關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理規(guī)定
(2025年6月11日國家密碼管理局�、國家互聯(lián)網(wǎng)信息辦公室�����、公安部令第5號公布 自2025年8月1日起施行)
第一條為規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用,保護關(guān)鍵信息基礎(chǔ)設(shè)施安全��,根據(jù)《中華人民共和國密碼法》����、《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》����、《中華人民共和國個人信息保護法》、《商用密碼管理條例》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》���、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等有關(guān)法律����、行政法規(guī)����,制定本規(guī)定。
第二條依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》���、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律�、行政法規(guī)和國家有關(guān)規(guī)定認(rèn)定的關(guān)鍵信息基礎(chǔ)設(shè)施的商用密碼使用管理,適用本規(guī)定��。
第三條國家密碼管理部門會同國家網(wǎng)信部門�、國務(wù)院公安部門負責(zé)規(guī)劃、指導(dǎo)和監(jiān)督全國的關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理工作�����,建立關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理信息共享機制�����。
縣級以上地方各級密碼管理部門會同網(wǎng)信部門��、公安機關(guān)負責(zé)指導(dǎo)和監(jiān)督本行政區(qū)域的關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理工作��。
第四條關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門(以下簡稱保護工作部門)在職責(zé)范圍內(nèi)負責(zé)監(jiān)督管理本行業(yè)�����、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用工作����,單獨編制本行業(yè)�����、本領(lǐng)域商用密碼使用規(guī)劃或者納入本行業(yè)�、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃并組織實施���,指導(dǎo)本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運營者(以下簡稱運營者)開展商用密碼相關(guān)制度�、人員、經(jīng)費等保障工作���。
保護工作部門應(yīng)當(dāng)于每年3月31日前向國家密碼管理部門���、國家網(wǎng)信部門、國務(wù)院公安部門報告上一年度本行業(yè)����、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理情況。
關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生涉及商用密碼的重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)涉及商用密碼的重大網(wǎng)絡(luò)安全威脅時�����,保護工作部門應(yīng)當(dāng)及時向國家密碼管理部門���、國家網(wǎng)信部門����、國務(wù)院公安部門報告,指導(dǎo)運營者開展應(yīng)急處置�����,必要時開展商用密碼應(yīng)用安全性評估�����。
第五條運營者應(yīng)當(dāng)按照相關(guān)法律���、行政法規(guī)和國家有關(guān)規(guī)定�,遵循國家商用密碼管理���、網(wǎng)絡(luò)安全等級保護���、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護等制度要求,使用商用密碼保護關(guān)鍵信息基礎(chǔ)設(shè)施��,同步規(guī)劃�����、同步建設(shè)、同步運行商用密碼保障系統(tǒng)����,并定期開展商用密碼應(yīng)用安全性評估。
運營者應(yīng)當(dāng)于每年1月31日前向所屬的保護工作部門報告上一年度關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用以及商用密碼應(yīng)用安全性評估開展情況���。
第六條運營者應(yīng)當(dāng)加強關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用制度保障,建立商用密碼使用���、應(yīng)急處置�����、重大事件報告等關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理制度��。
運營者的主要負責(zé)人對關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理負總責(zé)���,負責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用和涉及商用密碼的重大網(wǎng)絡(luò)安全事件處置工作。
第七條運營者應(yīng)當(dāng)加強關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用人員保障��,配備取得密碼相關(guān)專業(yè)學(xué)歷或者密碼相關(guān)國家職業(yè)技能等級認(rèn)定證書的專業(yè)人員分別承擔(dān)密鑰管理員���、密碼操作員等職責(zé)����,配備具有安全審計專業(yè)能力的人員承擔(dān)密碼安全審計員職責(zé)。
