交通运输部贯彻实施《公路水路关键信息基础设施安全保护管理办法》

交通运输部办公厅

关于贯彻实施《公路水路关键信息基础设施安全保护管理办法》的通知

交办科技〔2023〕39号

各省、自治区、直辖市、新疆生产建设兵团交通运输厅（局、委），部属行政单位，部内各司局：

    为贯彻落实《公路水路关键信息基础设施安全保护管理办法》（交通运输部令2023年第4号，以下简称《办法》），进一步提升公路水路关键信息基础设施（以下简称关基设施）安全保护和监督管理水平，现将有关事项通知如下：

一、严格履行安全保护和监督管理责任

    各单位要严格落实《办法》规定，按照分级分域、属地为主、业务归口、统筹协调原则，对关基设施具体实施安全保护和监督管理。关基设施安全保护和监督管理工作由行政机关负责。省级交通运输主管部门负责对省级设施具体实施安全保护和监督管理，计划单列市交通运输主管部门协助。部级设施的关键业务或系统主管单位，对部级设施具体实施安全保护和监督管理。部网络安全工作主管单位统筹协调关基设施认定、规划、检查工作。关基设施安全保护和监督管理工作部门和单位要明确监管责任领导、具体监管处室（部门）负责人，确保责任到人、任务到岗、监管到位。

二、全面压实运营者安全保护主体责任

    （一）完善责任体系。要督促关基设施运营者建立网络安全工作责任体系，确定主要负责人为安全保护总负责人、一名领导班子成员为首席网络安全官，依法设置专门安全管理机构。要指导运营者加强网络安全工作考核，建立安全保护与履职评定、奖励惩处挂钩的制度机制。

    （二）加强工作保障。要督促运营者建立网络安全工作保障体系，配齐配强专门安全管理机构人员，加强安全管理机构负责人和关键岗位人员背景审查和技能培训，保障专门安全管理机构的运行经费。

    （三）落实保护措施。要督促运营者落实等级保护制度，对低于三级的关基设施要抓紧履行重新定级、备案、测评及整改程序。要建立关基设施网络安全监测系统，制定网络安全事件应急预案，每年至少开展一次检测评估、一次应急演练。对新、改、扩建的关基设施，要指导运营者同步规划、同步建设、同步使用安全保护措施，落实供应链安全管理要求并优先采购安全可信的网络产品和服务。

三、有效落实《办法》法定要求

    （一）完善管理制度。要严格落实部有关认定规则，不得擅自开展关基设施认定。要制定完善本单位本行政区域内网络安全管理办法和网络安全事件应急预案，强化对关基设施网络安全管理和事件应急处置。

    （二）强化监督检查和考核评价。每年至少要开展一次由监管责任领导带队的现场督导检查，核实运营者《办法》落实情况及其主要负责人、首席网络安全官履职情况。要委托具备等级保护测评或 风险 风险查询 评估资质的机构对关基设施开展技术检测，技术检测报告须归档备查。要积极推动将关基设施安全保护工作纳入运营者安全生产和考核评价体系。

    （三）完善监测和应急机制。要提升网络安全威胁感知能力，将运营者的门户网站、互联网运行关基设施纳入实时监测范围；专网运行的关基设施，要在专网内实时监测。要组织运营者参与交通运输行业网络安全信息通报工作机制，强化情报信息共享交换。要指导运营者开展实战演练，督促其建立隐患排查机制，实行隐患“台账式”管理和挂账督办，对整改情况定期开展督查复核。对重大隐患久拖不改的，要采取约谈、责令整改等措施，及时推动整改“清零”。

四、做好《办法》贯彻实施组织工作

    （一）做好衔接协调。《办法》贯彻实施中，要做好与实施《关键信息基础设施安全保护条例》（以下简称《条例》）和《关键信息基础设施安全保护要求（GB/T 39204-2022）》的衔接，确保安全保护和监督管理工作协同推进。要加强与部网络安全主管单位及地方网信、公安机关的沟通协调，确保重要情况及时共享。

    （二）精心组织培训。要针对运营者、网络安全服务机构等不同对象，开展多渠道、多形式的宣贯培训，教育引导相关人员准确把握《办法》内容和实施要求，依法依规做好安全保护工作。

    （三）及时跟踪评估。要高度关注《办法》实施中的新问题、新情况，适时评估运营者落实情况，对落实不到位的，及时督促整改；情节严重的，要依据《条例》和《办法》对相关单位或责任人进行处罚。

五、其他有关要求

    （一）各单位要将关基设施安全保护作为调查研究的重点内容，监管责任领导要带队深入关基设施运营者开展实地调研，摸清情况、找准问题、提实对策，打通《办法》实施和监督管理中的堵点淤点难点。

