交通運輸部就《公路水路關鍵信息基礎設施安全保護管理辦法(征求意見稿)》公開征求意見
為規范公路水路關鍵信息基礎設施安全保護管理,落實關鍵信息基礎設施安全保護工作責任,交通運輸部起草了《公路水路關鍵信息基礎設施安全保護管理辦法(征求意見稿)》(以下簡稱《辦法》)。日前,交通運輸部正式發布通知,就《辦法》向社會公開征求意見。
《辦法》共六章四十八條,主要包括公路水路關鍵信息基礎設施認定、運營者責任和義務、保障和監督管理以及法律責任等方面內容。歡迎社會各界對《辦法》提出意見,交通運輸部將根據公開征求意見情況,對《辦法》進一步完善,意見反饋截止時間為2022年9月26日。
以下是《公路水路關鍵信息基礎設施安全保護管理辦法(征求意見稿)》公開征求意見的通知全文:
為規范公路水路關鍵信息基礎設施安全保護管理,落實關鍵信息基礎設施安全保護工作責任,我部起草了《公路水路關鍵信息基礎設施安全保護管理辦法(征求意見稿)》,現向社會公開征求意見。公眾可通過以下途徑和方式提出反饋意見:
1.登錄中華人民共和國司法部 中國政府法制信息網(http://www.moj.gov.cn、http://www.chinalaw.gov.cn),進入首頁主菜單的“立法意見征集”欄目提出意見。
2.登錄交通運輸部網站(網址:https://www.mot.gov.cn),進入首頁右側的“互動”欄“意見征集”點擊“關于《公路水路關鍵信息基礎設施安全保護管理辦法(征求意見稿)》公開征求意見的通知”提出意見。
3.電子郵箱:jtbtbjz@mot.gov.cn,郵件主題請注明“《公路水路關鍵信息基礎設施安全保護管理辦法》修改意見”。
4.通信地址:北京市建國門內大街11號交通運輸部科技司信息化管理處(100736)。
意見反饋截止時間為2022年9月26日。
交通運輸部
2022年8月23日
公路水路關鍵信息基礎設施安全保護管理辦法
(征求意見稿)
第一章 總則
第一條 為規范公路水路關鍵信息基礎設施安全保護管理,落實關鍵信息基礎設施安全保護工作責任,根據《中華人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》等法律、行政法規,制定本辦法。
第二條 在公路水路關鍵信息基礎設施規劃建設、識別認定、安全防護、檢測評估、監測預警、事件處置及監管等過程中,為保障關鍵信息基礎設施安全穩定運行和維護數據的完整性、保密性、可用性所執行的各項工作,適用于本辦法。
第三條 公路水路關鍵信息基礎設施安全保護堅持綜合協調、分工負責、依法保護,加強和規范交通運輸主管部門監督管理,強化和夯實公路水路關鍵信息基礎設施運營者(以下簡稱運營者)主體責任,引導和發揮網絡安全服務機構等社會各方面的作用,共同保護公路水路關鍵信息基礎設施安全。
第四條 交通運輸部在職責范圍內負責公路水路關鍵信息基礎設施安全保護和監督管理工作,是負責全國公路水路關鍵信息基礎設施安全保護工作的部門(以下簡稱保護工作部門)。交通運輸部網絡安全管理部門按照有關規定,主要承擔以下具體工作:
(一)制定公路水路關鍵信息基礎設施安全規劃;
(二)組織認定公路水路關鍵信息基礎設施;
(三)制定公路水路關鍵信息基礎設施相關標準規范;
(四)建立公路水路關鍵信息基礎設施網絡安全監測預警通報制度和應急工作體系;
(五)組織公路水路關鍵信息基礎設施檢查檢測、風險評估和應急演練。
第五條 地方交通運輸主管部門在地方黨委和政府的領導下,按照誰主管誰負責、屬地管理的原則,對本地區公路水路關鍵信息基礎設施實施安全保護和監督管理,配合上級交通運輸主管部門和同級網信、公安等部門開展相關工作。
第六條 運營者應當在國家網絡安全等級保護制度的基礎上,履行安全保護管理的主體責任,突出保護重點,落實防護措施,加強全生命周期管理,保護公路水路關鍵信息基礎設施業務連續運行和重要數據不泄露、不受破壞。
第七條 任何個人和組織不得實施非法侵入、干擾、破壞公路水路關鍵信息基礎設施的活動,不得危害公路水路關鍵信息基礎設施安全。
未經國家網信部門、國務院公安部門批準或者交通運輸部、運營者授權,任何個人和組織不得對公路水路關鍵信息基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關鍵信息基礎設施安全的活動。
第八條 對在公路水路關鍵信息基礎設施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人,按照有關規定給予表彰,激勵擔當作為。
