第一章??總?? 則

第一條 為了保障公路水路關(guān)鍵信息基礎設施安全，維護網(wǎng)絡(luò )安全，根據《中華人民共和國網(wǎng)絡(luò )安全法》《關(guān)鍵信息基礎設施安全保護條例》等法律、行政法規，制定本辦法。

第二條 公路水路關(guān)鍵信息基礎設施的安全保護和監督管理工作，適用本辦法。

前款所稱(chēng)公路水路關(guān)鍵信息基礎設施是指在公路水路領(lǐng)域，一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：野踩?、國計民生和公共利益的重要網(wǎng)絡(luò )設施、信息系統等。

第三條 交通運輸部負責全國公路水路關(guān)鍵信息基礎設施安全保護和監督管理。對在全國范圍運營(yíng)以及其他經(jīng)交通運輸部評估明確由部管理的公路水路關(guān)鍵信息基礎設施（以下統稱(chēng)部級設施），由交通運輸部具體實(shí)施安全保護和監督管理工作。

省級人民政府交通運輸主管部門(mén)按照職責對本行政區域內運營(yíng)的公路水路關(guān)鍵信息基礎設施（以下統稱(chēng)省級設施）具體實(shí)施安全保護和監督管理。

交通運輸部和省級人民政府交通運輸主管部門(mén)以下統稱(chēng)交通運輸主管部門(mén)。

第四條 公路水路關(guān)鍵信息基礎設施安全保護堅持強化和落實(shí)公路水路關(guān)鍵信息基礎設施運營(yíng)者（以下簡(jiǎn)稱(chēng)運營(yíng)者）主體責任，加強和規范交通運輸主管部門(mén)監督管理，充分發(fā)揮社會(huì )各方面的作用，共同保護公路水路關(guān)鍵信息基礎設施安全。

第五條 任何個(gè)人和組織不得實(shí)施非法侵入、干擾、破壞公路水路關(guān)鍵信息基礎設施的活動(dòng)，不得危害公路水路關(guān)鍵信息基礎設施安全。

第二章??公路水路關(guān)鍵信息基礎設施認定

第六條 交通運輸部負責制定和修改公路水路關(guān)鍵信息基礎設施認定規則，并報國務(wù)院公安部門(mén)備案。

制定和修改認定規則應當主要考慮下列因素：

（一）網(wǎng)絡(luò )設施、信息系統等對于公路水路關(guān)鍵核心業(yè)務(wù)的重要程度；

（二）網(wǎng)絡(luò )設施、信息系統等是否存儲處理國家核心數據，以及網(wǎng)絡(luò )設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來(lái)的危害程度；

（三）對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。

第七條 交通運輸部根據認定規則負責組織認定公路水路關(guān)鍵信息基礎設施，形成公路水路關(guān)鍵信息基礎設施清單，及時(shí)將認定結果通知運營(yíng)者，并通報國務(wù)院公安部門(mén)。

第八條 公路水路關(guān)鍵信息基礎設施發(fā)生改建、擴建、運營(yíng)者變更等較大變化，可能影響其認定結果的，運營(yíng)者應當及時(shí)將相關(guān)情況報告交通運輸部。交通運輸部自收到報告之日起3個(gè)月內完成重新認定，更新公路水路關(guān)鍵信息基礎設施清單，并通報國務(wù)院公安部門(mén)。

第九條 省級人民政府交通運輸主管部門(mén)應當按照交通運輸部的相關(guān)要求，負責組織篩選識別省級行政區域內運營(yíng)的公路水路關(guān)鍵信息基礎設施待認定對象，并研究提出初步認定意見(jiàn)報交通運輸部。

交通運輸部應當將認定結果通知省級人民政府交通運輸主管部門(mén)。

第三章??運營(yíng)者責任義務(wù)　

