天融信:七大策略助力《鐵路關鍵信息基礎設施安全保護管理辦法》規范化落地
近日,交通運輸部公布了《鐵路關鍵信息基礎設施安全保護管理辦法》(交通運輸部令2023年第20號,下稱《辦法》)。《辦法》共6章30條,自2024年2月1日起施行。《辦法》從總體上明確了鐵路關鍵信息基礎設施(下稱關基設施)管理體制,壓實了運營者主體責任,加強了鐵路關基設施的監督管理和保障。
為全面貫徹落實黨中央、國務院關于加強關基設施安全保護的決策部署,細化落實《關鍵信息基礎設施安全保護條例》規定,交通運輸部制定本《辦法》,以全面保障鐵路關基設施的安全運行。
相較征求意見稿,正文第七條、第八條增加將鐵路關基設施認定結果抄送國家網信部門,第九條增加鐵路關基設施網絡安全保護等級應當不低于第三級,第十條增加應采取檢測評估、安全演練等方式驗證安全保護措施的有效性,第三十條明確了《辦法》實施時間。正文從細節描述、管理職責、防護要求等方面進行了全面的細化。
內容解讀
第一章 總則
明確本《辦法》的適用范圍,明確鐵路關基設施的定義,規定國家鐵路局負責鐵路關基設施安全保護和監督管理,地區鐵路監督管理局負責開展本轄區鐵路關基設施的安全保護和監督管理。
第二章 鐵路關基設施認定
明確關基設施的認定機制,國家鐵路局作為關基設施認定的主體,負責制定認定規則、組織認定工作,并規定了具體認定程序。
第三章 運營者責任和義務
明確運營者主體責任,規定關基設施的網絡安全等級保護不低于第三級,在等保基礎上實行重點保護,采取措施,保障關基設施安全穩定運行。落實“三同步”,并對安全保護措施予以驗證。建立健全網絡安全保護制度和責任制,保障人力、財力、物力投入。設置專門安全管理機構,明確職責。加強供應鏈安全管理,保障網絡產品和服務采購安全。加強個人信息和數據安全保護。每年至少一次網絡安全檢測和風險評估,發現問題、及時整改,報送相關情況。按規定使用商用密碼保護關基設施,每年至少開展一次密評。制定本單位監測預警和信息通報制度,及時通報預警和處置。發生重大網絡安全事件或者發現重大網絡安全威脅時,及時報告并啟動應急預案。
第四章 保障和監督
明確保障和監督的職責和義務,明確國家鐵路局的保障和監督職責,包括:制定鐵路關基安全規劃、建立鐵路關基網絡安全監測預警制度、建立健全鐵路關基網絡安全事件應急預案體系、組織開展鐵路關基網絡安全檢查檢測等。
第五章 法律責任
明確有關違法行為及處罰規定。
第六章 附則
明示《辦法》正式施行時間。
基于天融信在網絡安全領域的積累與實踐,本文針對《辦法》中部分內容要點形成相關策略參考,助力鐵路領域關基設施網絡安全建設規范化落地。
1、建立健全安全管理體系
《辦法》中要求,應當建立健全網絡安全保護制度和責任制,保障人力、財力、物力投入。并設置專門安全管理機構,履行相關職責。
天融信建議落實網絡安全保護制度和責任制,確保人力、財力、物力得到有效保障。從管理制度、管理機構、管理人員等方面構建關基設施安全管理體系,確保安全技術和安全運營措施得以順利落地。
2、加強供應鏈安全管理
《辦法》中指出,應當加強鐵路關基設施供應鏈安全保護。
天融信建議通過供應鏈安全現狀摸底,制定專門的供應鏈安全管理策略和制度,以規范供應鏈安全管理,尤其在網絡產品和服務采購方面,需充分考慮當前安全形勢,確保網絡產品和服務的安全可靠。同時建議通過供應鏈安全教育培訓,提升相關人員在供應鏈安全層面的意識和技能。
3、實施個人信息和數據安全保護
《辦法》中要求,應加強數據安全保護,明確重要數據和個人信息的保護措施。
天融信建議開展數據安全治理咨詢,梳理數據資產情況,明確個人信息處理規則等,在評估現狀并分析安全風險的基礎上,提供針對性的個人信息安全保護和體系化數據安全保護。
4、開展等級保護和商用密碼保護
《辦法》中提出,鐵路關基設施在國家網絡安全等級保護制度的基礎上,落實防護措施,并使用商用密碼進行保護。
如《辦法》所要求,關基設施需在網絡安全等級保護的基礎上實行重點保護,并按照要求使用商用密碼進行保護,因而符合等保和密評要求是關保的前提。建議遵照等級保護及密碼應用相關要求落實等保和密評工作,為保護關基設施打下良好基礎。
5、開展安全檢測和風險評估
《辦法》中要求,鐵路關基設施每年至少進行一次網絡安全檢測和風險評估。
天融信建議利用專業安全服務,每年至少進行一次網絡安全檢測和風險評估,參考相關標準規范,全方位檢測和評估當前存在的不足,積極發現問題,及時整改以規避安全隱患,并按要求報送相關情況。
6、建立健全監測預警和信息通報
《辦法》中指出,應制定本單位的監測預警和信息通報制度。
天融信建議建設本單位的網絡安全監測系統,廣泛收集各類安全數據,利用多種分析手段深度挖掘安全問題,配備值班值守人員,全方位、全天候感知安全態勢,并及時收集、匯總、分析各方網絡安全信息,經綜合分析研判,對發現的問題進行及時通報預警和處置。
7、落實應急預案和應急演練
《辦法》中要求,應建立健全鐵路關基設施網絡安全事件應急預案體系,定期組織應急演練。
天融信建議制定網絡安全應急預案,明確事件應急處置機制,并確保每年至少開展一次應急演練,針對演練中發現的突出問題和漏洞隱患進行及時整改加固,從而不斷完善保護措施。
《鐵路關鍵信息基礎設施安全保護管理辦法》的出臺,將進一步充實和完善我國關鍵信息基礎設施安全保護的決策部署。天融信作為上市公司中成立最早的網絡安全企業,始終秉持“可信網絡 安全世界”的理念,緊跟時代發展與政策要求,在關鍵信息基礎設施安全等前沿領域持續推出自主創新產品和解決方案,為護航國家安全貢獻企業力量。
