《關鍵信息基礎設施商用密碼使用管理規定》解讀

根據《中華人民共和國密碼法》、《商用密碼管理條例》等法律法規，國家密碼管理局會同國家互聯網信息辦公室、公安部，研究制定了《關鍵信息基礎設施商用密碼使用管理規定》（國家密碼管理局、國家互聯網信息辦公室、公安部令第5號）（以下簡稱《規定》），現就《規定》的有關內容解讀如下。

一、制定的必要性

（一）制定《規定》是貫徹落實黨中央、國務院關于商用密碼管理決策部署的必然要求。《中華人民共和國密碼法》提出了“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估”的要求。《商用密碼管理條例》進一步明確關鍵信息基礎設施“同步規劃、同步建設、同步運行商用密碼保障系統”，以及依法依規使用商用密碼技術、產品、服務等要求?！蛾P鍵信息基礎設施安全保護條例》明確“關鍵信息基礎設施中的密碼使用和管理，還應當遵守相關法律、行政法規的規定”。有必要制定《規定》，按照商用密碼依法管理要求，細化關鍵信息基礎設施商用密碼使用管理要求。

（二）制定《規定》是保護關鍵信息基礎設施安全的重要舉措。目前，關鍵信息基礎設施運營者已開展商用密碼使用相關工作，但由于缺乏管理法規制度的具體指導和約束，部分網絡與信息系統建設未深入分析商用密碼使用需求并體系化加以解決，機械堆疊商用密碼產品，或者簡單實施外掛式、補丁式改造，商用密碼應用的合規性、正確性、有效性難以保證；個別網絡與信息系統仍然使用未經檢測認證合格的商用密碼產品、服務或者未經審查鑒定的商用密碼技術，存在較大安全隱患。有必要制定《規定》，規范關鍵信息基礎設施商用密碼使用，保護關鍵信息基礎設施安全。

（三）制定《規定》是進一步滿足關鍵信息基礎設施安全保護需求的實踐需要。關鍵信息基礎設施保護工作部門指導關鍵信息基礎設施運營者按照密碼管理相關法律法規要求開展商用密碼使用工作的過程中，結合實踐提出了一系列意見建議，包括進一步明確制度、人員、經費保障等方面的依據，規劃、建設、運行等各階段的要求，運行安全管理、監督檢查等職責，與網絡安全等級保護、關鍵信息基礎設施安全保護、數據安全保護、個人信息保護等工作的關系等。有必要制定《規定》，明確法規依據、細化制度規定，推進有關工作要求更加精準落地實施。

二、總體思路

《規定》的制定細化《中華人民共和國密碼法》、《商用密碼管理條例》關于關鍵信息基礎設施商用密碼使用管理的基礎性、原則性要求，明確劃分密碼管理部門、網信部門、公安機關以及保護工作部門、運營者的職權義務，明確規劃、建設、運行等各階段的規范要求，明確制度、人員、經費等方面的保障措施，將關鍵信息基礎設施商用密碼使用管理各方面、各環節的要求以法定形式固化下來，力求做到做到責任明確、環節清晰、措施完備。主要體現了以下三方面思路：

（一）堅持依法管理原則。依據《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《商用密碼管理條例》和《關鍵信息基礎設施安全保護條例》、《網絡數據安全管理條例》等有關法律、行政法規中關鍵信息基礎設施商用密碼使用相關要求，制定關鍵信息基礎設施商用密碼使用管理各項措施，并做好與相關政策法規的銜接協調。

（二）明確劃分各方職責。關鍵信息基礎設施商用密碼使用管理涉及單位多，其中，密碼管理部門、網信部門、公安機關為管理部門，保護工作部門為行業領域監督管理部門，運營者為直接責任主體，明確劃分各方權力、義務和責任。

（三）科學規范監管制度。針對關鍵信息基礎設施商用密碼使用管理涉及的商用密碼技術、產品、服務等內容，圍繞規劃、建設、運行等各階段，提出具體規范要求，并明確運行安全管理、監督檢查、保密義務等管理事項。

三、主要內容

《規定》共25條。主要內容包括：

（一）總體要求。一是規定適用范圍，即依據法律法規和國家有關規定認定的關鍵信息基礎設施的商用密碼使用管理，適用本規定。二是明確管理部門職責，涵蓋國家密碼管理部門、國家網信部門、國務院公安部門，以及縣級以上地方各級密碼管理部門與同級網信部門、公安機關。三是明確保護工作部門職責，包括監督管理本行業、本領域關鍵信息基礎設施商用密碼應用，加強規劃和指導，報送有關情況等。