運營者應(yīng)當(dāng)對密碼相關(guān)專業(yè)人員進行安全背景審查�����,并定期組織其參加密碼相關(guān)業(yè)務(wù)技能培訓(xùn)����,提高密碼相關(guān)專業(yè)人員的商用密碼使用能力。
第八條運營者應(yīng)當(dāng)加強關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用和應(yīng)用安全性評估經(jīng)費保障�,將商用密碼使用和應(yīng)用安全性評估經(jīng)費納入網(wǎng)絡(luò)安全和信息化經(jīng)費安排。
第九條關(guān)鍵信息基礎(chǔ)設(shè)施使用的商用密碼產(chǎn)品���、服務(wù)應(yīng)當(dāng)經(jīng)檢測認(rèn)證合格��,使用的密碼算法、密碼協(xié)議�、密鑰管理機制等商用密碼技術(shù)應(yīng)當(dāng)通過國家密碼管理部門審查鑒定。
運營者采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)����,影響或者可能影響國家安全的���,應(yīng)當(dāng)按照《網(wǎng)絡(luò)安全審查辦法》進行網(wǎng)絡(luò)安全審查。
第十條關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)按照國家數(shù)據(jù)安全保護���、個人信息保護有關(guān)要求���,使用商用密碼對其存儲、使用����、傳輸?shù)暮诵臄?shù)據(jù)、重要數(shù)據(jù)和個人信息進行保護����。
第十一條關(guān)鍵信息基礎(chǔ)設(shè)施規(guī)劃階段����,其運營者應(yīng)當(dāng)依照相關(guān)法律、行政法規(guī)和標(biāo)準(zhǔn)規(guī)范�,根據(jù)商用密碼應(yīng)用需求,制定商用密碼應(yīng)用方案�����,規(guī)劃商用密碼保障系統(tǒng)并納入關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃統(tǒng)籌部署。
運營者應(yīng)當(dāng)自行或者委托商用密碼檢測機構(gòu)對商用密碼應(yīng)用方案進行商用密碼應(yīng)用安全性評估����。商用密碼應(yīng)用方案未通過商用密碼應(yīng)用安全性評估的,不得作為商用密碼保障系統(tǒng)的建設(shè)依據(jù)���。
第十二條關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)階段����,其運營者應(yīng)當(dāng)按照通過商用密碼應(yīng)用安全性評估的商用密碼應(yīng)用方案組織實施����,落實商用密碼安全防護措施,建設(shè)商用密碼保障系統(tǒng)�����。建設(shè)過程中需要調(diào)整商用密碼應(yīng)用方案的�����,應(yīng)當(dāng)重新開展商用密碼應(yīng)用安全性評估��,評估通過后方可按照調(diào)整后的商用密碼應(yīng)用方案繼續(xù)建設(shè)。
關(guān)鍵信息基礎(chǔ)設(shè)施運行前��,其運營者應(yīng)當(dāng)自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估�����。關(guān)鍵信息基礎(chǔ)設(shè)施未通過商用密碼應(yīng)用安全性評估的����,運營者應(yīng)當(dāng)進行改造,改造期間不得投入運行���。
第十三條關(guān)鍵信息基礎(chǔ)設(shè)施建成運行后�,其運營者應(yīng)當(dāng)自行或者委托商用密碼檢測機構(gòu)每年至少開展一次商用密碼應(yīng)用安全性評估�����,確保關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼的正確使用和商用密碼保障系統(tǒng)的有效運行����。關(guān)鍵信息基礎(chǔ)設(shè)施未通過商用密碼應(yīng)用安全性評估的�,運營者應(yīng)當(dāng)進行改造,并在改造期間采取必要措施保證關(guān)鍵信息基礎(chǔ)設(shè)施運行安全�����。
第十四條本規(guī)定施行前正在建設(shè)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運營者應(yīng)當(dāng)加強商用密碼應(yīng)用方案編制論證��,建設(shè)完善商用密碼保障系統(tǒng)�����,并按照本規(guī)定第十二條開展商用密碼應(yīng)用安全性評估���。
本規(guī)定施行前已經(jīng)投入運行的關(guān)鍵信息基礎(chǔ)設(shè)施��,其運營者應(yīng)當(dāng)按照本規(guī)定第十三條開展商用密碼應(yīng)用安全性評估��。
第十五條開展關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼應(yīng)用安全性評估�����,應(yīng)當(dāng)符合《商用密碼應(yīng)用安全性評估管理辦法》有關(guān)規(guī)定���。
關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評加強銜接���,避免重復(fù)評估����、測評。
第十六條國家密碼管理部門負責(zé)建設(shè)和管理國家關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼運行安全管理基礎(chǔ)設(shè)施�����,統(tǒng)籌保護工作部門建設(shè)本行業(yè)�、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼運行安全管理基礎(chǔ)設(shè)施,會同國家網(wǎng)信部門���、國務(wù)院公安部門分析研判關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼運行安全態(tài)勢�,協(xié)同應(yīng)對處置重大商用密碼運行安全威脅���。