第十條 新建、改建、擴建或者升級改造公路水路關(guān)鍵信息基礎設施的，安全保護措施應當與公路水路關(guān)鍵信息基礎設施同步規劃、同步建設、同步使用。

運營(yíng)者應當按照國家有關(guān)規定對安全保護措施予以驗證。

第十一條 運營(yíng)者應當建立健全網(wǎng)絡(luò )安全保護制度和責任制，保障人力、財力、物力投入。運營(yíng)者的主要負責人對公路水路關(guān)鍵信息基礎設施安全保護負總責，領(lǐng)導關(guān)鍵信息基礎設施安全保護和重大網(wǎng)絡(luò )安全事件處置工作，組織研究解決重大網(wǎng)絡(luò )安全問(wèn)題。

運營(yíng)者應當明確管理本單位公路水路關(guān)鍵信息基礎設施安全保護工作的具體負責人。

第十二條 運營(yíng)者應當設置專(zhuān)門(mén)安全管理機構，明確負責人和關(guān)鍵崗位人員并進(jìn)行安全背景審查和安全技能培訓，符合要求的人員方能上崗。鼓勵網(wǎng)絡(luò )安全專(zhuān)門(mén)人才從事公路水路關(guān)鍵信息基礎設施安全保護工作。

運營(yíng)者應當保障專(zhuān)門(mén)安全管理機構的人員配備，開(kāi)展與網(wǎng)絡(luò )安全和信息化有關(guān)的決策應當有專(zhuān)門(mén)安全管理機構人員參與。

專(zhuān)門(mén)安全管理機構的負責人和關(guān)鍵崗位人員的身份、安全背景等發(fā)生變化或者必要時(shí)，運營(yíng)者應當重新進(jìn)行安全背景審查。

第十三條 運營(yíng)者應當保障專(zhuān)門(mén)安全管理機構的運行經(jīng)費，并依法依規嚴格規范經(jīng)費使用和管理，防止資金擠占挪用。

重要網(wǎng)絡(luò )設施和安全設備達到使用期限的，運營(yíng)者應當優(yōu)先保障設施設備更新經(jīng)費。

第十四條 運營(yíng)者應當加強公路水路關(guān)鍵信息基礎設施供應鏈安全管理，應當采購依法通過(guò)檢測認證的網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品，優(yōu)先采購安全可信的網(wǎng)絡(luò )產(chǎn)品和服務(wù)；采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)可能影響國家安全的，應當按照國家網(wǎng)絡(luò )安全規定通過(guò)安全審查。

鼓勵運營(yíng)者從已通過(guò)云計算服務(wù)安全評估的云計算服務(wù)平臺中采購云計算服務(wù)。

第十五條 運營(yíng)者應當加強公路水路關(guān)鍵信息基礎設施個(gè)人信息和數據安全保護，將在我國境內運營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數據存儲在境內。因業(yè)務(wù)需要，確需向境外提供數據的，應當按照國家相關(guān)規定進(jìn)行安全評估；法律、行政法規另有規定的，依照其規定執行。

第十六條?公路水路關(guān)鍵信息基礎設施的網(wǎng)絡(luò )安全保護等級應當不低于第三級。

運營(yíng)者應當在網(wǎng)絡(luò )安全等級保護的基礎上，對公路水路關(guān)鍵信息基礎設施實(shí)行重點(diǎn)保護，采取技術(shù)保護措施和其他必要措施，應對網(wǎng)絡(luò )安全事件，防范網(wǎng)絡(luò )攻擊和違法犯罪活動(dòng)，保障公路水路關(guān)鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性。

第十七條 運營(yíng)者應當自行或者委托網(wǎng)絡(luò )安全服務(wù)機構對公路水路關(guān)鍵信息基礎設施每年至少進(jìn)行一次網(wǎng)絡(luò )安全檢測和風(fēng)險評估，對發(fā)現的安全問(wèn)題及時(shí)整改。部級設施的運營(yíng)者應當直接向交通運輸部報送相關(guān)情況；省級設施的運營(yíng)者應當將相關(guān)情況報經(jīng)省級人民政府交通運輸主管部門(mén)審核后報送交通運輸部。

