一文读懂《铁路关键信息基础设施安全保护管理办法》
发布时间 2024-01-10近日,交通运输部公布了《铁路关键信息基础设施安全保护管理办法》(交通运输部令2023年第20号,以下简称《办法》),自2024年2月1日起施行。
01 《办法》制定必要性
铁路关键信息基础设施,是指在铁路领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。
党的二十大报告明确要求强化网络安全保障体系建设。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。
2021年出台的《关键信息基础设施安全保护条例》(简称《条例》)对国家关键信息基础设施安全保护予以了系统规范。
为全面贯彻落实党中央、国务院关于加强关键信息基础设施安全保护的决策部署,细化落实《条例》规定,有必要制定《办法》,以全面保障铁路关键信息基础设施的安全运行。
02 《办法》的主要内容
《办法》共6章30条,包括总则、铁路关键信息基础设施认定、运营者责任和义务、保障和监督、法律责任、附则。主要内容包括:
1、明确铁路关键信息基础设施管理体制
一是明确国家铁路局是负责铁路领域关键信息基础设施安全保护工作的部门,在职责范围内负责全国铁路关键信息基础设施安全保护和监督管理工作;地区铁路监督管理局开展本辖区铁路关键信息基础设施的安全保护和监督管理工作。
二是明确国家铁路局作为铁路关键信息基础设施认定主体,负责制定认定规则、组织认定工作,并规定了具体认定程序。
2、压实运营者主体责任
建立铁路关键信息基础设施全过程保护制度,要求安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用,明确规定了运营者在机构设置、人员配备、经费保障、产品和服务采购、数据保护、安全检测和风险评估以及数据保护、密码应用、保密管理等方面的责任和义务。
铁路关键信息基础设施运营者责任和义务
3、加强对铁路关键信息基础设施的监督管理和保障
一是要求国家铁路局制定安全规划,明确保护目标、基本要求、工作任务和具体措施。
二是从监测预警能力建设、应急预案制定演练、安全防范和安全事件报告等方面,对铁路监管部门和运营者责任和义务予以明确。
三是通过定期开展检查检测、实施行政处罚和政务处分等方式落实监管责任。
国家铁路局(安全保护工作部门)的责任和义务
03 《办法》实施的意义
1、承上启下的作用
《办法》上对接《关键信息基础设施安全保护条例》,下用于指导铁路领域关基运营者如何开展关基保护工作,对于铁路领域关基保护工作的开展起到重要指导意义。
2、明确了职责分工
《办法》明确了 国家铁路局、地区铁路监督管理局、铁路领域关基运营者主体责任,有助于加强各方面的作用,共同保护铁路关键信息基础设施安全。
3、细化明确了铁路领域关基运营者责任和义务
《办法》明确了关基运营者在等级保护、商密测评、三同步、人财物保障、组织制度完善、安全培训教育、安全监测、检测、风险评估、供应链安全、数据安全等领域的具体职责,为铁路关键信息基础设施安全保护提出了明确要求。
04 开展关基保护工作的四点建议
1、制定关基识别标准,开展关基识别。
目前《关键信息基础设施安全保护条例》和《GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求》已经正式实施,公路水路、铁路等领域已经发布了行业关基保护办法,其他行业关基安全保护工作部门可以参照这些文件,制定本行业的关基保护办法和保护标准,并开展行业关基系统识别认定,这是关基保护工作的第一步。
2、进行顶层设计,制定行业关基保护工作规划。
按照“三同步”的原则,以保护关键业务为目标,遵守以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的原则,制定行业整体关基保护工作规划。
3、分阶段、逐步开展关基保护建设。
关基保护工作可能会跨部门、跨组织、跨地域,涉及到的场景复杂,因此需要循序渐进开展。可以把重要的工作前置实施,以提高提关基系统应对大规模网络攻击的能力。
4、注重联防联控,协同安全。
关基保护需要实现国家级、行业关基安全保护工作部门、关基运营者三者的协同联防,实现威胁情报共享和安全事件协同处置,以提高网络安全通报预警能力和应急处置能力。
05 启明星辰铁路关基保护领域优势
近三年来,启明星辰凭借着丰富的产品线以及专业的安全服务,在铁路领域综合信息网安全基础设施、调度信息系统、综合视频监控系统、承载网安全、数据网安全、供电调度系统、安全竞赛、重大安保等方面,积累了大量项目实践,铁路行业成功案例累计近百个。
同时,依托在工控安全、视频安全、云安全等新技术应用方面的实践和案例优势,启明星辰不断赋能铁路领域客户,为保障铁路领域关键信息基础设施安全贡献力量。
京公网安备11010802024551号