交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全管理細(xì)則一、總則為強(qiáng)化交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全保障能力，維護(hù)交通基礎(chǔ)設(shè)施、運(yùn)輸服務(wù)、政務(wù)管理等領(lǐng)域的網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)，結(jié)合行業(yè)特點(diǎn)制定本細(xì)則。本細(xì)則適用于公路、鐵路、水路、民航、城市軌道交通等領(lǐng)域的運(yùn)營企業(yè)、管理單位及相關(guān)服務(wù)提供商（以下簡稱“從業(yè)單位”），涵蓋其信息系統(tǒng)、數(shù)據(jù)資源、工控系統(tǒng)等網(wǎng)絡(luò)安全管理工作。從業(yè)單位開展網(wǎng)絡(luò)安全工作應(yīng)遵循“安全與發(fā)展并重、預(yù)防為主、分級負(fù)責(zé)、協(xié)同聯(lián)動”原則，將網(wǎng)絡(luò)安全納入整體發(fā)展規(guī)劃，與業(yè)務(wù)建設(shè)同步規(guī)劃、同步建設(shè)、同步運(yùn)行。二、管理架構(gòu)與職責(zé)（一）責(zé)任主體1.從業(yè)單位主體責(zé)任從業(yè)單位是網(wǎng)絡(luò)安全第一責(zé)任主體，需建立主要負(fù)責(zé)人牽頭的管理體系，明確分管領(lǐng)導(dǎo)及專職崗位，保障人員、經(jīng)費(fèi)、技術(shù)投入。企業(yè)董事會應(yīng)定期審議安全重大事項(xiàng)，將安全履職情況納入管理層績效考核。2.主管部門監(jiān)管責(zé)任交通運(yùn)輸主管部門（含行業(yè)監(jiān)管機(jī)構(gòu)）統(tǒng)籌行業(yè)安全監(jiān)管，制定規(guī)范、開展檢查、組織應(yīng)急協(xié)調(diào)，指導(dǎo)從業(yè)單位提升安全能力。對涉及國計民生的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位，依法履行重點(diǎn)保護(hù)職責(zé)。（二）崗位與人員管理1.網(wǎng)絡(luò)安全負(fù)責(zé)人從業(yè)單位應(yīng)指定高級管理人員擔(dān)任安全負(fù)責(zé)人，負(fù)責(zé)審批策略、協(xié)調(diào)資源、推動制度落地。負(fù)責(zé)人需每年參加行業(yè)安全培訓(xùn)，掌握本單位風(fēng)險與管控措施。2.安全管理與技術(shù)崗位設(shè)置專職安全管理員，負(fù)責(zé)日常運(yùn)維、日志審計、漏洞管理；關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位應(yīng)配備專業(yè)運(yùn)維團(tuán)隊，人員數(shù)量與系統(tǒng)規(guī)模匹配，定期開展技能考核。三、風(fēng)險防控體系建設(shè)（一）日常安全管理1.資產(chǎn)與設(shè)備管理建立網(wǎng)絡(luò)資產(chǎn)臺賬（含服務(wù)器、終端、工控設(shè)備等），記錄資產(chǎn)類型、位置、責(zé)任人及安全配置。定期巡檢設(shè)備物理安全（如機(jī)房門禁、溫濕度）與運(yùn)行狀態(tài)，及時處置閑置、報廢設(shè)備的殘留數(shù)據(jù)。2.權(quán)限與賬戶管理遵循“最小必要”原則分配賬號權(quán)限，禁止共享賬號、弱密碼（如純數(shù)字、簡單組合）。定期審計權(quán)限，離職或崗位變動人員即時注銷賬號或調(diào)整權(quán)限，關(guān)鍵崗位實(shí)行“雙人復(fù)核”操作。（二）技術(shù)防護(hù)措施1.邊界與終端防護(hù)在業(yè)務(wù)系統(tǒng)與互聯(lián)網(wǎng)邊界部署防火墻、入侵檢測/防御系統(tǒng)（IDS/IPS），啟用訪問控制、惡意代碼攔截；終端設(shè)備安裝安全管理軟件，禁止私自安裝未授權(quán)程序，內(nèi)網(wǎng)設(shè)備實(shí)行“準(zhǔn)入認(rèn)證”。2.