（二）運營者責任。一是明確運營者總體責任，即落實關鍵信息基礎設施商用密碼使用“三同步一評估”原則，同步規劃、同步建設、同步運行商用密碼保障系統，并定期開展商用密碼應用安全性評估。二是分別規定運營者的制度、人員、經費保障責任，包括建立商用密碼使用、應急處置、重大事件報告等制度，配備符合要求的密碼相關專業人員并進行安全背景審查，定期組織密碼相關業務技能培訓，以及將商用密碼使用和應用安全性評估經費納入網絡安全和信息化經費安排等，從而為關鍵信息基礎設施商用密碼使用奠定堅實基礎。

（三）商用密碼使用具體要求。一是明確商用密碼技術、產品、服務使用要求。規定關鍵信息基礎設施使用的商用密碼產品、服務應當經檢測認證合格，使用的密碼算法、密碼協議、密鑰管理機制等商用密碼技術應當通過國家密碼管理部門審查鑒定。二是明確數據安全保護、個人信息保護要求。強調關鍵信息基礎設施應當使用商用密碼對其存儲、使用、傳輸的核心數據、重要數據和個人信息進行保護。三是細化規劃、建設、運行等階段商用密碼使用要求以及過渡安排、商用密碼應用安全性評估要求。建立起關鍵信息基礎設施商用密碼使用的程序閉環。

（四）監督檢查及法律責任。一是規定商用密碼運行安全管理責任。明確了建設國家級與行業級商用密碼運行安全管理基礎設施的責任。二是規定密碼管理部門和保護工作部門的監督檢查職權，同時申明運營者的配合義務與管理部門的保密義務。三是規定運營者的違法情形及法律責任，包括違反商用密碼使用要求、違反安全審查要求、違反監督管理配合義務、違反商用密碼保障責任等。四是規定監督管理人員的違法情形及法律責任。

（五）其他事項。規定了對關鍵信息基礎設施商用密碼使用的制度銜接，以及本規定的施行時間。

關鍵信息基礎設施商用密碼使用管理規定

第一條  為規范關鍵信息基礎設施商用密碼使用，保護關鍵信息基礎設施安全，根據《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《商用密碼管理條例》和《關鍵信息基礎設施安全保護條例》、《網絡數據安全管理條例》等有關法律、行政法規，制定本規定。

第二條  依據《中華人民共和國網絡安全法》、《關鍵信息基礎設施安全保護條例》等法律、行政法規和國家有關規定認定的關鍵信息基礎設施的商用密碼使用管理，適用本規定。

第三條  國家密碼管理部門會同國家網信部門、國務院公安部門負責規劃、指導和監督全國的關鍵信息基礎設施商用密碼使用管理工作，建立關鍵信息基礎設施商用密碼使用管理信息共享機制。

縣級以上地方各級密碼管理部門會同網信部門、公安機關負責指導和監督本行政區域的關鍵信息基礎設施商用密碼使用管理工作。

第四條  關鍵信息基礎設施保護工作部門（以下簡稱保護工作部門）在職責范圍內負責監督管理本行業、本領域關鍵信息基礎設施商用密碼使用工作，單獨編制本行業、本領域商用密碼使用規劃或者納入本行業、本領域的關鍵信息基礎設施安全規劃并組織實施，指導本行業、本領域關鍵信息基礎設施運營者（以下簡稱運營者）開展商用密碼相關制度、人員、經費等保障工作。

保護工作部門應當于每年3月31日前向國家密碼管理部門、國家網信部門、國務院公安部門報告上一年度本行業、本領域關鍵信息基礎設施商用密碼使用管理情況。

關鍵信息基礎設施發生涉及商用密碼的重大網絡安全事件或者發現涉及商用密碼的重大網絡安全威脅時，保護工作部門應當及時向國家密碼管理部門、國家網信部門、國務院公安部門報告，指導運營者開展應急處置，必要時開展商用密碼應用安全性評估。

第五條  運營者應當按照相關法律、行政法規和國家有關規定，遵循國家商用密碼管理、網絡安全等級保護、關鍵信息基礎設施安全保護等制度要求，使用商用密碼保護關鍵信息基礎設施，同步規劃、同步建設、同步運行商用密碼保障系統，并定期開展商用密碼應用安全性評估。