第二章 公路水路關鍵信息基礎設施認定
第九條 交通運輸部制定和完善公路水路關鍵信息基礎設施認定規則,并報國務院公安部門備案。
制定修訂認定規則應當主要考慮下列因素:
(一)網絡設施、信息系統等對于公路水路關鍵核心業務的重要程度;
(二)網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度;
(三)對其他行業和領域的關聯性影響。
公路水路關鍵信息基礎設施中包含的網絡設施、信息系統,其網絡安全保護等級應不低于第三級。
第十條 交通運輸部根據認定規則負責組織認定公路水路關鍵信息基礎設施,及時將認定結果通知運營者,形成公路水路關鍵信息基礎設施清單,并通報國務院公安部門。
地方交通運輸主管部門管轄范圍內的公路水路關鍵信息基礎設施,其認定需經地方交通運輸主管部門審核后報交通運輸部評審認定。
第十一條 公路水路關鍵信息基礎設施發生改建、擴建、運營者變更等較大變化時,應重新開展識別工作,可能影響認定結果的,運營者應當及時將相關情況報告交通運輸部。交通運輸部自收到報告之日起3個月內完成重新認定,將認定結果通知運營者,并通報國務院公安部門,更新公路水路關鍵信息基礎設施清單。
地方交通運輸主管部門管轄范圍內的公路水路關鍵信息基礎設施,發生可能影響認定結果的較大變化時,相關情況需經地方交通運輸主管部門報告交通運輸部。
第三章 運營者責任和義務
第十二條 在公路水路關鍵信息基礎設施新建、擴建、升級改造等建設階段,運營者應當實現安全防護措施與關鍵信息基礎設施主體工程同步規劃、同步建設、同步使用,并采取檢測評估、攻防演練等方式驗證。
第十三條 運營者應當建立健全網絡安全保護制度和責任制,保障人力、財力、物力投入。運營者的主要負責人對所轄的公路水路關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護、安全防護策略制定和重大網絡安全事件處置等工作,組織研究解決重大網絡安全問題。
運營者應當設立首席網絡安全官,為每個公路水路關鍵信息基礎設施明確一名安全管理責任人。
第十四條 運營者應當設置專門安全管理機構,并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查和安全技能培訓,符合要求的人員方能上崗。鼓勵網絡安全專門人才從事公路水路關鍵信息基礎設施安全保護工作。
開展與網絡安全和信息化有關的決策應當有專門安全管理機構人員參與。
當專門安全管理機構的負責人和關鍵崗位人員的身份、安全背景等發生變化或必要時,運營者應當根據情況重新進行安全背景審查。
第十五條 專門安全管理機構具體負責本單位的公路水路關鍵信息基礎設施安全保護工作,履行下列職責:
(一)建立健全網絡安全管理、評價考核制度,擬訂公路水路關鍵信息基礎設施安全保護計劃;
(二)組織推動網絡安全防護能力建設,開展網絡安全監測、檢測和風險評估;
(三)按照國家及公路水路行業網絡安全事件應急預案,制定本單位應急預案,定期開展應急演練,處置網絡安全事件;
(四)認定網絡安全關鍵崗位,組織開展網絡安全工作考核,提出獎勵和懲處建議;
(五)組織網絡安全教育、培訓;
(六)履行個人信息和數據安全保護責任,建立健全個人信息和數據安全保護制度;
(七)對公路水路關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理;
(八)按照規定報告網絡安全事件和重要事項。
第十六條 運營者應合理安排專門安全管理機構的運行經費,并嚴格規范經費使用和管理,防止資金閑置或擠占挪用。當重要網絡設施和安全設備達到使用期限,應優先保障設施設備更新經費。
第十七條 運營者應當加強供應鏈安全保護,優先采購安全可信的網絡產品和服務;采購網絡產品和服務影響或者可能影響國家安全的,運營者應當預判網絡產品和服務投入使用后可能帶來的國家安全風險,按照國家有關規定申報網絡安全審查。
運營者應當采購通過檢測認證的網絡關鍵設備和網絡安全專用產品,采購的云計算服務應當從已通過云計算服務安全評估的云平臺中選擇。
第十八條 運營者應當加強數據安全保護,明確重要數據和個人信息的保護措施,將在我國境內運營中收集和產生的個人信息和重要數據存儲在境內,因業務需要,確需向境外提供數據的,應當按照國家相關規定和標準進行安全評估,法律、行政法規另有規定的,依照其規定執行。
