各省、自治区、直辖市、新疆生产建设兵团交通运输厅(局、委),部属行政单位,部内各司局:
为贯彻落实《公路水路关键信息基础设施安全保护管理办法》(交通运输部令2023年第4号,以下简称《办法》),进一步提升公路水路关键信息基础设施(以下简称关基设施)安全保护和监督管理水平,现将有关事项通知如下:
一、严格履行安全保护和监督管理责任
各单位要严格落实《办法》规定,按照分级分域、属地为主、业务归口、统筹协调原则,对关基设施具体实施安全保护和监督管理。关基设施安全保护和监督管理工作由行政机关负责。省级交通运输主管部门负责对省级设施具体实施安全保护和监督管理,计划单列市交通运输主管部门协助。部级设施的关键业务或系统主管单位,对部级设施具体实施安全保护和监督管理。部网络安全工作主管单位统筹协调关基设施认定、规划、检查工作。关基设施安全保护和监督管理工作部门和单位要明确监管责任领导、具体监管处室(部门)负责人,确保责任到人、任务到岗、监管到位。
二、全面压实运营者安全保护主体责任
(一)完善责任体系。要督促关基设施运营者建立网络安全工作责任体系,确定主要负责人为安全保护总负责人、一名领导班子成员为首席网络安全官,依法设置专门安全管理机构。要指导运营者加强网络安全工作考核,建立安全保护与履职评定、奖励惩处挂钩的制度机制。
(二)加强工作保障。要督促运营者建立网络安全工作保障体系,配齐配强专门安全管理机构人员,加强安全管理机构负责人和关键岗位人员背景审查和技能培训,保障专门安全管理机构的运行经费。
(三)落实保护措施。要督促运营者落实等级保护制度,对低于三级的关基设施要抓紧履行重新定级、备案、测评及整改程序。要建立关基设施网络安全监测系统,制定网络安全事件应急预案,每年至少开展一次检测评估、一次应急演练。对新、改、扩建的关基设施,要指导运营者同步规划、同步建设、同步使用安全保护措施,落实供应链安全管理要求并优先采购安全可信的网络产品和服务。
三、有效落实《办法》法定要求
(一)完善管理制度。要严格落实部有关认定规则,不得擅自开展关基设施认定。要制定完善本单位本行政区域内网络安全管理办法和网络安全事件应急预案,强化对关基设施网络安全管理和事件应急处置。
(二)强化监督检查和考核评价。每年至少要开展一次由监管责任领导带队的现场督导检查,核实运营者《办法》落实情况及其主要负责人、首席网络安全官履职情况。要委托具备等级保护测评或风险评估资质的机构对关基设施开展技术检测,技术检测报告须归档备查。要积极推动将关基设施安全保护工作纳入运营者安全生产和考核评价体系。
(三)完善监测和应急机制。要提升网络安全威胁感知能力,将运营者的门户网站、互联网运行关基设施纳入实时监测范围;专网运行的关基设施,要在专网内实时监测。要组织运营者参与交通运输行业网络安全信息通报工作机制,强化情报信息共享交换。要指导运营者开展实战演练,督促其建立隐患排查机制,实行隐患“台账式”管理和挂账督办,对整改情况定期开展督查复核。对重大隐患久拖不改的,要采取约谈、责令整改等措施,及时推动整改“清零”。
四、做好《办法》贯彻实施组织工作
(一)做好衔接协调。《办法》贯彻实施中,要做好与实施《关键信息基础设施安全保护条例》(以下简称《条例》)和《关键信息基础设施安全保护要求(GB/T 39204-2022)》的衔接,确保安全保护和监督管理工作协同推进。要加强与部网络安全主管单位及地方网信、公安机关的沟通协调,确保重要情况及时共享。
(二)精心组织培训。要针对运营者、网络安全服务机构等不同对象,开展多渠道、多形式的宣贯培训,教育引导相关人员准确把握《办法》内容和实施要求,依法依规做好安全保护工作。
(三)及时跟踪评估。要高度关注《办法》实施中的新问题、新情况,适时评估运营者落实情况,对落实不到位的,及时督促整改;情节严重的,要依据《条例》和《办法》对相关单位或责任人进行处罚。
五、其他有关要求
(一)各单位要将关基设施安全保护作为调查研究的重点内容,监管责任领导要带队深入关基设施运营者开展实地调研,摸清情况、找准问题、提实对策,打通《办法》实施和监督管理中的堵点淤点难点。
(二)各单位要按照本通知要求,抓紧制定《办法》贯彻实施的专项方案,梳理关基设施安全保护和监督管理责任人员台账,及时报部备案。具体要求另行通知。
(三)尚未承担关基设施安全保护和监督管理工作的各单位要积极开展《办法》宣传解读,如后续按认定程序新增负责安全保护和监督管理的关基设施,要严格按本通知要求执行。
交通运输部办公厅
2023年7月14日
(此件公开发布)