铁路关键信息基础设施安全保护管理办法（征求意见稿）.pdfVIP

铁路关键信息基础设施安全保护管理办法

（征求意见稿）

第一章总则

第一条为了保障铁路关键信息基础设施安全，维护网络安

全，根据《中华人民共和国网络安全法》《关键信息基础设施安

全保护条例》等法律、行政法规，制定本办法。

第二条铁路关键信息基础设施的安全保护和监督管理工

作，适用本办法。

前款所称铁路关键信息基础设施是指在铁路领域，一旦遭到

破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民

生和公共利益的重要网络设施、信息系统等。

第三条国家铁路局依法负责全国铁路关键信息基础设施

安全保护和监督管理工作，是铁路关键信息基础设施安全保护工

作部门。

地区铁路监督管理局依据国家铁路局要求，开展相关工作。

第四条铁路关键信息基础设施安全保护坚持强化和落实

铁路关键信息基础设施运营者（以下简称运营者）主体责任，加

强和规范保护工作部门监督管理，发挥社会各方面的作用，共同

保护铁路关键信息基础设施安全。

第五条任何个人和组织不得实施非法侵入、干扰、破坏铁

路关键信息基础设施的活动，不得危害铁路关键信息基础设施安

全。

未经国家网信部门、国务院公安部门批准或者国家铁路局、

运营者授权，任何个人和组织不得对铁路关键信息基础设施实施

漏洞探测、渗透性测试等可能影响或者危害铁路关键信息基础设

施安全的活动。

第二章铁路关键信息基础设施认定

第六条国家铁路局负责制定铁路关键信息基础设施认定

规则。

制定认定规则应当主要考虑下列因素：

（一）网络设施、信息系统等对于铁路关键核心业务的重要

程度；

（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者

数据泄露可能带来的危害程度；

（三）对其他行业和领域的关联性影响。

第七条国家铁路局根据认定规则，负责组织认定铁路关键

信息基础设施，及时将认定结果通知运营者，并通报国务院公安

部门。

第八条铁路关键信息基础设施发生改建、扩建、运营者变

更等较大变化，可能影响认定结果的，运营者应当及时将相关情

况报告国家铁路局。国家铁路局自收到报告之日起3个月内完成

重新认定，将认定结果通知运营者，并通报国务院公安部门。

第三章运营者责任和义务

第九条运营者应当在国家网络安全等级保护制度的基础

上，突出保护重点，落实防护措施，加强全生命周期管理，保障

铁路关键信息基础设施安全稳定运行，维护数据的完整性、保密

性和可用性。

第十条新建、改建、扩建铁路关键信息基础设施的，运营

者应当做到安全防护措施与关键信息基础设施同步规划、同步建

设、同步使用。

运营者应当按照国家有关规定对安全保护措施予以验证。

第十一条运营者应当建立健全网络安全保护制度和责任

制，保障人力、财力、物力投入。

运营者的主要负责人对所运营的铁路关键信息基础设施安

全保护负总责，领导关键信息基础设施安全保护和重大网络安全

事件处置工作，组织研究解决重大网络安全问题。

运营者应明确一名领导班子成员分管铁路关键信息基础设

施安全保护工作，并为每个铁路关键信息基础设施明确安全管理

责任人。

第十二条运营者应当设置专门安全管理机构，并对专门安

全管理机构负责人和关键岗位人员进行安全背景审查。

运营者应当保障专门安全管理机构的人员配备，开展与网络

安全和信息化有关的决策，应当有专门安全管理机构人员参与。

专门安全管理机构的负责人和关键岗位人员的身份、安全背

景等发生变化或必要时，运营者应当根据情况重新进行安全背景

审查。

第十三条专门安全管理机构具体负责本单位的铁路关键

信息基础设施安全保护工作，履行下列职责：

（一）建立健全网络安全管理、评价考核制度，拟订铁路关

键信息基础设施安全保护计划；

（二）组织推动网络安全防护能力建设，开展网络安全监测、

检测和风险评估；

（三）按照国家及铁路行业要求，制定本单位网络安全事件

应急预案，定期开展应急演练，处置网络安全事件；

（四）认定网络安全关键岗位，组织开展网络安全工作考核，

提出奖励和惩处建议；