工控系統(tǒng)安全針對交通信號控制、列車調(diào)度等工控系統(tǒng)，實(shí)行“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”策略，禁止工控網(wǎng)絡(luò)與互聯(lián)網(wǎng)直連，對PLC、SCADA等設(shè)備采取白名單訪問、固件校驗(yàn)措施。3.數(shù)據(jù)安全技術(shù)核心數(shù)據(jù)（如旅客信息、調(diào)度指令）傳輸采用加密協(xié)議（如TLS1.3、國密算法），存儲時脫敏、加密；部署數(shù)據(jù)防泄漏（DLP）系統(tǒng)，監(jiān)控敏感數(shù)據(jù)流轉(zhuǎn)，對異常訪問實(shí)時告警。（三）供應(yīng)鏈安全管理1.供應(yīng)商審查采購設(shè)備、軟件、云服務(wù)時，優(yōu)先選擇合規(guī)供應(yīng)商，要求提供安全檢測報告、漏洞響應(yīng)承諾。對關(guān)鍵系統(tǒng)供應(yīng)商，開展背景調(diào)查與審計，簽訂安全協(xié)議。2.第三方服務(wù)管理第三方運(yùn)維、外包開發(fā)接入時，明確責(zé)任邊界，限制訪問范圍（如通過堡壘機(jī)審計操作），服務(wù)結(jié)束后即時回收權(quán)限。定期評估第三方風(fēng)險，對高風(fēng)險服務(wù)采取替代或退出措施。四、數(shù)據(jù)安全管理（一）數(shù)據(jù)分類分級從業(yè)單位依據(jù)數(shù)據(jù)敏感度、業(yè)務(wù)重要性，將數(shù)據(jù)分為“公開、內(nèi)部、敏感、核心”四級（核心數(shù)據(jù)含旅客信息、調(diào)度指令、設(shè)施參數(shù)等）。制定分級保護(hù)指南，明確存儲位置、訪問權(quán)限、傳輸方式。（二）采集與使用規(guī)范1.最小必要采集收集旅客、從業(yè)人員數(shù)據(jù)時，僅采集業(yè)務(wù)必需字段（如購票需姓名、證件號，非必要不采集生物特征），向用戶明示目的、范圍及期限，獲授權(quán)后方可使用。2.數(shù)據(jù)共享與出境跨部門、跨企業(yè)共享數(shù)據(jù)時，簽訂安全協(xié)議；向境外提供核心/重要數(shù)據(jù)的，依法通過安全評估，禁止向未審查的國家/地區(qū)傳輸。（三）存儲與銷毀管理核心數(shù)據(jù)存儲在境內(nèi)安全服務(wù)器，采用異地容災(zāi)備份（周期≤24小時）；廢棄存儲介質(zhì)（如硬盤、U盤）經(jīng)消磁、粉碎等不可逆處理，禁止隨意丟棄或轉(zhuǎn)賣。五、應(yīng)急處置與響應(yīng)（一）應(yīng)急預(yù)案與演練從業(yè)單位制定應(yīng)急預(yù)案（涵蓋勒索病毒、DDoS攻擊、數(shù)據(jù)泄露等場景），明確流程、分工、措施。每年至少開展1次實(shí)戰(zhàn)化演練，檢驗(yàn)預(yù)案有效性，演練后形成改進(jìn)報告。（二）事件監(jiān)測與報告1.實(shí)時監(jiān)測2.事件報告發(fā)生安全事件（如系統(tǒng)癱瘓、數(shù)據(jù)泄露）時，從業(yè)單位應(yīng)在2小時內(nèi)向主管部門報告（涉密事件按保密規(guī)定），報告內(nèi)容含事件類型、影響范圍、初步處置措施。隱瞞、遲報的依法追責(zé)。（三）處置與恢復(fù)事件發(fā)生后，立即啟動預(yù)案，采取隔離設(shè)備、封堵攻擊源、備份數(shù)據(jù)等措施；組織團(tuán)隊溯源分析，修復(fù)漏洞并驗(yàn)證系統(tǒng)可用性；事后形成復(fù)盤報告，整改措施跟蹤落實(shí)。六、監(jiān)督與考核（一）自查與檢查1.單位自查從業(yè)單位每季度開展安全自查，重點(diǎn)檢查制度執(zhí)行、漏洞修復(fù)、數(shù)據(jù)安全等，形成報告留存?zhèn)洳椤ｊP(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位每年委托第三方評估。2.主管部門檢查主管部門采取“雙隨機(jī)、一公開”檢查，對重大隱患單位下達(dá)整改通知；整改不到位的，依法責(zé)令停業(yè)或約談。（二）考核與獎懲將安全工作納入從業(yè)單位信用評價，對管理規(guī)范、處置得力的單位給予政策支持、評優(yōu)推薦；對發(fā)生重大事件、拒不整改的單位，依法處罰并公示，情節(jié)嚴(yán)重的追究刑責(zé)。七、附則本細(xì)則由交通運(yùn)輸主管部門負(fù)責(zé)解釋，自發(fā)布之日起施行。