03-中国铁路总公司网络信息保护管理试行办法》-铁总运[2013] 137号

中国铁路总公司网络信息保护管理试行办法第一章总则第1为加强中国铁路总公司（以下简称总公司）在业务活动中所涉及公条民个人电子信息保护工作，根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《信息安全技术公共及商用服务信息系统个人信息保护指南》（GB/Z28828-2012）等有关法律法规和国家标准，制定本办法。第2总公司依法保护在业务活动中所收集、使用和产生的，能够识别公条民个人身份和涉及公民个人隐私的电子信息。任何单位和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。第3有关单位、部门收集、使用公民个人电子信息应当依法合规，并履条行审批程序。第4有关单位、部门及其工作人员对在业务活动中收集、使用和产生的条公民个人电子信息必须严格保密，不得泄露、篡改、毁损。第5有关单位、部门应依照国家有关法律、法规、标准，制定公民个人条电子信息管理制度，落实公民个人电子信息管理责任，并建立严格的内控机制，定期对信息系统公民个人电子信息安全状况、管理制度及措施落实情况进行自查或委托独立测评机构进行测评。第二章工作职责第6总公司信息化管理部门负责公民个人电子信息保护归口管理及协调条组织工作，组织制定有关管理办法，检查指导有关单位和部门公民个人电子信息保护工作。有关业务部门负责本部门所涉及公民个人电子信息保护工作，制定管理制度，明确管理人员，落实保护管理责任。第7有关单位应将公民个人电子信息安全管理纳入本单位安全管理体条系，制定实施细则，明确管理人员，落实管理责任。并将公民个人电子信息保护教育工作纳入培训计划。第8总公司有关业务部门根据需要提出收集、使用公民个人信息需求。条信息化管理部门负责对收集、使用公民个人电子信息的必要性进行审核。法律事务管理部门负责对收集、使用公民个人电子信息的正当性、合法性进行审核。由总公司批准。总公司其他部门需要使用所收集的公民个人电子信息时，需向信息化管理部门提出申请，由信息化主管部门和有关业务部门审核后，报总公司主管领导审批。第三章保护措施第9有关单位、部门应采取有效技术措施和其他必要措施，确保公民个条人电子信息安全，防止在业务活动中收集的公民个人电子信息泄露、损毁、丢失。第收集、使用公民个人电子信息时，应遵循以下原则：10条1．必须确保收集行为的合法性、收集目的的正当性、收集内容的必要性。2．收集公民个人信息时，应采用个人信息主体易知悉的方式公开收集、使用规则，采用协议方式征得被收集者同意，并明示收集目的、方式、手段、具体内容、使用范围和信息留存时限，明确说明对信息的保护措施，以及投诉渠道和信息管理者的名称、地址、联系方式等相关信息。并对被收集者提供信息后可能存在的风险和不提供信息可能出现的后果进行说明。不得违反法律法规的规定和双方的约定收集、使用信息。3．信息收集者和被收集者双方应在约定范围内，确保提供信息的完整性和准确性。如发现信息不准确或信息需要变更，应按约定随时更新。4．在信息处理过程中除法定事由外，应当采取措施确保所收集、使用和产生的公民个人电子信息不被任何与处理目的无关的个人、组织和机构获取。5．根据收集信息时的协议，及时删除公民个人电子信息。第有关单位、部门应按照信息安全等级保护相关规定，对涉及公民个11人电子信息的应用系统进行安全防护，信息安全保护等级应不低于条三级。强化身份认证、安全审计、入侵防范、安全监控等技术手段，提高应用系统针对攻击的防范能力、发现能力和应对能力。第有关单位应定期对本单位公民个人电子信息安全防护工作进行测评12和风险评估，及时发现和修复安全漏洞。对应用系统或网络进行安条全检测、扫描，须经信息化管理部门和业务部门批准。委托第三方测评，应与测评方签署保密协议。所有测评结果不得向外界提供。第有关单位、部门应严格规范岗位人员工作程序和工作行为，详细界13定岗位人员对公民个人电子信息收集、传输、查看、修改、删除、条使用、存储的范围和权限，不得超越职责范围获取、处理和携带公民个人电子信息。要加强对公民个人电子信息存储设备（含移动存储设备）的管理，做好数据备份，防止数据损毁、丢失。重要信息应采取加密方式传输和存储。第提供互联网服务的信息系统，应至少保留6个月以上的用户访问日志14记录。条第未经电子信息接收者同意或者请求，或者电子信息接收者明确表示15拒绝的，不得向其固定电话、移动电话或者个人电子邮箱等发送商条业性电子信息。第四章管理要求第按照“谁主管谁负责、谁使用谁负责”的原则，公民个人电子信息16保护工作应逐级落实有关单位和个人的责任。条第信息系统维护单位应建立公民个人电子信息处理流程，明确具体负17责公民个人电子信息安全管理和安全审计工作人员。按照“权限分条置”的原则，结合业务特点设置系统管理员、数据库管理员、应用系统管理员及业务操作人员等岗位。第有关单位、部门应加强公民个人电子信息处理过程中的风险控制，18制定相应的应急处置预案。在发生或可能发生信息泄露、丢失、毁条损、篡改和不当使用等情况时，应当立即采取应对措施，防止事件影响进一步扩大，必要时应及时告知受影响的个人信息主体。发生重大事件，应及时向业务部门和信息化管理部门报告。第有关单位、部门及工作人员发现窃取或者以其他非法方式获取、出19售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他条网络信息违法犯罪行为、或者接到有关举报、控告后，应及时向有关部门报告，并根据各自职责，及时采取有效措施，依法及时处理。国家有关主管部门依法履行职责时，有关单位、部门应当予以积极配合，提供技术支持。第各单位、部门及其工作人员，有违反本办法行为的，有关主管部门20应责令其改正，情节严重的，按有关规定给予处分；涉嫌犯罪的，条移送司法机关，依法追究刑事责任。侵害他人民事权益的，依法承担民事责任。第五章附则第21条本办法由总公司运输局负责解释。第22条本办法自2013年12月1日起施行。