全球范围内铁路系统的数字化转型已成为不可逆转的趋势,铁路关键信息基础设施的网络化程度不断提高,网络与实体系统的融合使铁路系统的运行更加高效和智能化,但同时也给铁路系统带来了新的网络安全威胁。网络攻击手段的不断演进,类似网络钓鱼、恶意软件、拒绝服务攻击等安全事件层出不穷,给铁路关键信息基础设施的安全带来了严峻挑战。
铁路作为国家基础设施的重要组成部分,其安全稳定运行对社会经济和国家安全具有重要意义,一旦铁路关键信息基础设施受到攻击,不可避免地会导致列车运行事故、信息泄露、系统瘫痪等严重后果,给社会带来巨大损失。
因此,为保障铁路系统的安全稳定运行,必须制定一套全面有效的管理办法,以加强铁路关键信息基础设施的安全保护。基于这样的背景,中华人民共和国交通运输部近期公布了《铁路关键信息基础设施安全保护管理办法》(以下简称《办法》),进一步完善了我国铁路关键基础设施信息安全保障体系。(《办法》已于 2023 年 12 月 1 日经第 27 次部务会议通过,自 2024年 2 月 1 日起施行)
划分铁路相关部门的监管职责
《办法》中铁路关键信息基础设施,是指在铁路领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。《办法》第五条明确警示,任何个人和组织不得实施非法侵入、干扰、破坏铁路关键信息基础设施的活动,不得危害铁路关键信息基础设施安全。
对于铁路部门以及铁路关基信息基础设施运营者的主体责任,《办法》做出清晰的职责划分,提出国家铁路局是负责铁路领域关键信息基础设施安全保护工作的部门,在职责范围内负责全国铁路关键信息基础设施安全保护和监督管理工作;地区铁路监督管理局按照国家铁路局要求,开展本辖区铁路关键信息基础设施的安全保护和监督管理工作;铁路关键信息基础设施运营者主体责任,加强和规范保护工作部门监督管理,发挥社会各方面的作用,共同保护铁路关键信息基础设施安全。
此外,《办法》第八条要求, 铁路关键信息基础设施发生改建、扩建、运营者变更等较大变化,可能影响认定结果的,运营者应当及时将相关情况报告国家铁路局。国家铁路局自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门,抄送国家网信部门。
明确铁路运营者的责任和义务
《办法》提出了要建立铁路关键信息基础设施全过程保护制度,要求运营者应当依照有关法律、行政法规的规定以及国家标准的强制性要求,在国家网络安全等级保护制度的基础上,突出保护重点,落实防护措施,加强全生命周期管理,保障铁路关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性,建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。
职责方面,《办法》在第十二条强调,运营者应当设置专门安全管理机构,保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与,还应当对专门安全管理机构负责人和关键岗位人员进行安全背景审查。专门安全管理机构的负责人和关键岗位人员的身份、安全背景等发生变化或者必要时,运营者应当根据情况重新进行安全背景审查。
此外,在采购网络产品和服务以及数据储存方面,《办法》规定,运营者应当预判该产品和服务投入使用后对国家安全的影响,可能影响国家安全的应当按照国家有关规定申报网络安全审查,还要按照规定与提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任。对我国境内运营中收集和产生的个人信息和重要数据存储在境内。因业务需要,确需向境外提供数据的,应当按照国家相关规定和标准进行安全评估。
值得一提的是,和其它行业关键基础设施信息保护条例或办法一样,《办法》在第二十条着重强调,铁路关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向国家铁路局、公安机关报告,并立即启动本单位网络安全事件应急预案。铁路关键信息基础设施发生特别重大网络安全事件或者发现特别重大网络安全威胁时,国家铁路局应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
信息来源:交通运输部