中华人民共和国交通运输部令
(2023年第20号)
《铁路关键信息基础设施安全保护管理办法》已于2023年12月8日经第28次部务会议通过,现予公布,自2024年2月1日起施行。
部长 李小鹏
2023年12月17日
铁路关键信息基础设施安全保护管理办法
第一章 总 则
为了保障铁路关键信息基础设施安全,维护网络安全,根据《》《关键信息基础设施安全保护条例》等法律、行政法规,制定本办法。
铁路关键信息基础设施的安全保护和监督管理工作,适用本办法。
本办法所称铁路关键信息基础设施,是指在铁路领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。
国家铁路局是负责铁路领域关键信息基础设施安全保护工作的部门,在职责范围内负责全国铁路关键信息基础设施安全保护和监督管理工作。
地区铁路监督管理局按照国家铁路局要求,开展本辖区铁路关键信息基础设施的安全保护和监督管理工作。
铁路关键信息基础设施安全保护坚持强化和落实铁路关键信息基础设施运营者(以下简称运营者)主体责任,加强和规范保护工作部门监督管理,发挥社会各方面的作用,共同保护铁路关键信息基础设施安全。
任何个人和组织不得实施非法侵入、干扰、破坏铁路关键信息基础设施的活动,不得危害铁路关键信息基础设施安全。
第二章 铁路关键信息基础设施认定
国家铁路局负责制定铁路关键信息基础设施认定规则,并报国务院公安部门备案,抄送国家网信部门。
制定认定规则应当主要考虑下列因素:
(一)网络设施、信息系统等对于铁路关键核心业务的重要程度;
(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(三)对其他行业和领域的关联性影响。
国家铁路局根据认定规则,负责组织认定铁路关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门,抄送国家网信部门。
铁路关键信息基础设施发生改建、扩建、运营者变更等较大变化,可能影响认定结果的,运营者应当及时将相关情况报告国家铁路局。国家铁路局自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门,抄送国家网信部门。
第三章 运营者责任和义务
铁路关键信息基础设施的网络安全保护等级应当不低于第三级。
运营者应当依照有关法律、行政法规的规定以及国家标准的强制性要求,在国家网络安全等级保护制度的基础上,突出保护重点,落实防护措施,加强全生命周期管理,保障铁路关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
新建、改建、扩建铁路关键信息基础设施的,运营者应当做到安全防护措施与关键信息基础设施同步规划、同步建设、同步使用,并采取检测评估、安全演练等方式验证安全保护措施的有效性。
运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。
运营者的主要负责人对所运营的铁路关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
运营者应当为每个铁路关键信息基础设施明确安全管理责任人。
运营者应当设置专门安全管理机构,保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。
运营者应当对专门安全管理机构负责人和关键岗位人员进行安全背景审查。专门安全管理机构的负责人和关键岗位人员的身份、安全背景等发生变化或者必要时,运营者应当根据情况重新进行安全背景审查。
专门安全管理机构具体负责本单位的铁路关键信息基础设施安全保护工作,履行下列职责:
(一)建立健全网络安全管理、评价考核制度,拟订铁路关键信息基础设施安全保护计划;
(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(三)按照国家及铁路行业要求,制定本单位网络安全事件应急预案,定期开展应急演练,处置网络安全事件;
(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(五)组织网络安全教育、培训;
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(七)对铁路关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
(八)按照规定报告网络安全事件和重要事项。
······法宝用户,请后查看全部内容。
还不是用户?单位用户可申请试用或直接致电400-810-8266成为法宝付费用户。