第十八條 法律、行政法規和國家有關(guān)規定要求使用商用密碼進(jìn)行保護的公路水路關(guān)鍵信息基礎設施，其運營(yíng)者應當使用商用密碼進(jìn)行保護，自行或者委托商用密碼檢測機構每年至少開(kāi)展一次商用密碼應用安全性評估。

商用密碼應用安全性評估應當與公路水路關(guān)鍵信息基礎設施安全檢測評估、網(wǎng)絡(luò )安全等級測評制度相銜接，避免重復評估、測評。

第十九條 運營(yíng)者應當加強保密管理，按照國家有關(guān)規定與網(wǎng)絡(luò )產(chǎn)品和服務(wù)提供者等必要人員簽訂安全保密協(xié)議，明確提供者等必要人員的技術(shù)支持和安全保密義務(wù)與責任，并對義務(wù)與責任履行情況進(jìn)行監督。

第二十條 運營(yíng)者應當制定網(wǎng)絡(luò )安全教育培訓制度，定期開(kāi)展網(wǎng)絡(luò )安全教育培訓和技能考核。教育培訓的具體內容和學(xué)時(shí)應當遵守國家有關(guān)規定。

第二十一條 運營(yíng)者應當建設本單位網(wǎng)絡(luò )安全監測系統，對公路水路關(guān)鍵信息基礎設施開(kāi)展全天候監測和值班值守。

運營(yíng)者應當加強本單位網(wǎng)絡(luò )安全信息通報預警力量建設，依托國家網(wǎng)絡(luò )與信息安全信息通報機制，及時(shí)收集、匯總、分析各方網(wǎng)絡(luò )安全信息，組織開(kāi)展網(wǎng)絡(luò )安全威脅分析和態(tài)勢研判，及時(shí)通報預警和處置。

第二十二條 運營(yíng)者應當按照國家有關(guān)要求制定網(wǎng)絡(luò )安全事件應急預案，建立網(wǎng)絡(luò )安全事件應急處置機制，加強應急力量建設和應急資源儲備，每年至少開(kāi)展一次應急演練，并針對應急演練發(fā)現的突出問(wèn)題和漏洞隱患，及時(shí)整改加固，完善保護措施。

第二十三條 部級設施發(fā)生重大網(wǎng)絡(luò )安全事件或者發(fā)現重大網(wǎng)絡(luò )安全威脅時(shí)，運營(yíng)者應當直接向交通運輸部、公安機關(guān)報告，并立即啟動(dòng)本單位網(wǎng)絡(luò )安全事件應急預案。

省級設施發(fā)生重大網(wǎng)絡(luò )安全事件或者發(fā)現重大網(wǎng)絡(luò )安全威脅時(shí)，運營(yíng)者應當立即向省級人民政府交通運輸主管部門(mén)、公安機關(guān)報告，并啟動(dòng)本單位網(wǎng)絡(luò )安全事件應急預案。省級人民政府交通運輸主管部門(mén)應當將相關(guān)情況及時(shí)報告交通運輸部。

公路水路關(guān)鍵信息基礎設施發(fā)生特別重大網(wǎng)絡(luò )安全事件或者發(fā)現特別重大網(wǎng)絡(luò )安全威脅時(shí)，交通運輸部應當在收到報告后，及時(shí)向國家網(wǎng)信部門(mén)、國務(wù)院公安部門(mén)報告。

第四章??保障和監督

第二十四條 交通運輸部應當制定公路水路關(guān)鍵信息基礎設施安全規劃，明確保護目標、基本要求、工作任務(wù)、具體措施。

交通運輸主管部門(mén)、運營(yíng)者應當嚴格落實(shí)公路水路關(guān)鍵信息基礎設施安全規劃。

第二十五條 交通運輸部應當建立公路水路關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全監測預警制度，充分利用網(wǎng)絡(luò )安全信息共享機制，及時(shí)掌握公路水路關(guān)鍵信息基礎設施運行狀況、安全態(tài)勢，預警通報網(wǎng)絡(luò )安全威脅和隱患，指導做好安全防范工作。

