2023年7月18日，国家铁路局发布了关于《铁路关键信息基础设施安全保护管理办法（征求意见稿）》公开征求意见的通知（以下简称《征求意见稿》）。从相关信息中可以看到，《征求意见稿》是《关键信息基础设施安全保护条例》在铁路行业里的具体落地，其中九点内容非常值得关注。

一、对铁路关键信息基础设施给出定义

《征求意见稿》第一章第二条规定铁路关键信息基础设施是指“在铁路领域，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。”

二、铁路关键信息基础设施认定需考虑3条因素

1.网络设施、信息系统等对于铁路关键核心业务的重要程度；

2.网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；

3.对其他行业和领域的关联性影响。

三、国家铁路局为铁路关基设施认定主体

《征求意见稿》第一章第三条明确“国家铁路局依法负责全国铁路关键信息基础设施安全保护和监督管理工作，是铁路关键信息基础设施安全保护工作部门。”

四、重视铁路关键信息基础设施安全保护的全面性

第三章 运营者责任和义务

第九条 运营者应当在国家网络安全等级保护制度的基础上，突出保护重点，落实防护措施，加强全生命周期管理，保障铁路关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。

在《征求意见稿》第三章第九条里提出，“应当在国家网络安全等级保护制度的基础上”、“突出保护重点”、“加强全生命周期管理”。等保为基础、抓重点、全生命周期式管理，一方面合理化分配了安全防护力量，另一方面则从时间轴上对铁路关键信息基础设施进行了全面覆盖。

五、将铁路关基安全防护范畴扩展到供应链维度

第三章 运营者责任和义务

第十四条  运营者应当加强供应链安全保护，优先采购安全可信的网络产品和服务；采购网络产品和服务影响或者可能影响国家安全的，运营者应当预判网络产品和服务投入使用后可能带来的国家安全风险，按照国家有关规定申报网络安全审查。

《征求意见稿》第三章第十四条表示，要“加强供应链安全保护”、“优先采购安全可信的网络产品和服务”，对可能带来国家安全风险的网络产品和服务申请“网络安全审查”。网络安全防护不可能独善其身，恶意攻击往往就来自于被疏忽的那一点。在供应链攻击愈加严重的当前，做好供应链的安全防护十分必要。

六、重视数据安全 合规个人信息防护

第三章 运营者责任和义务

第十五条  运营者应当加强数据安全保护，明确重要数据和个人信息的保护措施，将在我国境内运营中收集和产生的个人信息和重要数据存储在境内。因业务需要，确需向境外提供数据的，应当按照国家相关规定和标准进行安全评估。法律、行政法规另有规定的，依照其规定执行。

《征求意见稿》多处都提到了数据安全和个人信息保护的问题，如第九条里“维护数据的完整性、保密性和可用性”，第十三条第六点“履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度”。数据是铁路关键信息基础设施里的重要资产，这些数据不仅包括铁路关键信息基础设施的业务数据、系统数据，也包括铁路关键信息基础设施所收集、存储的个人信息数据。在数据安全、个人信息安全强治理的当下，不仅要加强数据的安全保护，更要做到依法合规。

七、铁路关基安全防护始于规划阶段

第三章 运营者责任和义务

第十条  新建、改建、扩建铁路关键信息基础设施的，运营者应当做到安全防护措施与关键信息基础设施同步规划、同步建设、同步使用。

在《关键信息基础设施安全保护条例》中明确要求，“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用”，《征求意见稿》里对此也进行了贯彻，“同步规划、同步建设、同步使用”能够将安全防护能力与铁路关键信息基础设施进行最为深度的融合。

八、定期评估商用密码应用安全性

第三章 运营者责任和义务

第十七条  法律、行政法规和国家有关规定要求使用商用密码进行保护的铁路关键信息基础设施，运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估。

如今，商用密码及其应用安全性问题越来越多的被人所重视。2020年起实施的《中华人民共和国密码法》及最新修订的《商用密码管理条例》，都对商用密码应用安全性评估提出了明确规定，《征求意见稿》的第十七条就是对相关规定在铁路关键信息基础设施保护中的落地，也对商用密码在铁路关键信息基础设施保护中的应用提出了更高要求。

九、铁路关基保护的另外两个重点——人与制度

人与相关管理制度是铁路关键信息基础设施保护的两个重点要素，《征求意见稿》第十一条、第十二条、第十三条从不同方面对“人”与“制度”提出了各项要求，包括：

• 运营者的主要负责人对所运营的铁路关键信息基础设施安全保护负总责
• 运营者应明确一名领导班子成员分管铁路关键信息基础设施安全保护工作
• 运营者应当设置专门安全管理机构
• 对专门安全管理机构负责人和关键岗位人员进行安全背景审查
• 建立健全网络安全管理、评价考核制度
• 制定本单位网络安全事件应急预案，定期开展应急演练
• 认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议
• 组织网络安全教育、培训