第一條 為(wèi)了保障公路水(shuǐ)路關鍵信息基礎設施安全，維護網絡安全，根據《中華人(rén)民共和(hé)國網絡安全法》《關鍵信息基礎設施安全保護條例》等法律、行(xíng)政法規，制(zhì)定本辦法。

第二條 公路水(shuǐ)路關鍵信息基礎設施的安全保護和(hé)監督管理(lǐ)工作(zuò)，适用本辦法。

前款所稱公路水(shuǐ)路關鍵信息基礎設施是指在公路水(shuǐ)路領域，一旦遭到破壞、喪失功能或者數(shù)據洩露，可(kě)能嚴重危害國家(jiā)安全、國計(jì)民生(shēng)和(hé)公共利益的重要網絡設施、信息系統等。

第三條 交通(tōng)運輸部負責全國公路水(shuǐ)路關鍵信息基礎設施安全保護和(hé)監督管理(lǐ)。對在全國範圍運營以及其他經交通(tōng)運輸部評估明(míng)确由部管理(lǐ)的公路水(shuǐ)路關鍵信息基礎設施（以下統稱部級設施），由交通(tōng)運輸部具體(tǐ)實施安全保護和(hé)監督管理(lǐ)工作(zuò)。

省級人(rén)民政府交通(tōng)運輸主管部門(mén)按照職責對本行(xíng)政區(qū)域內(nèi)運營的公路水(shuǐ)路關鍵信息基礎設施（以下統稱省級設施）具體(tǐ)實施安全保護和(hé)監督管理(lǐ)。

交通(tōng)運輸部和(hé)省級人(rén)民政府交通(tōng)運輸主管部門(mén)以下統稱交通(tōng)運輸主管部門(mén)。

第四條 公路水(shuǐ)路關鍵信息基礎設施安全保護堅持強化和(hé)落實公路水(shuǐ)路關鍵信息基礎設施運營者（以下簡稱運營者）主體(tǐ)責任，加強和(hé)規範交通(tōng)運輸主管部門(mén)監督管理(lǐ)，充分發揮社會(huì)各方面的作(zuò)用，共同保護公路水(shuǐ)路關鍵信息基礎設施安全。

第五條 任何個(gè)人(rén)和(hé)組織不得(de)實施非法侵入、幹擾、破壞公路水(shuǐ)路關鍵信息基礎設施的活動，不得(de)危害公路水(shuǐ)路關鍵信息基礎設施安全。

第二章  公路水(shuǐ)路關鍵信息基礎設施認定

第六條 交通(tōng)運輸部負責制(zhì)定和(hé)修改公路水(shuǐ)路關鍵信息基礎設施認定規則，并報國務院公安部門(mén)備案。

制(zhì)定和(hé)修改認定規則應當主要考慮下列因素：

（一）網絡設施、信息系統等對于公路水(shuǐ)路關鍵核心業務的重要程度；

（二）網絡設施、信息系統等是否存儲處理(lǐ)國家(jiā)核心數(shù)據，以及網絡設施、信息系統等一旦遭到破壞、喪失功能或者數(shù)據洩露可(kě)能帶來(lái)的危害程度； 

（三）對其他行(xíng)業和(hé)領域的關聯性影(yǐng)響。

第七條 交通(tōng)運輸部根據認定規則負責組織認定公路水(shuǐ)路關鍵信息基礎設施，形成公路水(shuǐ)路關鍵信息基礎設施清單，及時(shí)将認定結果通(tōng)知運營者，并通(tōng)報國務院公安部門(mén)。

第八條 公路水(shuǐ)路關鍵信息基礎設施發生(shēng)改建、擴建、運營者變更等較大(dà)變化，可(kě)能影(yǐng)響其認定結果的，運營者應當及時(shí)将相關情況報告交通(tōng)運輸部。交通(tōng)運輸部自收到報告之日起3個(gè)月內(nèi)完成重新認定，更新公路水(shuǐ)路關鍵信息基礎設施清單，并通(tōng)報國務院公安部門(mén)。   

第九條 省級人(rén)民政府交通(tōng)運輸主管部門(mén)應當按照交通(tōng)運輸部的相關要求，負責組織篩選識别省級行(xíng)政區(qū)域內(nèi)運營的公路水(shuǐ)路關鍵信息基礎設施待認定對象，并研究提出初步認定意見報交通(tōng)運輸部。

