近日,交通运输部公布了《铁路关键信息基础设施安全保护管理办法》(交通运输部令2023年第20号,下称《办法》)。《办法》共6章30条,自2024年2月1日起施行。《办法》从总体上明确了铁路关键信息基础设施(下称关基设施)管理体制,压实了运营者主体责任,加强了铁路关基设施的监督管理和保障。
为全面贯彻落实党中央、国务院关于加强关基设施安全保护的决策部署,细化落实《关键信息基础设施安全保护条例》规定,交通运输部制定本《办法》,以全面保障铁路关基设施的安全运行。
(上下滑动查看更多)
相较征求意见稿,正文第七条、第八条增加将铁路关基设施认定结果抄送国家网信部门,第九条增加铁路关基设施网络安全保护等级应当不低于第三级,第十条增加应采取检测评估、安全演练等方式验证安全保护措施的有效性,第三十条明确了《办法》实施时间。正文从细节描述、管理职责、防护要求等方面进行了全面的细化。
内容解读
第一章总则
明确本《办法》的适用范围,明确铁路关基设施的定义,规定国家铁路局负责铁路关基设施安全保护和监督管理,地区铁路监督管理局负责开展本辖区铁路关基设施的安全保护和监督管理。
第二章铁路关基设施认定
明确关基设施的认定机制,国家铁路局作为关基设施认定的主体,负责制定认定规则、组织认定工作,并规定了具体认定程序。
第三章运营者责任和义务
明确运营者主体责任,规定关基设施的网络安全等级保护不低于第三级,在等保基础上实行重点保护,采取措施,保障关基设施安全稳定运行。落实“三同步”,并对安全保护措施予以验证。建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。设置专门安全管理机构,明确职责。加强供应链安全管理,保障网络产品和服务采购安全。加强个人信息和数据安全保护。每年至少一次网络安全检测和风险评估,发现问题、及时整改,报送相关情况。按规定使用商用密码保护关基设施,每年至少开展一次密评。制定本单位监测预警和信息通报制度,及时通报预警和处置。发生重大网络安全事件或者发现重大网络安全威胁时,及时报告并启动应急预案。
第四章保障和监督
明确保障和监督的职责和义务,明确国家铁路局的保障和监督职责,包括:制定铁路关基安全规划、建立铁路关基网络安全监测预警制度、建立健全铁路关基网络安全事件应急预案体系、组织开展铁路关基网络安全检查检测等。
第五章法律责任
明确有关违法行为及处罚规定。
第六章附则
明示《办法》正式施行时间。
基于天融信在网络安全领域的积累与实践,本文针对《办法》中部分内容要点形成相关策略参考,助力铁路领域关基设施网络安全建设规范化落地。
1
建立健全安全管理体系
《办法》中要求,应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。并设置专门安全管理机构,履行相关职责。
天融信建议落实网络安全保护制度和责任制,确保人力、财力、物力得到有效保障。从管理制度、管理机构、管理人员等方面构建关基设施安全管理体系,确保安全技术和安全运营措施得以顺利落地。
2
加强供应链安全管理
《办法》中指出,应当加强铁路关基设施供应链安全保护。
天融信建议通过供应链安全现状摸底,制定专门的供应链安全管理策略和制度,以规范供应链安全管理,尤其在网络产品和服务采购方面,需充分考虑当前安全形势,确保网络产品和服务的安全可靠。同时建议通过供应链安全教育培训,提升相关人员在供应链安全层面的意识和技能。
3
实施个人信息和数据安全保护
《办法》中要求,应加强数据安全保护,明确重要数据和个人信息的保护措施。
天融信建议开展数据安全治理咨询,梳理数据资产情况,明确个人信息处理规则等,在评估现状并分析安全风险的基础上,提供针对性的个人信息安全保护和体系化数据安全保护。
4
开展等级保护和商用密码保护
《办法》中提出,铁路关基设施在国家网络安全等级保护制度的基础上,落实防护措施,并使用商用密码进行保护。
如《办法》所要求,关基设施需在网络安全等级保护的基础上实行重点保护,并按照要求使用商用密码进行保护,因而符合等保和密评要求是关保的前提。建议遵照等级保护及密码应用相关要求落实等保和密评工作,为保护关基设施打下良好基础。
5
开展安全检测和风险评估
《办法》中要求,铁路关基设施每年至少进行一次网络安全检测和风险评估。
天融信建议利用专业安全服务,每年至少进行一次网络安全检测和风险评估,参考相关标准规范,全方位检测和评估当前存在的不足,积极发现问题,及时整改以规避安全隐患,并按要求报送相关情况。
6
建立健全监测预警和信息通报
《办法》中指出,应制定本单位的监测预警和信息通报制度。
天融信建议建设本单位的网络安全监测系统,广泛收集各类安全数据,利用多种分析手段深度挖掘安全问题,配备值班值守人员,全方位、全天候感知安全态势,并及时收集、汇总、分析各方网络安全信息,经综合分析研判,对发现的问题进行及时通报预警和处置。
7
落实应急预案和应急演练
《办法》中要求,应建立健全铁路关基设施网络安全事件应急预案体系,定期组织应急演练。
天融信建议制定网络安全应急预案,明确事件应急处置机制,并确保每年至少开展一次应急演练,针对演练中发现的突出问题和漏洞隐患进行及时整改加固,从而不断完善保护措施。
《铁路关键信息基础设施安全保护管理办法》的出台,将进一步充实和完善我国关键信息基础设施安全保护的决策部署。天融信作为中国领先的网络安全、大数据与云服务提供商,始终秉持“可信网络安全世界”的理念,紧跟时代发展与政策要求,在关键信息基础设施安全等前沿领域持续推出自主创新产品和解决方案,为护航国家安全贡献企业力量。