運營者應當于每年1月31日前向所屬的保護工作部門報告上一年度關鍵信息基礎設施商用密碼使用以及商用密碼應用安全性評估開展情況。

第六條  運營者應當加強關鍵信息基礎設施商用密碼使用制度保障，建立商用密碼使用、應急處置、重大事件報告等關鍵信息基礎設施商用密碼使用管理制度。

運營者的主要負責人對關鍵信息基礎設施商用密碼使用管理負總責，負責關鍵信息基礎設施商用密碼使用和涉及商用密碼的重大網絡安全事件處置工作。

第七條  運營者應當加強關鍵信息基礎設施商用密碼使用人員保障，配備取得密碼相關專業學歷或者密碼相關國家職業技能等級認定證書的專業人員分別承擔密鑰管理員、密碼操作員等職責，配備具有安全審計專業能力的人員承擔密碼安全審計員職責。

運營者應當對密碼相關專業人員進行安全背景審查，并定期組織其參加密碼相關業務技能培訓，提高密碼相關專業人員的商用密碼使用能力。

第八條  運營者應當加強關鍵信息基礎設施商用密碼使用和應用安全性評估經費保障，將商用密碼使用和應用安全性評估經費納入網絡安全和信息化經費安排。

第九條  關鍵信息基礎設施使用的商用密碼產品、服務應當經檢測認證合格，使用的密碼算法、密碼協議、密鑰管理機制等商用密碼技術應當通過國家密碼管理部門審查鑒定。

運營者采購涉及商用密碼的網絡產品和服務，影響或者可能影響國家安全的，應當按照《網絡安全審查辦法》進行網絡安全審查。

第十條  關鍵信息基礎設施應當按照國家數據安全保護、個人信息保護有關要求，使用商用密碼對其存儲、使用、傳輸的核心數據、重要數據和個人信息進行保護。

第十一條  關鍵信息基礎設施規劃階段，其運營者應當依照相關法律、行政法規和標準規范，根據商用密碼應用需求，制定商用密碼應用方案，規劃商用密碼保障系統并納入關鍵信息基礎設施安全規劃統籌部署。

運營者應當自行或者委托商用密碼檢測機構對商用密碼應用方案進行商用密碼應用安全性評估。商用密碼應用方案未通過商用密碼應用安全性評估的，不得作為商用密碼保障系統的建設依據。

第十二條  關鍵信息基礎設施建設階段，其運營者應當按照通過商用密碼應用安全性評估的商用密碼應用方案組織實施，落實商用密碼安全防護措施，建設商用密碼保障系統。建設過程中需要調整商用密碼應用方案的，應當重新開展商用密碼應用安全性評估，評估通過后方可按照調整后的商用密碼應用方案繼續建設。

關鍵信息基礎設施運行前，其運營者應當自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。關鍵信息基礎設施未通過商用密碼應用安全性評估的，運營者應當進行改造，改造期間不得投入運行。

第十三條  關鍵信息基礎設施建成運行后，其運營者應當自行或者委托商用密碼檢測機構每年至少開展一次商用密碼應用安全性評估，確保關鍵信息基礎設施商用密碼的正確使用和商用密碼保障系統的有效運行。關鍵信息基礎設施未通過商用密碼應用安全性評估的，運營者應當進行改造，并在改造期間采取必要措施保證關鍵信息基礎設施運行安全。

第十四條  本規定施行前正在建設的關鍵信息基礎設施，其運營者應當加強商用密碼應用方案編制論證，建設完善商用密碼保障系統，并按照本規定第十二條開展商用密碼應用安全性評估。

本規定施行前已經投入運行的關鍵信息基礎設施，其運營者應當按照本規定第十三條開展商用密碼應用安全性評估。

第十五條  開展關鍵信息基礎設施商用密碼應用安全性評估，應當符合《商用密碼應用安全性評估管理辦法》有關規定。

關鍵信息基礎設施商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評加強銜接，避免重復評估、測評。

第十六條  國家密碼管理部門負責建設和管理國家關鍵信息基礎設施商用密碼運行安全管理基礎設施，統籌保護工作部門建設本行業、本領域關鍵信息基礎設施商用密碼運行安全管理基礎設施，會同國家網信部門、國務院公安部門分析研判關鍵信息基礎設施商用密碼運行安全態勢，協同應對處置重大商用密碼運行安全威脅。