    （二）各单位要按照本通知要求，抓紧制定《办法》贯彻实施的专项方案，梳理关基设施安全保护和监督管理责任人员台账，及时报部备案。具体要求另行通知。

    （三）尚未承担关基设施安全保护和监督管理工作的各单位要积极开展《办法》宣传解读，如后续按认定程序新增负责安全保护和监督管理的关基设施，要严格按本通知要求执行。

交通运输部办公厅

2023年7月14日

（此件公开发布）

抄送：中央网信办网络安全协调局，公安部十一局，各计划单列市交通运输局（委），厦门港口管理局，中国远洋海运集团有限公司、招商局集团有限公司、中国交通建设集团有限公司，公路水路关键信息基础设施运营者，部属企事业单位，中央纪委国家监委驻交通运输部纪检监察组。

公路水路关键信息基础设施安全保护管理办法

（中华人民共和国交通运输部令2023年第4号）

    《公路水路关键信息基础设施安全保护管理办法》已于2023年4月14日经第8次部务会议通过，现予公布，自2023年6月1日起施行。

部长 李小鹏

2023年4月24日

公路水路关键信息基础设施安全保护管理办法

第一章  总   则

    第一条 为了保障公路水路关键信息基础设施安全，维护网络安全，根据《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律、行政法规，制定本办法。

    第二条 公路水路关键信息基础设施的安全保护和监督管理工作，适用本办法。

    前款所称公路水路关键信息基础设施是指在公路水路领域，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。

    第三条 交通运输部负责全国公路水路关键信息基础设施安全保护和监督管理。对在全国范围运营以及其他经交通运输部评估明确由部管理的公路水路关键信息基础设施（以下统称部级设施），由交通运输部具体实施安全保护和监督管理工作。

    省级人民政府交通运输主管部门按照职责对本行政区域内运营的公路水路关键信息基础设施（以下统称省级设施）具体实施安全保护和监督管理。

    交通运输部和省级人民政府交通运输主管部门以下统称交通运输主管部门。

    第四条 公路水路关键信息基础设施安全保护坚持强化和落实公路水路关键信息基础设施运营者（以下简称运营者）主体责任，加强和规范交通运输主管部门监督管理，充分发挥社会各方面的作用，共同保护公路水路关键信息基础设施安全。

    第五条 任何个人和组织不得实施非法侵入、干扰、破坏公路水路关键信息基础设施的活动，不得危害公路水路关键信息基础设施安全。   

第二章  公路水路关键信息基础设施认定

    第六条 交通运输部负责制定和修改公路水路关键信息基础设施认定规则，并报国务院公安部门备案。

    制定和修改认定规则应当主要考虑下列因素：

    （一）网络设施、信息系统等对于公路水路关键核心业务的重要程度；

    （二）网络设施、信息系统等是否存储处理国家核心数据，以及网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度； 

    （三）对其他行业和领域的关联性影响。

    第七条 交通运输部根据认定规则负责组织认定公路水路关键信息基础设施，形成公路水路关键信息基础设施清单，及时将认定结果通知运营者，并通报国务院公安部门。

    第八条 公路水路关键信息基础设施发生改建、扩建、运营者变更等较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告交通运输部。交通运输部自收到报告之日起3个月内完成重新认定，更新公路水路关键信息基础设施清单，并通报国务院公安部门。    

    第九条 省级人民政府交通运输主管部门应当按照交通运输部的相关要求，负责组织筛选识别省级行政区域内运营的公路水路关键信息基础设施待认定对象，并研究提出初步认定意见报交通运输部。

    交通运输部应当将认定结果通知省级人民政府交通运输主管部门。

第三章  运营者责任义务　

    第十条 新建、改建、扩建或者升级改造公路水路关键信息基础设施的，安全保护措施应当与公路水路关键信息基础设施同步规划、同步建设、同步使用。

    运营者应当按照国家有关规定对安全保护措施予以验证。

    第十一条 运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对公路水路关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。

    运营者应当明确管理本单位公路水路关键信息基础设施安全保护工作的具体负责人。

    第十二条 运营者应当设置专门安全管理机构，明确负责人和关键岗位人员并进行安全背景审查和安全技能培训，符合要求的人员方能上岗。鼓励网络安全专门人才从事公路水路关键信息基础设施安全保护工作。    

    运营者应当保障专门安全管理机构的人员配备，开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。    

    专门安全管理机构的负责人和关键岗位人员的身份、安全背景等发生变化或者必要时，运营者应当重新进行安全背景审查。

    第十三条 运营者应当保障专门安全管理机构的运行经费，并依法依规严格规范经费使用和管理，防止资金挤占挪用。

    重要网络设施和安全设备达到使用期限的，运营者应当优先保障设施设备更新经费。

    第十四条 运营者应当加强公路水路关键信息基础设施供应链安全管理，应当采购依法通过检测认证的网络关键设备和网络安全专用产品，优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。

    鼓励运营者从已通过云计算服务安全评估的云计算服务平台中采购云计算服务。

    第十五条 运营者应当加强公路水路关键信息基础设施个人信息和数据安全保护，将在我国境内运营中收集和产生的个人信息和重要数据存储在境内。因业务需要，确需向境外提供数据的，应当按照国家相关规定进行安全评估；法律、行政法规另有规定的，依照其规定执行。

