交通运输行业网络安全管理细则

交通运输行业网络安全管理细则一、总则为强化交通运输行业网络安全保障能力，维护交通基础设施、运输服务、政务管理等领域的网络安全稳定运行，依据《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规，结合行业特点制定本细则。本细则适用于公路、铁路、水路、民航、城市轨道交通等领域的运营企业、管理单位及相关服务提供商（以下简称“从业单位”），涵盖其信息系统、数据资源、工控系统等网络安全管理工作。从业单位开展网络安全工作应遵循“安全与发展并重、预防为主、分级负责、协同联动”原则，将网络安全纳入整体发展规划，与业务建设同步规划、同步建设、同步运行。二、管理架构与职责（一）责任主体1.从业单位主体责任从业单位是网络安全第一责任主体，需建立主要负责人牵头的管理体系，明确分管领导及专职岗位，保障人员、经费、技术投入。企业董事会应定期审议安全重大事项，将安全履职情况纳入管理层绩效考核。2.主管部门监管责任交通运输主管部门（含行业监管机构）统筹行业安全监管，制定规范、开展检查、组织应急协调，指导从业单位提升安全能力。对涉及国计民生的关键信息基础设施运营单位，依法履行重点保护职责。（二）岗位与人员管理1.网络安全负责人从业单位应指定高级管理人员担任安全负责人，负责审批策略、协调资源、推动制度落地。负责人需每年参加行业安全培训，掌握本单位风险与管控措施。2.安全管理与技术岗位设置专职安全管理员，负责日常运维、日志审计、漏洞管理；关键信息基础设施运营单位应配备专业运维团队，人员数量与系统规模匹配，定期开展技能考核。三、风险防控体系建设（一）日常安全管理1.资产与设备管理建立网络资产台账（含服务器、终端、工控设备等），记录资产类型、位置、责任人及安全配置。定期巡检设备物理安全（如机房门禁、温湿度）与运行状态，及时处置闲置、报废设备的残留数据。2.权限与账户管理遵循“最小必要”原则分配账号权限，禁止共享账号、弱密码（如纯数字、简单组合）。定期审计权限，离职或岗位变动人员即时注销账号或调整权限，关键岗位实行“双人复核”操作。（二）技术防护措施1.边界与终端防护在业务系统与互联网边界部署防火墙、入侵检测/防御系统（IDS/IPS），启用访问控制、恶意代码拦截；终端设备安装安全管理软件，禁止私自安装未授权程序，内网设备实行“准入认证”。2.工控系统安全针对交通信号控制、列车调度等工控系统，实行“安全分区、网络专用、横向隔离、纵向认证”策略，禁止工控网络与互联网直连，对PLC、SCADA等设备采取白名单访问、固件校验措施。3.数据安全技术核心数据（如旅客信息、调度指令）传输采用加密协议（如TLS1.3、国密算法），存储时脱敏、加密；部署数据防泄漏（DLP）系统，监控敏感数据流转，对异常访问实时告警。（三）供应链安全管理1.供应商审查采购设备、软件、云服务时，优先选择合规供应商，要求提供安全检测报告、漏洞响应承诺。对关键系统供应商，开展背景调查与审计，签订安全协议。2.第三方服务管理第三方运维、外包开发接入时，明确责任边界，限制访问范围（如通过堡垒机审计操作），服务结束后即时回收权限。定期评估第三方风险，对高风险服务采取替代或退出措施。四、数据安全管理（一）数据分类分级从业单位依据数据敏感度、业务重要性，将数据分为“公开、内部、敏感、核心”四级（核心数据含旅客信息、调度指令、设施参数等）。制定分级保护指南，明确存储位置、访问权限、传输方式。（二）采集与使用规范1.最小必要采集收集旅客、从业人员数据时，仅采集业务必需字段（如购票需姓名、证件号，非必要不采集生物特征），向用户明示目的、范围及期限，获授权后方可使用。2.数据共享与出境跨部门、跨企业共享数据时，签订安全协议；向境外提供核心/重要数据的，依法通过安全评估，禁止向未审查的国家/地区传输。（三）存储与销毁管理核心数据存储在境内安全服务器，采用异地容灾备份（周期≤24小时）；废弃存储介质（如硬盘、U盘）经消磁、粉碎等不可逆处理，禁止随意丢弃或转卖。五、应急处置与响应（一）应急预案与演练从业单位制定应急预案（涵盖勒索病毒、DDoS攻击、数据泄露等场景），明确流程、分工、措施。每年至少开展1次实战化演练，检验预案有效性，演练后形成改进报告。（二）事件监测与报告1.实时监测2.事件报告发生安全事件（如系统瘫痪、数据泄露）时，从业单位应在2小时内向主管部门报告（涉密事件按保密规定），报告内容含事件类型、影响范围、初步处置措施。隐瞒、迟报的依法追责。（三）处置与恢复事件发生后，立即启动预案，采取隔离设备、封堵攻击源、备份数据等措施；组织团队溯源分析，修复漏洞并验证系统可用性；事后形成复盘报告，整改措施跟踪落实。六、监督与考核（一）自查与检查1.单位自查从业单位每季度开展安全自查，重点检查制度执行、漏洞修复、数据安全等，形成报告留存备查。关键信息基础设施运营单位每年委托第三方评估。2.主管部门检查主管部门采取“双随机、一公开”检查，对重大隐患单位下达整改通知；整改不到位的，依法责令停业或约谈。（二）考核与奖惩将安全工作纳入从业单位信用评价，对管理规范、处置得力的单位给予政策支持、评优推荐；对发生重大事件、拒不整改的单位，依法处罚并公示，情节严重的追究刑责。七、附则本细则由交通运输主管部门负责解释，自发布之日起施行。