第三章，运营者责任和义务第九条.铁路关键信息基础设施的网络安全保护等级应当不低于第三级.运营者应当依照有关法律 行政法规的规定以及国家标准的强制性要求，在国家网络安全等级保护制度的基础上,突出保护重点、落实防护措施 加强全生命周期管理，保障铁路关键信息基础设施安全稳定运行 维护数据的完整性.保密性和可用性、第十条.新建、改建、扩建铁路关键信息基础设施的,运营者应当做到安全防护措施与关键信息基础设施同步规划，同步建设,同步使用 并采取检测评估。安全演练等方式验证安全保护措施的有效性.第十一条、运营者应当建立健全网络安全保护制度和责任制。保障人力 财力 物力投入，运营者的主要负责人对所运营的铁路关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题，运营者应当为每个铁路关键信息基础设施明确安全管理责任人,第十二条、运营者应当设置专门安全管理机构。保障专门安全管理机构的运行经费.配备相应的人员.开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。运营者应当对专门安全管理机构负责人和关键岗位人员进行安全背景审查 专门安全管理机构的负责人和关键岗位人员的身份,安全背景等发生变化或者必要时 运营者应当根据情况重新进行安全背景审查,第十三条.专门安全管理机构具体负责本单位的铁路关键信息基础设施安全保护工作、履行下列职责.一.建立健全网络安全管理，评价考核制度、拟订铁路关键信息基础设施安全保护计划，二,组织推动网络安全防护能力建设、开展网络安全监测 检测和风险评估，三,按照国家及铁路行业要求、制定本单位网络安全事件应急预案,定期开展应急演练 处置网络安全事件。四、认定网络安全关键岗位，组织开展网络安全工作考核、提出奖励和惩处建议 五,组织网络安全教育 培训。六.履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度。七，对铁路关键信息基础设施设计。建设,运行.维护等服务实施安全管理、八 按照规定报告网络安全事件和重要事项.第十四条,运营者应当加强铁路关键信息基础设施供应链安全保护，优先采购安全可信的网络产品和服务，运营者采购网络产品和服务,应当预判该产品和服务投入使用后对国家安全的影响,可能影响国家安全的、应当按照国家有关规定申报网络安全审查。第十五条.运营者应当加强数据安全保护。明确重要数据和个人信息的保护措施，将在我国境内运营中收集和产生的个人信息和重要数据存储在境内.因业务需要,确需向境外提供数据的,应当按照国家相关规定和标准进行安全评估 法律,行政法规另有规定的.依照其规定执行，第十六条.运营者应当自行或者委托网络安全服务机构对铁路关键信息基础设施每年至少进行一次网络安全检测和风险评估.对发现的安全问题及时整改，并按照国家铁路局要求报送情况 第十七条,法律、行政法规和国家有关规定要求使用商用密码进行保护的铁路关键信息基础设施.运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估。商用密码应用安全性评估应当与铁路关键信息基础设施安全检测和风险评估。网络安全等级测评制度相衔接。避免重复评估。测评,第十八条。运营者应当加强全过程保密管理。采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任.并对义务与责任履行情况进行监督、第十九条，运营者应当制定本单位的监测预警和信息通报制度,加强对铁路关键信息基础设施监测.研判整体安全态势.第二十条，铁路关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当按照有关规定向国家铁路局、公安机关报告，并立即启动本单位网络安全事件应急预案、铁路关键信息基础设施发生特别重大网络安全事件或者发现特别重大网络安全威胁时，国家铁路局应当在收到报告后。及时向国家网信部门。国务院公安部门报告，第二十一条.运营者发生合并、分立,解散等情况,应当及时报告国家铁路局.并按照国家铁路局的要求对铁路关键信息基础设施进行处置、确保安全,