省級人民政府交通運輸主管部門(mén)應當及時(shí)掌握省級設施的運行狀況、安全態(tài)勢，并組織做好預警通報和安全防范工作。

第二十六條 交通運輸部應當按照國家網(wǎng)絡(luò )安全事件應急預案的要求，建立健全公路水路網(wǎng)絡(luò )安全事件應急預案，定期組織應急演練；指導運營(yíng)者做好網(wǎng)絡(luò )安全事件應對處置，并根據需要組織提供技術(shù)支持與協(xié)助。

省級人民政府交通運輸主管部門(mén)應當依據前款規定組織做好本行政區域內公路水路網(wǎng)絡(luò )安全事件應急預案、應急演練相關(guān)工作，并將應急預案、應急演練情況及時(shí)報告交通運輸部。省級人民政府交通運輸主管部門(mén)應當指導省級設施運營(yíng)者做好網(wǎng)絡(luò )安全事件應對處置，并根據需要組織提供技術(shù)支持與協(xié)助。

第二十七條 交通運輸主管部門(mén)應當定期組織開(kāi)展公路水路關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查檢測，指導監督運營(yíng)者建立問(wèn)題臺賬，制定整改方案，及時(shí)整改安全隱患、完善安全措施。省級人民政府交通運輸主管部門(mén)應當將檢查檢測情況及時(shí)報告交通運輸部。

公路水路關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查檢測應當在國家網(wǎng)信部門(mén)的統籌協(xié)調下開(kāi)展，避免不必要的檢查和交叉重復檢查。檢查工作不得收取費用，不得要求被檢查單位購買(mǎi)指定品牌或者指定生產(chǎn)、銷(xiāo)售單位的產(chǎn)品和服務(wù)。

第二十八條 運營(yíng)者對交通運輸主管部門(mén)開(kāi)展的網(wǎng)絡(luò )安全檢查檢測工作，以及公安、國家安全、保密行政管理、密碼管理等有關(guān)部門(mén)依法開(kāi)展的公路水路關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查工作應當予以配合，并如實(shí)提供網(wǎng)絡(luò )安全管理制度、重要資產(chǎn)清單、網(wǎng)絡(luò )日志等必要的資料。

第二十九條 交通運輸主管部門(mén)按照國家有關(guān)規定，對網(wǎng)絡(luò )安全工作不力、重大安全問(wèn)題隱患久拖不改，或者存在重大網(wǎng)絡(luò )安全風(fēng)險、發(fā)生重大網(wǎng)絡(luò )安全事件的運營(yíng)者，約談單位負責人，并加大網(wǎng)絡(luò )安全監督檢查力度。

第三十條 交通運輸主管部門(mén)、網(wǎng)絡(luò )安全服務(wù)機構及其工作人員對于在公路水路關(guān)鍵信息基礎設施安全保護過(guò)程中獲取的信息，只能用于維護網(wǎng)絡(luò )安全，并嚴格按照有關(guān)法律、行政法規的要求確保信息安全，不得泄露、出售或者非法向他人提供。

第五章??法律責任

第三十一條 運營(yíng)者違反本辦法規定的，由交通運輸主管部門(mén)按照《關(guān)鍵信息基礎設施安全保護條例》等法律、行政法規的規定予以處罰。

第三十二條 交通運輸主管部門(mén)及其工作人員存在以下情形之一的，按照《關(guān)鍵信息基礎設施安全保護條例》等法律、行政法規的規定予以處分：

（一）未履行公路水路關(guān)鍵信息基礎設施安全保護和監督管理職責或者玩忽職守、濫用職權、徇私舞弊的；

（二）在開(kāi)展公路水路關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查工作中收取費用，或者要求被檢查單位購買(mǎi)指定品牌或者指定生產(chǎn)、銷(xiāo)售單位的產(chǎn)品和服務(wù)的；

（三）將在公路水路關(guān)鍵信息基礎設施安全保護工作中獲取的信息用于其他用途，或者泄露、出售、非法向他人提供的。

第六章??附?? 則

第三十三條 本辦法自2023年6月1日起施行。