第三章.运营者责任义务第十条 新建 改建.扩建或者升级改造公路水路关键信息基础设施的.安全保护措施应当与公路水路关键信息基础设施同步规划.同步建设,同步使用。运营者应当按照国家有关规定对安全保护措施予以验证.第十一条.运营者应当建立健全网络安全保护制度和责任制 保障人力 财力。物力投入。运营者的主要负责人对公路水路关键信息基础设施安全保护负总责、领导关键信息基础设施安全保护和重大网络安全事件处置工作 组织研究解决重大网络安全问题 运营者应当明确管理本单位公路水路关键信息基础设施安全保护工作的具体负责人。第十二条.运营者应当设置专门安全管理机构,明确负责人和关键岗位人员并进行安全背景审查和安全技能培训 符合要求的人员方能上岗 鼓励网络安全专门人才从事公路水路关键信息基础设施安全保护工作,运营者应当保障专门安全管理机构的人员配备.开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与、专门安全管理机构的负责人和关键岗位人员的身份.安全背景等发生变化或者必要时.运营者应当重新进行安全背景审查、第十三条。运营者应当保障专门安全管理机构的运行经费.并依法依规严格规范经费使用和管理,防止资金挤占挪用.重要网络设施和安全设备达到使用期限的,运营者应当优先保障设施设备更新经费,第十四条,运营者应当加强公路水路关键信息基础设施供应链安全管理。应当采购依法通过检测认证的网络关键设备和网络安全专用产品。优先采购安全可信的网络产品和服务。采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查,鼓励运营者从已通过云计算服务安全评估的云计算服务平台中采购云计算服务.第十五条 运营者应当加强公路水路关键信息基础设施个人信息和数据安全保护、将在我国境内运营中收集和产生的个人信息和重要数据存储在境内,因业务需要、确需向境外提供数据的.应当按照国家相关规定进行安全评估、法律 行政法规另有规定的,依照其规定执行,第十六条,公路水路关键信息基础设施的网络安全保护等级应当不低于第三级 运营者应当在网络安全等级保护的基础上。对公路水路关键信息基础设施实行重点保护,采取技术保护措施和其他必要措施.应对网络安全事件、防范网络攻击和违法犯罪活动 保障公路水路关键信息基础设施安全稳定运行,维护数据的完整性 保密性和可用性,第十七条 运营者应当自行或者委托网络安全服务机构对公路水路关键信息基础设施每年至少进行一次网络安全检测和风险评估。对发现的安全问题及时整改 部级设施的运营者应当直接向交通运输部报送相关情况,省级设施的运营者应当将相关情况报经省级人民政府交通运输主管部门审核后报送交通运输部,第十八条。法律,行政法规和国家有关规定要求使用商用密码进行保护的公路水路关键信息基础设施 其运营者应当使用商用密码进行保护、自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,商用密码应用安全性评估应当与公路水路关键信息基础设施安全检测评估、网络安全等级测评制度相衔接.避免重复评估、测评,第十九条、运营者应当加强保密管理,按照国家有关规定与网络产品和服务提供者等必要人员签订安全保密协议,明确提供者等必要人员的技术支持和安全保密义务与责任.并对义务与责任履行情况进行监督、第二十条。运营者应当制定网络安全教育培训制度、定期开展网络安全教育培训和技能考核、教育培训的具体内容和学时应当遵守国家有关规定、第二十一条,运营者应当建设本单位网络安全监测系统。对公路水路关键信息基础设施开展全天候监测和值班值守,运营者应当加强本单位网络安全信息通报预警力量建设,依托国家网络与信息安全信息通报机制 及时收集、汇总、分析各方网络安全信息,组织开展网络安全威胁分析和态势研判、及时通报预警和处置,第二十二条,运营者应当按照国家有关要求制定网络安全事件应急预案,建立网络安全事件应急处置机制。加强应急力量建设和应急资源储备 每年至少开展一次应急演练、并针对应急演练发现的突出问题和漏洞隐患 及时整改加固.完善保护措施,第二十三条 部级设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当直接向交通运输部.公安机关报告,并立即启动本单位网络安全事件应急预案、省级设施发生重大网络安全事件或者发现重大网络安全威胁时。运营者应当立即向省级人民政府交通运输主管部门,公安机关报告、并启动本单位网络安全事件应急预案.省级人民政府交通运输主管部门应当将相关情况及时报告交通运输部.公路水路关键信息基础设施发生特别重大网络安全事件或者发现特别重大网络安全威胁时。交通运输部应当在收到报告后、及时向国家网信部门、国务院公安部门报告。