢查工作應當予以配合，並如實提供網路安全管理制度、重要資產清單、網路日誌等必要的資料。

第二十九條 交通運輸主管部門按照國家有關規定，對網路安全工作不力、重大安全問題隱患久拖不改，或者存在重大網路安全風險、發生重大網路安全事件的運營者，約談單位負責人，並加大網路安全監督檢查力度。

第三十條 交通運輸主管部門、網路安全服務機構及其工作人員對於在公路水路關鍵信息基礎設施安全保護過程中獲取的信息，只能用於維護網路安全，並嚴格按照有關法律、行政法規的要求確保信息安全，不得泄露、出售或者非法向他人提供。

第五章  法律責任

第三十一條 運營者違反本辦法規定的，由交通運輸主管部門按照《關鍵信息基礎設施安全保護條例》等法律、行政法規的規定予以處罰。

第三十二條 交通運輸主管部門及其工作人員存在以下情形之一的，按照《關鍵信息基礎設施安全保護條例》等法律、行政法規的規定予以處分：

（一）未履行公路水路關鍵信息基礎設施安全保護和監督管理職責或者玩忽職守、濫用職權、徇私舞弊的；

（二）在開展公路水路關鍵信息基礎設施網路安全檢查工作中收取費用，或者要求被檢查單位購買指定品牌或者指定生產、銷售單位的產品和服務的；

（三）將在公路水路關鍵信息基礎設施安全保護工作中獲取的信息用於其他用途，或者泄露、出售、非法向他人提供的。

第六章  附   則

第三十三條 本辦法自2023年6月1日起施行。