關基保護 | 《鐵路關鍵信息基礎設施安全保護管理辦法》發布

第一(yī)章 總   則

第二條  鐵路關鍵信息基礎設施的安全保護和監督管理工(gōng)作，适用本辦法。

本辦法所稱鐵路關鍵信息基礎設施，是指在鐵路領域，一(yī)旦遭到破壞、喪失功能或者數據洩露，可能嚴重危害國家安全、國計民生(shēng)和公共利益的重要網絡設施、信息系統等。

第三條  國家鐵路局是負責鐵路領域關鍵信息基礎設施安全保護工(gōng)作的部門，在職責範圍内負責全國鐵路關鍵信息基礎設施安全保護和監督管理工(gōng)作。

地區鐵路監督管理局按照國家鐵路局要求，開(kāi)展本轄區鐵路關鍵信息基礎設施的安全保護和監督管理工(gōng)作。

第四條  鐵路關鍵信息基礎設施安全保護堅持強化和落實鐵路關鍵信息基礎設施運營者（以下(xià)簡稱運營者）主體(tǐ)責任，加強和規範保護工(gōng)作部門監督管理，發揮社會各方面的作用，共同保護鐵路關鍵信息基礎設施安全。

第五條  任何個人和組織不得實施非法侵入、幹擾、破壞鐵路關鍵信息基礎設施的活動，不得危害鐵路關鍵信息基礎設施安全。

第二章  鐵路關鍵信息基礎設施認定

第六條  國家鐵路局負責制定鐵路關鍵信息基礎設施認定規則，并報國務院公安部門備案，抄送國家網信部門。

制定認定規則應當主要考慮下(xià)列因素：

（一(yī)）網絡設施、信息系統等對于鐵路關鍵核心業務的重要程度；

（二）網絡設施、信息系統等一(yī)旦遭到破壞、喪失功能或者數據洩露可能帶來的危害程度；

（三）對其他行業和領域的關聯性影響。

第七條  國家鐵路局根據認定規則，負責組織認定鐵路關鍵信息基礎設施，及時将認定結果通知(zhī)運營者，并通報國務院公安部門，抄送國家網信部門。

第八條  鐵路關鍵信息基礎設施發生(shēng)改建、擴建、運營者變更等較大(dà)變化，可能影響認定結果的，運營者應當及時将相關情況報告國家鐵路局。國家鐵路局自收到報告之日起3個月内完成重新認定，将認定結果通知(zhī)運營者，并通報國務院公安部門，抄送國家網信部門。 

第三章  運營者責任和義務

第九條  鐵路關鍵信息基礎設施的網絡安全保護等級應當不低于第三級。

運營者應當依照有關法律、行政法規的規定以及國家标準的強制性要求，在國家網絡安全等級保護制度的基礎上，突出保護重點，落實防護措施，加強全生(shēng)命周期管理，保障鐵路關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。

第十條  新建、改建、擴建鐵路關鍵信息基礎設施的，運營者應當做到安全防護措施與關鍵信息基礎設施同步規劃、同步建設、同步使用，并采取檢測評估、安全演練等方式驗證安全保護措施的有效性。

第十一(yī)條  運營者應當建立健全網絡安全保護制度和責任制，保障人力、财力、物(wù)力投入。

運營者的主要負責人對所運營的鐵路關鍵信息基礎設施安全保護負總責，領導關鍵信息基礎設施安全保護和重大(dà)網絡安全事件處置工(gōng)作，組織研究解決重大(dà)網絡安全問題。

運營者應當爲每個鐵路關鍵信息基礎設施明确安全管理責任人。

第十二條  運營者應當設置專門安全管理機構，保障專門安全管理機構的運行經費(fèi)、配備相應的人員(yuán)，開(kāi)展與網絡安全和信息化有關的決策應當有專門安全管理機構人員(yuán)參與。

運營者應當對專門安全管理機構負責人和關鍵崗位人員(yuán)進行安全背景審查。專門安全管理機構的負責人和關鍵崗位人員(yuán)的身份、安全背景等發生(shēng)變化或者必要時，運營者應當根據情況重新進行安全背景審查。

第十三條  專門安全管理機構具體(tǐ)負責本單位的鐵路關鍵信息基礎設施安全保護工(gōng)作，履行下(xià)列職責：

（一(yī)）建立健全網絡安全管理、評價考核制度，拟訂鐵路關鍵信息基礎設施安全保護計劃；

（二）組織推動網絡安全防護能力建設，開(kāi)展網絡安全監測、檢測和風險評估；

（三）按照國家及鐵路行業要求，制定本單位網絡安全事件應急預案，定期開(kāi)展應急演練，處置網絡安全事件；

（四）認定網絡安全關鍵崗位，組織開(kāi)展網絡安全工(gōng)作考核，提出獎勵和懲處建議；

（五）組織網絡安全教育、培訓；

（六）履行個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度；

（七）對鐵路關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理；

（八）按照規定報告網絡安全事件和重要事項。

第十四條  運營者應當加強鐵路關鍵信息基礎設施供應鏈安全保護，優先采購安全可信的網絡産品和服務。運營者采購網絡産品和服務，應當預判該産品和服務投入使用後對國家安全的影響。可能影響國家安全的，應當按照國家有關規定申報網絡安全審查。