第十九條 法律、行政法規和國家有關規定要求使用商用密碼進行保護的公路水路關鍵信息基礎設施,運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構每年至少開展一次商用密碼應用安全性評估。商用密碼應用安全性評估應當與公路水路關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重復評估、測評。
第二十條 運營者應當加強全過程保密管理,分別與從業人員、維護人員、網絡產品和服務提供者等簽訂安全保密協議,明確提供者的技術支持和安全保密義務與責任,并對義務與責任履行情況進行監督。安全保密協議內容應包括安全職責、保密內容、違約責任及行政、刑事違法責任提醒、有效期等。
第二十一條 運營者應制定網絡安全教育培訓制度,定期開展網絡安全教育培訓和技能考核,首席網絡安全官、專門安全管理機構負責人和關鍵崗位人員等公路水路關鍵信息基礎設施從業人員每人每年教育培訓時長不得少于30個學時。
第二十二條 運營者應當自行或者委托網絡安全服務機構對公路水路關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估,對發現的安全問題及時整改,并及時向交通運輸部報送整改情況。
地方交通運輸主管部門管轄范圍內的公路水路關鍵信息基礎設施,其整改情況需經地方交通運輸主管部門審核后報交通運輸部。
第二十三條 運營者對交通運輸部、地方交通運輸主管部門以及網信、公安等其他有關部門依法開展的網絡安全檢查檢測工作應當予以配合,提供網絡安全管理制度、網絡拓撲圖、重要資產清單、網絡日志等必要的資料。
第二十四條 運營者應當制定本單位的監測預警和信息通報制度,對公路水路關鍵信息基礎設施開展7×24小時監測,研判整體安全態勢。
第二十五條 運營者應當建立網絡安全事件管理制度,組織建立專門網絡安全應急支撐隊伍、專家隊伍,制定應急預案等網絡安全事件管理文檔,每年定期開展本單位的應急演練。
第二十六條 公路水路關鍵信息基礎設施發生重大網絡安全事件或者發現重大網絡安全威脅時,運營者按照有關規定向交通運輸部、地方交通運輸主管部門、公安機關報告,并立即啟動本單位網絡安全事件應急預案,固定證據,留存線索。涉及網絡攻擊的,運營者應當及時向公安機關報案。
第四章 保障和監督管理
第二十七條 公路水路關鍵信息基礎設施安全規劃由交通運輸部制定并組織實施,應當符合國家及交通運輸行業總體規劃,明確保護目標、基本要求、工作任務、具體措施。
第二十八條 交通運輸部按照國家數據分類分級保護制度要求,組織運營者識別認定重要數據,納入交通運輸重要數據目錄,實施重點保護。
地方交通運輸主管部門管轄范圍內的公路水路關鍵信息基礎設施,其重要數據識別需經地方交通運輸主管部門審核后報交通運輸部認定。
第二十九條 交通運輸部、地方交通運輸主管部門及其工作人員對于在公路水路關鍵信息基礎設施安全保護過程中獲取的信息,只能用于維護網絡安全,并嚴格按照有關法律、行政法規的要求確保信息安全,不得泄露、出售或者非法向他人提供。
第三十條 交通運輸部、地方交通運輸主管部門定期組織開展公路水路關鍵信息基礎設施網絡安全檢查檢測,督促運營者建立問題臺賬,制定整改方案,及時完成整改加固和復測。
公路水路關鍵信息基礎設施網絡安全檢查檢測應當在國家網信部門的統籌協調下開展,避免不必要的檢查和交叉重復檢查。檢查工作不得收取費用,不得要求被檢查單位購買指定品牌或者指定生產、銷售單位的產品和服務。
第三十一條 交通運輸部、地方交通運輸主管部門按照國家有關規定,對網絡安全工作不力、重大安全問題隱患久拖不改,或存在重大網絡安全風險、發生重大網絡安全事件的運營者,約談單位負責人,并加大網絡安全檢查檢測力度。
第三十二條 交通運輸部建立公路水路關鍵信息基礎設施網絡安全監測預警制度,依托國家網絡與信息安全信息通報機制,完善信息共享和聯防聯控機制,及時匯總、研判、共享、發布網絡安全威脅、漏洞、事件等信息。
第三十三條 交通運輸部、地方交通運輸主管部門按照國家網絡安全事件應急預案的要求,建立健全公路水路行業網絡安全事件應急預案,定期組織應急演練。
第三十四條 公路水路關鍵信息基礎設施發生整體中斷運行或者主要功能故障、重要數據泄露、造成較大經濟損失、違法信息較大范圍傳播等特別重大網絡安全事件或者發現特別重大網絡安全威脅時,交通運輸部在收到報告后,及時向國家網信部門、國務院公安部門報告,立即啟動網絡安全事件應急預案,指導運營者做好應急處置,并根據需要組織提供技術支持與協助。
第五章 法律責任