交通(tōng)運輸部應當将認定結果通(tōng)知省級人(rén)民政府交通(tōng)運輸主管部門(mén)。

第三章  運營者責任義務　

第十條 新建、改建、擴建或者升級改造公路水(shuǐ)路關鍵信息基礎設施的，安全保護措施應當與公路水(shuǐ)路關鍵信息基礎設施同步規劃、同步建設、同步使用。

運營者應當按照國家(jiā)有(yǒu)關規定對安全保護措施予以驗證。

第十一條 運營者應當建立健全網絡安全保護制(zhì)度和(hé)責任制(zhì)，保障人(rén)力、财力、物力投入。運營者的主要負責人(rén)對公路水(shuǐ)路關鍵信息基礎設施安全保護負總責，領導關鍵信息基礎設施安全保護和(hé)重大(dà)網絡安全事件處置工作(zuò)，組織研究解決重大(dà)網絡安全問題。

運營者應當明(míng)确管理(lǐ)本單位公路水(shuǐ)路關鍵信息基礎設施安全保護工作(zuò)的具體(tǐ)負責人(rén)。

第十二條 運營者應當設置專門(mén)安全管理(lǐ)機構，明(míng)确負責人(rén)和(hé)關鍵崗位人(rén)員并進行(xíng)安全背景審查和(hé)安全技(jì)能培訓，符合要求的人(rén)員方能上(shàng)崗。鼓勵網絡安全專門(mén)人(rén)才從事公路水(shuǐ)路關鍵信息基礎設施安全保護工作(zuò)。    

運營者應當保障專門(mén)安全管理(lǐ)機構的人(rén)員配備，開(kāi)展與網絡安全和(hé)信息化有(yǒu)關的決策應當有(yǒu)專門(mén)安全管理(lǐ)機構人(rén)員參與。    

專門(mén)安全管理(lǐ)機構的負責人(rén)和(hé)關鍵崗位人(rén)員的身份、安全背景等發生(shēng)變化或者必要時(shí)，運營者應當重新進行(xíng)安全背景審查。

第十三條 運營者應當保障專門(mén)安全管理(lǐ)機構的運行(xíng)經費，并依法依規嚴格規範經費使用和(hé)管理(lǐ)，防止資金擠占挪用。

重要網絡設施和(hé)安全設備達到使用期限的，運營者應當優先保障設施設備更新經費。

第十四條 運營者應當加強公路水(shuǐ)路關鍵信息基礎設施供應鏈安全管理(lǐ)，應當采購依法通(tōng)過檢測認證的網絡關鍵設備和(hé)網絡安全專用産品，優先采購安全可(kě)信的網絡産品和(hé)服務；采購網絡産品和(hé)服務可(kě)能影(yǐng)響國家(jiā)安全的，應當按照國家(jiā)網絡安全規定通(tōng)過安全審查。

鼓勵運營者從已通(tōng)過雲計(jì)算(suàn)服務安全評估的雲計(jì)算(suàn)服務平台中采購雲計(jì)算(suàn)服務。

第十五條 運營者應當加強公路水(shuǐ)路關鍵信息基礎設施個(gè)人(rén)信息和(hé)數(shù)據安全保護，将在我國境內(nèi)運營中收集和(hé)産生(shēng)的個(gè)人(rén)信息和(hé)重要數(shù)據存儲在境內(nèi)。因業務需要，确需向境外提供數(shù)據的，應當按照國家(jiā)相關規定進行(xíng)安全評估；法律、行(xíng)政法規另有(yǒu)規定的，依照其規定執行(xíng)。

第十六條  公路水(shuǐ)路關鍵信息基礎設施的網絡安全保護等級應當不低(dī)于第三級。

運營者應當在網絡安全等級保護的基礎上(shàng)，對公路水(shuǐ)路關鍵信息基礎設施實行(xíng)重點保護，采取技(jì)術(shù)保護措施和(hé)其他必要措施，應對網絡安全事件，防範網絡攻擊和(hé)違法犯罪活動，保障公路水(shuǐ)路關鍵信息基礎設施安全穩定運行(xíng)，維護數(shù)據的完整性、保密性和(hé)可(kě)用性。

第十七條 運營者應當自行(xíng)或者委托網絡安全服務機構對公路水(shuǐ)路關鍵信息基礎設施每年至少(shǎo)進行(xíng)一次網絡安全檢測和(hé)風險評估，對發現的安全問題及時(shí)整改。部級設施的運營者應當直接向交通(tōng)運輸部報送相關情況；省級設施的運營者應當将相關情況報經省級人(rén)民政府交通(tōng)運輸主管部門(mén)審核後報送交通(tōng)運輸部。