第十五條  運營者應當加強數據安全保護，明确重要數據和個人信息的保護措施，将在我(wǒ)(wǒ)國境内運營中(zhōng)收集和産生(shēng)的個人信息和重要數據存儲在境内。因業務需要，确需向境外(wài)提供數據的，應當按照國家相關規定和标準進行安全評估。法律、行政法規另有規定的，依照其規定執行。

第十六條  運營者應當自行或者委托網絡安全服務機構對鐵路關鍵信息基礎設施每年至少進行一(yī)次網絡安全檢測和風險評估，對發現的安全問題及時整改，并按照國家鐵路局要求報送情況。

第十七條  法律、行政法規和國家有關規定要求使用商(shāng)用密碼進行保護的鐵路關鍵信息基礎設施，運營者應當使用商(shāng)用密碼進行保護，自行或者委托商(shāng)用密碼檢測機構每年至少開(kāi)展一(yī)次商(shāng)用密碼應用安全性評估。

商(shāng)用密碼應用安全性評估應當與鐵路關鍵信息基礎設施安全檢測和風險評估、網絡安全等級測評制度相銜接，避免重複評估、測評。

第十八條  運營者應當加強全過程保密管理，采購網絡産品和服務，應當按照規定與提供者簽訂安全保密協議，明确提供者的技術支持和安全保密義務與責任，并對義務與責任履行情況進行監督。

第十九條  運營者應當制定本單位的監測預警和信息通報制度，加強對鐵路關鍵信息基礎設施監測，研判整體(tǐ)安全态勢。

第二十條  鐵路關鍵信息基礎設施發生(shēng)重大(dà)網絡安全事件或者發現重大(dà)網絡安全威脅時，運營者應當按照有關規定向國家鐵路局、公安機關報告，并立即啓動本單位網絡安全事件應急預案。

鐵路關鍵信息基礎設施發生(shēng)特别重大(dà)網絡安全事件或者發現特别重大(dà)網絡安全威脅時，國家鐵路局應當在收到報告後，及時向國家網信部門、國務院公安部門報告。

第二十一(yī)條  運營者發生(shēng)合并、分(fēn)立、解散等情況，應當及時報告國家鐵路局，并按照國家鐵路局的要求對鐵路關鍵信息基礎設施進行處置，确保安全。

第四章  保障和監督

第二十二條  國家鐵路局應當制定鐵路關鍵信息基礎設施安全規劃，明确保護目标、基本要求、工(gōng)作任務、具體(tǐ)措施。

第二十三條  國家鐵路局應當依托國家網絡安全信息共享機制，組織建立鐵路關鍵信息基礎設施網絡安全監測預警制度，及時掌握鐵路關鍵信息基礎設施運行狀況、安全态勢，預警通報網絡安全威脅和隐患，指導做好安全防範工(gōng)作。

第二十四條  國家鐵路局應當組織建立健全鐵路關鍵信息基礎設施網絡安全事件應急預案體(tǐ)系，定期組織應急演練；指導運營者做好網絡安全事件應對處置，并根據需要組織提供技術支持與協助。

第二十五條  國家鐵路局定期組織開(kāi)展鐵路關鍵信息基礎設施網絡安全檢查檢測，指導監督運營者及時整改安全隐患、完善安全措施。

檢查工(gōng)作不得收取費(fèi)用，不得要求被檢查單位購買指定品牌或者指定生(shēng)産、銷售單位的産品和服務。

第二十六條  運營者對國家鐵路局依法開(kāi)展的網絡安全檢查檢測工(gōng)作，以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開(kāi)展的鐵路關鍵信息基礎設施網絡安全檢查工(gōng)作應當予以配合。

第二十七條  國家鐵路局、網絡安全服務機構及其工(gōng)作人員(yuán)對于在鐵路關鍵信息基礎設施安全保護過程中(zhōng)獲取的信息，隻能用于維護網絡安全，并嚴格按照有關法律、行政法規的要求确保信息安全，不得洩露、出售、非法向他人提供或者進行其他違法活動。

第五章  法律責任

第二十八條  運營者違反本辦法規定的，由國家鐵路局依照《中(zhōng)華人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》等法律、行政法規的規定予以處罰。

第二十九條  國家鐵路局及其工(gōng)作人員(yuán)存在下(xià)列情形之一(yī)的，按照有關法律、行政法規的規定予以處分(fēn)：

（一(yī)）未履行鐵路關鍵信息基礎設施安全保護和監督管理職責或者玩忽職守、濫用職權、徇私舞弊的；

（二）在開(kāi)展鐵路關鍵信息基礎設施網絡安全檢查工(gōng)作中(zhōng)收取費(fèi)用，或者要求被檢查單位購買指定品牌或者指定生(shēng)産、銷售單位的産品和服務的；

（三）将在鐵路關鍵信息基礎設施安全保護工(gōng)作中(zhōng)獲取的信息洩露、出售、非法向他人提供或者進行其他違法活動的。

第六章  附   則

第三十條  本辦法自2024年2月1日起施行。

（來源：交通運輸部網站）