第三十五條 運營者有下列情形之一的,由交通運輸部、地方交通運輸主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款:
(一)在公路水路關鍵信息基礎設施發生改建、擴建、運營者變更等較大變化時,未及時報告交通運輸部,或者未按照交通運輸部的要求對公路水路關鍵信息基礎設施進行處置的;
(二)安全保護措施未與公路水路關鍵信息基礎設施同步規劃、同步建設、同步使用的;
(三)未建立健全網絡安全保護制度和責任制的;
(四)未設置專門安全管理機構的;
(五)未對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查的;
(六)開展與網絡安全和信息化有關的決策沒有專門安全管理機構人員參與的;
(七)專門安全管理機構未履行本辦法第十五條規定的職責的;
(八)采購網絡產品和服務,未按照國家有關規定與網絡產品和服務提供者簽訂安全保密協議的;
(九)公路水路關鍵信息基礎設施從業人員每人每年教育培訓時長少于30個學時的;
(十)未對公路水路關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估,未對發現的安全問題及時整改,或者未按照交通運輸部要求報送情況的。
第三十六條 運營者在公路水路關鍵信息基礎設施發生重大網絡安全事件或者發現重大網絡安全威脅時,未按照有關規定向交通運輸部、地方交通運輸主管部門報告的,由交通運輸部、地方交通運輸主管部門依據職責責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處10萬元以上100萬元以下罰款,對直接負責的主管人員處1萬元以上10萬元以下罰款。
第三十七條 運營者違反網絡安全審查規定,使用未經安全審查或者安全審查未通過的網絡產品或者服務的,按照《網絡安全法》《網絡安全審查辦法》有關規定進行處罰。
第三十八條 運營者對交通運輸部、地方交通運輸主管部門開展的網絡安全檢查檢測工作不予配合的,由交通運輸部、地方交通運輸主管部門責令改正;拒不改正的,處5萬元以上50萬元以下罰款,對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款;情節嚴重的,依法追究相應法律責任。
第三十九條 交通運輸部、地方交通運輸主管部門及其工作人員未履行公路水路關鍵信息基礎設施安全保護和監督管理職責或者玩忽職守、濫用職權、徇私舞弊的,依法對直接負責的主管人員和其他直接責任人員給予處分。
第四十條 交通運輸主管部門在開展關鍵信息基礎設施網絡安全檢查工作中收取費用,或者要求被檢查單位購買指定品牌或者指定生產、銷售單位的產品和服務的,由其上級機關責令改正,退還收取的費用;情節嚴重的,依法對直接負責的主管人員和其他直接責任人員給予處分。
第四十一條 交通運輸部、地方交通運輸主管部門、網絡安全服務機構及其工作人員將在公路水路關鍵信息基礎設施安全保護工作中獲取的信息用于其他用途,或者泄露、出售、非法向他人提供的,依法對直接負責的主管人員和其他直接責任人員給予處分。
第四十二條 公路水路關鍵信息基礎設施發生重大和特別重大網絡安全事件,經調查確定為責任事故的,除應當查明運營者責任并依法予以追究外,還應查明相關網絡安全服務機構及有關部門的責任,對有失職、瀆職及其他違法行為的,依法追究責任。
第四十三條 電子政務類公路水路關鍵信息基礎設施的運營者不履行本辦法規定的網絡安全保護義務的,依照《中華人民共和國網絡安全法》有關規定予以處理。
第四十四條 違反本辦法規定,給他人造成損害的,依法承擔民事責任;構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第四十五條 網信、公安等部門履行職責,對公路水路關鍵信息基礎設施運營者違法違規行為實施行政處罰的,按照有關法律法規執行。
第六章 附則
第四十六條 本辦法下列用語的含義:
(一)公路水路關鍵信息基礎設施,是指一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的公路水路重要網絡設施、信息系統等。
(二)網絡產品和服務,是指核心網絡設備、重要通信產品、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。
第四十七條 存儲、處理涉及國家秘密信息的公路水路關鍵信息基礎設施的安全保護,還應當遵守保密法律、行政法規的規定。
第四十八條 本辦法自202X年X月X日起施行。