    第十六条  公路水路关键信息基础设施的网络安全保护等级应当不低于第三级。

    运营者应当在网络安全等级保护的基础上，对公路水路关键信息基础设施实行重点保护，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障公路水路关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

    第十七条 运营者应当自行或者委托网络安全服务机构对公路水路关键信息基础设施每年至少进行一次网络安全检测和 风险 风险查询 评估，对发现的安全问题及时整改。部级设施的运营者应当直接向交通运输部报送相关情况；省级设施的运营者应当将相关情况报经省级人民政府交通运输主管部门审核后报送交通运输部。

    第十八条 法律、行政法规和国家有关规定要求使用商用密码进行保护的公路水路关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估。

商用密码应用安全性评估应当与公路水路关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

    第十九条 运营者应当加强保密管理，按照国家有关规定与网络产品和服务提供者等必要人员签订安全保密协议，明确提供者等必要人员的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督。

    第二十条 运营者应当制定网络安全教育培训制度，定期开展网络安全教育培训和技能考核。教育培训的具体内容和学时应当遵守国家有关规定。

    第二十一条 运营者应当建设本单位网络安全监测系统，对公路水路关键信息基础设施开展全天候监测和值班值守。

    运营者应当加强本单位网络安全信息通报预警力量建设，依托国家网络与信息安全信息通报机制，及时收集、汇总、分析各方网络安全信息，组织开展网络安全威胁分析和态势研判，及时通报预警和处置。

    第二十二条 运营者应当按照国家有关要求制定网络安全事件应急预案，建立网络安全事件应急处置机制，加强应急力量建设和应急资源储备，每年至少开展一次应急演练，并针对应急演练发现的突出问题和漏洞隐患，及时整改加固，完善保护措施。

    第二十三条 部级设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当直接向交通运输部、公安机关报告，并立即启动本单位网络安全事件应急预案。

    省级设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当立即向省级人民政府交通运输主管部门、公安机关报告，并启动本单位网络安全事件应急预案。省级人民政府交通运输主管部门应当将相关情况及时报告交通运输部。

    公路水路关键信息基础设施发生特别重大网络安全事件或者发现特别重大网络安全威胁时，交通运输部应当在收到报告后，及时向国家网信部门、国务院公安部门报告。

第四章  保障和监督

    第二十四条 交通运输部应当制定公路水路关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。

    交通运输主管部门、运营者应当严格落实公路水路关键信息基础设施安全规划。

    第二十五条 交通运输部应当建立公路水路关键信息基础设施网络安全监测预警制度，充分利用网络安全信息共享机制，及时掌握公路水路关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。

    省级人民政府交通运输主管部门应当及时掌握省级设施的运行状况、安全态势，并组织做好预警通报和安全防范工作。

    第二十六条 交通运输部应当按照国家网络安全事件应急预案的要求，建立健全公路水路网络安全事件应急预案，定期组织应急演练；指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助。

    省级人民政府交通运输主管部门应当依据前款规定组织做好本行政区域内公路水路网络安全事件应急预案、应急演练相关工作，并将应急预案、应急演练情况及时报告交通运输部。省级人民政府交通运输主管部门应当指导省级设施运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助。

    第二十七条 交通运输主管部门应当定期组织开展公路水路关键信息基础设施网络安全检查检测，指导监督运营者建立问题台账，制定整改方案，及时整改安全隐患、完善安全措施。省级人民政府交通运输主管部门应当将检查检测情况及时报告交通运输部。

    公路水路关键信息基础设施网络安全检查检测应当在国家网信部门的统筹协调下开展，避免不必要的检查和交叉重复检查。检查工作不得收取费用，不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。

    第二十八条 运营者对交通运输主管部门开展的网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的公路水路关键信息基础设施网络安全检查工作应当予以配合，并如实提供网络安全管理制度、重要资产清单、网络日志等必要的资料。

    第二十九条 交通运输主管部门按照国家有关规定，对网络安全工作不力、重大安全问题隐患久拖不改，或者存在重大网络安全 风险 风险查询 、发生重大网络安全事件的运营者，约谈单位负责人，并加大网络安全监督检查力度。

    第三十条 交通运输主管部门、网络安全服务机构及其工作人员对于在公路水路关键信息基础设施安全保护过程中获取的信息，只能用于维护网络安全，并严格按照有关法律、行政法规的要求确保信息安全，不得泄露、出售或者非法向他人提供。

第五章  法律责任

    第三十一条 运营者违反本办法规定的，由交通运输主管部门按照《关键信息基础设施安全保护条例》等法律、行政法规的规定予以处罚。

    第三十二条 交通运输主管部门及其工作人员存在以下情形之一的，按照《关键信息基础设施安全保护条例》等法律、行政法规的规定予以处分：

    （一）未履行公路水路关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的；

    （二）在开展公路水路关键信息基础设施网络安全检查工作中收取费用，或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务的；

    （三）将在公路水路关键信息基础设施安全保护工作中获取的信息用于其他用途，或者泄露、出售、非法向他人提供的。

第六章  附   则

    第三十三条 本办法自2023年6月1日起施行。

来源：交通运输部 官网