鐵路關鍵信息基礎設施安全保護管理辦法

2023年7月18日，國家鐵路局公布《鐵路關鍵信息基礎設施安全保護管理辦法（徵求意見稿）》全文，公開徵求意見。

2023年12月1日，《鐵路關鍵信息基礎設施安全保護管理辦法》（中華人民共和國交通運輸部令2023年第20號）經第27次部務會議通過，自2024年2月1日起施行。

第一條  為了保障鐵路關鍵信息基礎設施安全，維護網路安全，根據《中華人民共和國網路安全法》《關鍵信息基礎設施安全保護條例》等法律、行政法規，制定本辦法。

第二條  鐵路關鍵信息基礎設施的安全保護和監督管理工作，適用本辦法。

本辦法所稱鐵路關鍵信息基礎設施，是指在鐵路領域，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生和公共利益的重要網路設施、信息系統等。

第三條  國家鐵路局是負責鐵路領域關鍵信息基礎設施安全保護工作的部門，在職責範圍內負責全國鐵路關鍵信息基礎設施安全保護和監督管理工作。

地區鐵路監督管理局按照國家鐵路局要求，開展本轄區鐵路關鍵信息基礎設施的安全保護和監督管理工作。

第四條  鐵路關鍵信息基礎設施安全保護堅持強化和落實鐵路關鍵信息基礎設施運營者（以下簡稱運營者）主體責任，加強和規範保護工作部門監督管理，發揮社會各方面的作用，共同保護鐵路關鍵信息基礎設施安全。

第五條  任何個人和組織不得實施非法侵入、干擾、破壞鐵路關鍵信息基礎設施的活動，不得危害鐵路關鍵信息基礎設施安全。

第六條  國家鐵路局負責制定鐵路關鍵信息基礎設施認定規則，並報國務院公安部門備案，抄送國家網信部門。

制定認定規則應當主要考慮下列因素：

（一）網路設施、信息系統等對於鐵路關鍵核心業務的重要程度；

（二）網路設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度；

（三）對其他行業和領域的關聯性影響。

第七條  國家鐵路局根據認定規則，負責組織認定鐵路關鍵信息基礎設施，及時將認定結果通知運營者，並通報國務院公安部門，抄送國家網信部門。

第八條  鐵路關鍵信息基礎設施發生改建、擴建、運營者變更等較大變化，可能影響認定結果的，運營者應當及時將相關情況報告國家鐵路局。國家鐵路局自收到報告之日起3個月內完成重新認定，將認定結果通知運營者，並通報國務院公安部門，抄送國家網信部門。 

第九條  鐵路關鍵信息基礎設施的網路安全保護等級應當不低於第三級。

運營者應當依照有關法律、行政法規的規定以及國家標準的強制性要求，在國家網路安全等級保護制度的基礎上，突出保護重點，落實防護措施，加強全生命周期管理，保障鐵路關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。

第十條  新建、改建、擴建鐵路關鍵信息基礎設施的，運營者應當做到安全防護措施與關鍵信息基礎設施同步規劃、同步建設、同步使用，並採取檢測評估、安全演練等方式驗證安全保護措施的有效性。

第十一條  運營者應當建立健全網路安全保護制度和責任制，保障人力、財力、物力投入。

運營者的主要負責人對所運營的鐵路關鍵信息基礎設施安全保護負總責，領導關鍵信息基礎設施安全保護和重大網路安全事件處置工作，組織研究解決重大網路安全問題。

運營者應當為每個鐵路關鍵信息基礎設施明確安全管理責任人。

第十二條  運營者應當設定專門安全管理機構，保障專門安全管理機構的運行經費、配備相應的人員，開展與網路安全和信息化有關的決策應當有專門安全管理機構人員參與。

運營者應當對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。專門安全管理機構的負責人和關鍵崗位人員的身份、安全背景等發生變化或者必要時，運營者應當根據情況重新進行安全背景審查。

第十三條  專門安全管理機構具體負責本單位的鐵路關鍵信息基礎設施安全保護工作，履行下列職責：

（一）建立健全網路安全管理、評價考核制度，擬訂鐵路關鍵信息基礎設施安全保護計畫；

（二）組織推動網路安全防護能力建設，開展網路安全監測、檢測和風險評估；

（三）按照國家及鐵路行業要求，制定本單位網路安全事件應急預案，定期開展應急演練，處置網路安全事件；

（四）認定網路安全關鍵崗位，組織開展網路安全工作考核，提出獎勵和懲處建議；

（五）組織網路安全教育、培訓；

（六）履行個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度；

（七）對鐵路關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理；

（八）按照規定報告網路安全事件和重要事項。

第十四條  運營者應當加強鐵路關鍵信息基礎設施供應鏈安全保護，優先採購安全可信的網路產品和服務。運營者採購網路產品和服務，應當預判該產品和服務投入使用後對國家安全的影響。可能影響國家安全的，應當按照國家有關規定申報網路安全審查。

第十五條  運營者應當加強數據安全保護，明確重要數據和個人信息的保護措施，將在我國境內運營中收集和產生的個人信息和重要數據存儲在境內。因業務需要，確需向境外提供數據的，應當按照國家相關規定和標準進行安全評估。法律、行政法規另有規定的，依照其規定執行。

第十六條  運營者應當自行或者委託網路安全服務機構對鐵路關鍵信息基礎設施每年至少進行一次網路安全檢測和風險評估，對發現的安全問題及時整改，並按照國家鐵路局要求報送情況。

第十七條  法律、行政法規和國家有關規定要求使用商用密碼進行保護的鐵路關鍵信息基礎設施，運營者應當使用商用密碼進行保護，自行或者委託商用密碼檢測機構每年至少開展一次商用密碼套用安全性評估。