第十八條 法律、行(xíng)政法規和(hé)國家(jiā)有(yǒu)關規定要求使用商用密碼進行(xíng)保護的公路水(shuǐ)路關鍵信息基礎設施，其運營者應當使用商用密碼進行(xíng)保護，自行(xíng)或者委托商用密碼檢測機構每年至少(shǎo)開(kāi)展一次商用密碼應用安全性評估。

商用密碼應用安全性評估應當與公路水(shuǐ)路關鍵信息基礎設施安全檢測評估、網絡安全等級測評制(zhì)度相銜接，避免重複評估、測評。

第十九條 運營者應當加強保密管理(lǐ)，按照國家(jiā)有(yǒu)關規定與網絡産品和(hé)服務提供者等必要人(rén)員簽訂安全保密協議，明(míng)确提供者等必要人(rén)員的技(jì)術(shù)支持和(hé)安全保密義務與責任，并對義務與責任履行(xíng)情況進行(xíng)監督。

第二十條 運營者應當制(zhì)定網絡安全教育培訓制(zhì)度，定期開(kāi)展網絡安全教育培訓和(hé)技(jì)能考核。教育培訓的具體(tǐ)內(nèi)容和(hé)學時(shí)應當遵守國家(jiā)有(yǒu)關規定。

第二十一條 運營者應當建設本單位網絡安全監測系統，對公路水(shuǐ)路關鍵信息基礎設施開(kāi)展全天候監測和(hé)值班值守。

運營者應當加強本單位網絡安全信息通(tōng)報預警力量建設，依托國家(jiā)網絡與信息安全信息通(tōng)報機制(zhì)，及時(shí)收集、彙總、分析各方網絡安全信息，組織開(kāi)展網絡安全威脅分析和(hé)态勢研判，及時(shí)通(tōng)報預警和(hé)處置。

第二十二條 運營者應當按照國家(jiā)有(yǒu)關要求制(zhì)定網絡安全事件應急預案，建立網絡安全事件應急處置機制(zhì)，加強應急力量建設和(hé)應急資源儲備，每年至少(shǎo)開(kāi)展一次應急演練，并針對應急演練發現的突出問題和(hé)漏洞隐患，及時(shí)整改加固，完善保護措施。

第二十三條 部級設施發生(shēng)重大(dà)網絡安全事件或者發現重大(dà)網絡安全威脅時(shí)，運營者應當直接向交通(tōng)運輸部、公安機關報告，并立即啓動本單位網絡安全事件應急預案。

省級設施發生(shēng)重大(dà)網絡安全事件或者發現重大(dà)網絡安全威脅時(shí)，運營者應當立即向省級人(rén)民政府交通(tōng)運輸主管部門(mén)、公安機關報告，并啓動本單位網絡安全事件應急預案。省級人(rén)民政府交通(tōng)運輸主管部門(mén)應當将相關情況及時(shí)報告交通(tōng)運輸部。

公路水(shuǐ)路關鍵信息基礎設施發生(shēng)特别重大(dà)網絡安全事件或者發現特别重大(dà)網絡安全威脅時(shí)，交通(tōng)運輸部應當在收到報告後，及時(shí)向國家(jiā)網信部門(mén)、國務院公安部門(mén)報告。

第四章  保障和(hé)監督

第二十四條 交通(tōng)運輸部應當制(zhì)定公路水(shuǐ)路關鍵信息基礎設施安全規劃，明(míng)确保護目标、基本要求、工作(zuò)任務、具體(tǐ)措施。

交通(tōng)運輸主管部門(mén)、運營者應當嚴格落實公路水(shuǐ)路關鍵信息基礎設施安全規劃。

第二十五條 交通(tōng)運輸部應當建立公路水(shuǐ)路關鍵信息基礎設施網絡安全監測預警制(zhì)度，充分利用網絡安全信息共享機制(zhì)，及時(shí)掌握公路水(shuǐ)路關鍵信息基礎設施運行(xíng)狀況、安全态勢，預警通(tōng)報網絡安全威脅和(hé)隐患，指導做(zuò)好安全防範工作(zuò)。