第十七條  密碼管理部門應當定期組織開展關鍵信息基礎設施商用密碼使用情況監督檢查。保護工作部門應當定期對本行業、本領域關鍵信息基礎設施商用密碼使用情況進行檢查并提出改進措施，必要時可以自行或者委托商用密碼檢測機構等專業機構進行商用密碼應用安全性評估。

運營者對密碼管理部門和保護工作部門開展的關鍵信息基礎設施商用密碼使用情況監督檢查應當予以配合，根據監督檢查意見及時進行整改并向保護工作部門報告整改情況，保護工作部門應當將整改情況向國家密碼管理部門報告。

開展關鍵信息基礎設施商用密碼使用情況監督檢查應當加強協同配合、信息溝通，避免不必要的檢查和交叉重復檢查。監督檢查不得收取費用，不得要求被監督檢查單位購買、使用指定單位或者指定品牌的商用密碼產品、服務。

第十八條  密碼管理部門、有關部門、商用密碼檢測機構及其工作人員對其在履行職責中知悉的國家秘密、商業秘密和個人隱私承擔保密義務，不得泄露或者非法向他人提供。

第十九條  運營者違反《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《商用密碼管理條例》、《關鍵信息基礎設施安全保護條例》和本規定有關條款，有下列情形之一的，由密碼管理部門責令改正，給予警告；拒不改正或者有其他嚴重情節的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款：

（一）未按照要求使用商用密碼保護關鍵信息基礎設施，同步規劃、同步建設、同步運行商用密碼保障系統的；

（二）關鍵信息基礎設施使用的商用密碼產品、服務未經檢測認證合格的；

（三）關鍵信息基礎設施使用的密碼算法、密碼協議、密鑰管理機制等商用密碼技術未通過國家密碼管理部門審查鑒定的；

（四）關鍵信息基礎設施規劃階段，未制定商用密碼應用方案，或者未對商用密碼應用方案進行商用密碼應用安全性評估的；

（五）關鍵信息基礎設施建設階段，未按照通過商用密碼應用安全性評估的商用密碼應用方案建設商用密碼保障系統的；

（六）關鍵信息基礎設施運行前，未開展商用密碼應用安全性評估，或者未通過商用密碼應用安全性評估且未進行改造的；

（七）關鍵信息基礎設施建成運行后，未定期開展商用密碼應用安全性評估，或者未通過定期開展的商用密碼應用安全性評估且未進行改造的。

第二十條  運營者違反《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《商用密碼管理條例》、《關鍵信息基礎設施安全保護條例》和本規定第九條，使用未經安全審查或者安全審查未通過的涉及商用密碼的網絡產品或者服務的，由有關主管部門責令停止使用，處采購金額1倍以上10倍以下罰款；對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。

第二十一條  運營者違反《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《商用密碼管理條例》、《關鍵信息基礎設施安全保護條例》和本規定第十七條，無正當理由拒不接受、不配合或者干預、阻撓密碼管理部門、有關部門的商用密碼監督管理的，由密碼管理部門、有關部門責令改正，給予警告；拒不改正或者有其他嚴重情節的，處5萬元以上50萬元以下罰款，對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款；情節特別嚴重的，責令停業整頓。

第二十二條  運營者違反本規定，有下列情形之一的，由密碼管理部門、有關部門依據職責責令改正：

（一）未按照要求報告上一年度關鍵信息基礎設施商用密碼使用以及商用密碼應用安全性評估開展情況的；

（二）未建立關鍵信息基礎設施商用密碼使用管理制度的；

（三）未按照要求配備密鑰管理員、密碼操作員、密碼安全審計員的；

（四）未保障關鍵信息基礎設施商用密碼使用和應用安全性評估經費的。

第二十三條  從事關鍵信息基礎設施商用密碼使用監督管理工作的人員濫用職權、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責中知悉的商業秘密、個人隱私、舉報人信息的，依法給予處分。

第二十四條  屬于國家政務信息系統的關鍵信息基礎設施的商用密碼使用管理，除應當遵守本規定以外，還應當按照《國家政務信息化項目建設管理辦法》（國辦發〔2019〕57號）等有關規定要求執行。

第二十五條  本規定自2025年8月1日起施行。