商用密碼套用安全性評估應當與鐵路關鍵信息基礎設施安全檢測和風險評估、網路安全等級測評制度相銜接，避免重複評估、測評。

第十八條  運營者應當加強全過程保密管理，採購網路產品和服務，應當按照規定與提供者簽訂安全保密協定，明確提供者的技術支持和安全保密義務與責任，並對義務與責任履行情況進行監督。

第十九條  運營者應當制定本單位的監測預警和信息通報制度，加強對鐵路關鍵信息基礎設施監測，研判整體安全態勢。

第二十條  鐵路關鍵信息基礎設施發生重大網路安全事件或者發現重大網路安全威脅時，運營者應當按照有關規定向國家鐵路局、公安機關報告，並立即啟動本單位網路安全事件應急預案。

鐵路關鍵信息基礎設施發生特別重大網路安全事件或者發現特別重大網路安全威脅時，國家鐵路局應當在收到報告後，及時向國家網信部門、國務院公安部門報告。

第二十一條  運營者發生合併、分立、解散等情況，應當及時報告國家鐵路局，並按照國家鐵路局的要求對鐵路關鍵信息基礎設施進行處置，確保全全。

第二十二條  國家鐵路局應當制定鐵路關鍵信息基礎設施安全規劃，明確保護目標、基本要求、工作任務、具體措施。

第二十三條  國家鐵路局應當依託國家網路安全信息共享機制，組織建立鐵路關鍵信息基礎設施網路安全監測預警制度，及時掌握鐵路關鍵信息基礎設施運行狀況、安全態勢，預警通報網路安全威脅和隱患，指導做好安全防範工作。

第二十四條  國家鐵路局應當組織建立健全鐵路關鍵信息基礎設施網路安全事件應急預案體系，定期組織應急演練；指導運營者做好網路安全事件應對處置，並根據需要組織提供技術支持與協助。

第二十五條  國家鐵路局定期組織開展鐵路關鍵信息基礎設施網路安全檢查檢測，指導監督運營者及時整改安全隱患、完善安全措施。

檢查工作不得收取費用，不得要求被檢查單位購買指定品牌或者指定生產、銷售單位的產品和服務。

第二十六條  運營者對國家鐵路局依法開展的網路安全檢查檢測工作，以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的鐵路關鍵信息基礎設施網路安全檢查工作應當予以配合。

第二十七條  國家鐵路局、網路安全服務機構及其工作人員對於在鐵路關鍵信息基礎設施安全保護過程中獲取的信息，只能用於維護網路安全，並嚴格按照有關法律、行政法規的要求確保信息安全，不得泄露、出售、非法向他人提供或者進行其他違法活動。

第二十八條  運營者違反本辦法規定的，由國家鐵路局依照《中華人民共和國網路安全法》《關鍵信息基礎設施安全保護條例》等法律、行政法規的規定予以處罰。

第二十九條  國家鐵路局及其工作人員存在下列情形之一的，按照有關法律、行政法規的規定予以處分：

（一）未履行鐵路關鍵信息基礎設施安全保護和監督管理職責或者玩忽職守、濫用職權、徇私舞弊的；

（二）在開展鐵路關鍵信息基礎設施網路安全檢查工作中收取費用，或者要求被檢查單位購買指定品牌或者指定生產、銷售單位的產品和服務的；

（三）將在鐵路關鍵信息基礎設施安全保護工作中獲取的信息泄露、出售、非法向他人提供或者進行其他違法活動的。

第三十條  本辦法自2024年2月1日起施行。

鐵路關鍵信息基礎設施，是指在鐵路領域，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生和公共利益的重要網路設施、信息系統等。

黨的二十大報告明確要求強化網路安全保障體系建設。關鍵信息基礎設施是經濟社會運行的神經中樞，是網路安全的重中之重。2021年出台的《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）對國家關鍵信息基礎設施安全保護予以了系統規範。為全面貫徹落實黨中央、國務院關於加強關鍵信息基礎設施安全保護的決策部署，細化落實《條例》規定，有必要制定《辦法》，以全面保障鐵路關鍵信息基礎設施的安全運行。

《辦法》共6章30條，包括總則、鐵路關鍵信息基礎設施認定、運營者責任和義務、保障和監督、法律責任、附則。主要內容包括：

（一）明確鐵路關鍵信息基礎設施管理體制。一是明確國家鐵路局是負責鐵路領域關鍵信息基礎設施安全保護工作的部門，在職責範圍內負責全國鐵路關鍵信息基礎設施安全保護和監督管理工作；地區鐵路監督管理局開展本轄區鐵路關鍵信息基礎設施的安全保護和監督管理工作。二是明確國家鐵路局作為鐵路關鍵信息基礎設施認定主體，負責制定認定規則、組織認定工作，並規定了具體認定程式。

（二）壓實運營者主體責任。建立鐵路關鍵信息基礎設施全過程保護制度，要求安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用，明確規定了運營者在機構設定、人員配備、經費保障、產品和服務採購、數據保護、安全檢測和風險評估以及數據保護、密碼套用、保密管理等方面的責任和義務。

（三）加強對鐵路關鍵信息基礎設施的監督管理和保障。一是要求國家鐵路局制定安全規劃，明確保護目標、基本要求、工作任務和具體措施。二是從監測預警能力建設、應急預案制定演練、安全防範和安全事件報告等方面，對鐵路監管部門和運營者責任和義務予以明確。三是通過定期開展檢查檢測、實施行政處罰和政務處分等方式落實監管責任。