省級人(rén)民政府交通(tōng)運輸主管部門(mén)應當及時(shí)掌握省級設施的運行(xíng)狀況、安全态勢，并組織做(zuò)好預警通(tōng)報和(hé)安全防範工作(zuò)。

第二十六條 交通(tōng)運輸部應當按照國家(jiā)網絡安全事件應急預案的要求，建立健全公路水(shuǐ)路網絡安全事件應急預案，定期組織應急演練；指導運營者做(zuò)好網絡安全事件應對處置，并根據需要組織提供技(jì)術(shù)支持與協助。

省級人(rén)民政府交通(tōng)運輸主管部門(mén)應當依據前款規定組織做(zuò)好本行(xíng)政區(qū)域內(nèi)公路水(shuǐ)路網絡安全事件應急預案、應急演練相關工作(zuò)，并将應急預案、應急演練情況及時(shí)報告交通(tōng)運輸部。省級人(rén)民政府交通(tōng)運輸主管部門(mén)應當指導省級設施運營者做(zuò)好網絡安全事件應對處置，并根據需要組織提供技(jì)術(shù)支持與協助。

第二十七條 交通(tōng)運輸主管部門(mén)應當定期組織開(kāi)展公路水(shuǐ)路關鍵信息基礎設施網絡安全檢查檢測，指導監督運營者建立問題台賬，制(zhì)定整改方案，及時(shí)整改安全隐患、完善安全措施。省級人(rén)民政府交通(tōng)運輸主管部門(mén)應當将檢查檢測情況及時(shí)報告交通(tōng)運輸部。

公路水(shuǐ)路關鍵信息基礎設施網絡安全檢查檢測應當在國家(jiā)網信部門(mén)的統籌協調下開(kāi)展，避免不必要的檢查和(hé)交叉重複檢查。檢查工作(zuò)不得(de)收取費用，不得(de)要求被檢查單位購買指定品牌或者指定生(shēng)産、銷售單位的産品和(hé)服務。

第二十八條 運營者對交通(tōng)運輸主管部門(mén)開(kāi)展的網絡安全檢查檢測工作(zuò)，以及公安、國家(jiā)安全、保密行(xíng)政管理(lǐ)、密碼管理(lǐ)等有(yǒu)關部門(mén)依法開(kāi)展的公路水(shuǐ)路關鍵信息基礎設施網絡安全檢查工作(zuò)應當予以配合，并如實提供網絡安全管理(lǐ)制(zhì)度、重要資産清單、網絡日志(zhì)等必要的資料。

第二十九條 交通(tōng)運輸主管部門(mén)按照國家(jiā)有(yǒu)關規定，對網絡安全工作(zuò)不力、重大(dà)安全問題隐患久拖不改，或者存在重大(dà)網絡安全風險、發生(shēng)重大(dà)網絡安全事件的運營者，約談單位負責人(rén)，并加大(dà)網絡安全監督檢查力度。

第三十條 交通(tōng)運輸主管部門(mén)、網絡安全服務機構及其工作(zuò)人(rén)員對于在公路水(shuǐ)路關鍵信息基礎設施安全保護過程中獲取的信息，隻能用于維護網絡安全，并嚴格按照有(yǒu)關法律、行(xíng)政法規的要求确保信息安全，不得(de)洩露、出售或者非法向他人(rén)提供。

第五章  法律責任

第三十一條 運營者違反本辦法規定的，由交通(tōng)運輸主管部門(mén)按照《關鍵信息基礎設施安全保護條例》等法律、行(xíng)政法規的規定予以處罰。

第三十二條 交通(tōng)運輸主管部門(mén)及其工作(zuò)人(rén)員存在以下情形之一的，按照《關鍵信息基礎設施安全保護條例》等法律、行(xíng)政法規的規定予以處分：

（一）未履行(xíng)公路水(shuǐ)路關鍵信息基礎設施安全保護和(hé)監督管理(lǐ)職責或者玩忽職守、濫用職權、徇私舞弊的；

（二）在開(kāi)展公路水(shuǐ)路關鍵信息基礎設施網絡安全檢查工作(zuò)中收取費用，或者要求被檢查單位購買指定品牌或者指定生(shēng)産、銷售單位的産品和(hé)服務的；

（三）将在公路水(shuǐ)路關鍵信息基礎設施安全保護工作(zuò)中獲取的信息用于其他用途，或者洩露、出售、非法向他人(rén)提供的。

第六章  附   則

第三十三條 本辦法自2023年6月1日起施行(xíng)。