第十七條密碼管理部門應(yīng)當(dāng)定期組織開展關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用情況監(jiān)督檢查���。保護工作部門應(yīng)當(dāng)定期對本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用情況進行檢查并提出改進措施���,必要時可以自行或者委托商用密碼檢測機構(gòu)等專業(yè)機構(gòu)進行商用密碼應(yīng)用安全性評估����。
運營者對密碼管理部門和保護工作部門開展的關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用情況監(jiān)督檢查應(yīng)當(dāng)予以配合�����,根據(jù)監(jiān)督檢查意見及時進行整改并向保護工作部門報告整改情況�,保護工作部門應(yīng)當(dāng)將整改情況向國家密碼管理部門報告。
開展關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用情況監(jiān)督檢查應(yīng)當(dāng)加強協(xié)同配合�、信息溝通,避免不必要的檢查和交叉重復(fù)檢查�����。監(jiān)督檢查不得收取費用����,不得要求被監(jiān)督檢查單位購買、使用指定單位或者指定品牌的商用密碼產(chǎn)品��、服務(wù)��。
第十八條密碼管理部門�、有關(guān)部門、商用密碼檢測機構(gòu)及其工作人員對其在履行職責(zé)中知悉的國家秘密�、商業(yè)秘密和個人隱私承擔(dān)保密義務(wù),不得泄露或者非法向他人提供�����。
第十九條運營者違反《中華人民共和國密碼法》、《中華人民共和國網(wǎng)絡(luò)安全法》����、《商用密碼管理條例》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》和本規(guī)定有關(guān)條款���,有下列情形之一的����,由密碼管理部門責(zé)令改正���,給予警告����;拒不改正或者有其他嚴(yán)重情節(jié)的����,處10萬元以上100萬元以下罰款,對直接負責(zé)的主管人員處1萬元以上10萬元以下罰款:
(一)未按照要求使用商用密碼保護關(guān)鍵信息基礎(chǔ)設(shè)施���,同步規(guī)劃�、同步建設(shè)����、同步運行商用密碼保障系統(tǒng)的�����;
(二)關(guān)鍵信息基礎(chǔ)設(shè)施使用的商用密碼產(chǎn)品、服務(wù)未經(jīng)檢測認(rèn)證合格的���;
(三)關(guān)鍵信息基礎(chǔ)設(shè)施使用的密碼算法�����、密碼協(xié)議�、密鑰管理機制等商用密碼技術(shù)未通過國家密碼管理部門審查鑒定的�;
(四)關(guān)鍵信息基礎(chǔ)設(shè)施規(guī)劃階段,未制定商用密碼應(yīng)用方案���,或者未對商用密碼應(yīng)用方案進行商用密碼應(yīng)用安全性評估的�����;
(五)關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)階段��,未按照通過商用密碼應(yīng)用安全性評估的商用密碼應(yīng)用方案建設(shè)商用密碼保障系統(tǒng)的�����;
(六)關(guān)鍵信息基礎(chǔ)設(shè)施運行前�,未開展商用密碼應(yīng)用安全性評估,或者未通過商用密碼應(yīng)用安全性評估且未進行改造的�����;
(七)關(guān)鍵信息基礎(chǔ)設(shè)施建成運行后�����,未定期開展商用密碼應(yīng)用安全性評估���,或者未通過定期開展的商用密碼應(yīng)用安全性評估且未進行改造的����。
第二十條運營者違反《中華人民共和國密碼法》��、《中華人民共和國網(wǎng)絡(luò)安全法》�����、《商用密碼管理條例》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》和本規(guī)定第九條�����,使用未經(jīng)安全審查或者安全審查未通過的涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的�����,由有關(guān)主管部門責(zé)令停止使用�,處采購金額1倍以上10倍以下罰款����;對直接負責(zé)的主管人員和其他直接責(zé)任人員處1萬元以上10萬元以下罰款。
第二十一條運營者違反《中華人民共和國密碼法》����、《中華人民共和國網(wǎng)絡(luò)安全法》、《商用密碼管理條例》��、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》和本規(guī)定第十七條����,無正當(dāng)理由拒不接受、不配合或者干預(yù)����、阻撓密碼管理部門�����、有關(guān)部門的商用密碼監(jiān)督管理的���,由密碼管理部門、有關(guān)部門責(zé)令改正�����,給予警告���;拒不改正或者有其他嚴(yán)重情節(jié)的���,處5萬元以上50萬元以下罰款,對直接負責(zé)的主管人員和其他直接責(zé)任人員處1萬元以上10萬元以下罰款����;情節(jié)特別嚴(yán)重的,責(zé)令停業(yè)整頓��。
第二十二條運營者違反本規(guī)定�����,有下列情形之一的,由密碼管理部門�、有關(guān)部門依據(jù)職責(zé)責(zé)令改正:
(一)未按照要求報告上一年度關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用以及商用密碼應(yīng)用安全性評估開展情況的;
(二)未建立關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理制度的��;
(三)未按照要求配備密鑰管理員��、密碼操作員�����、密碼安全審計員的���;
(四)未保障關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用和應(yīng)用安全性評估經(jīng)費的。
第二十三條從事關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用監(jiān)督管理工作的人員濫用職權(quán)�、玩忽職守、徇私舞弊�,或者泄露、非法向他人提供在履行職責(zé)中知悉的商業(yè)秘密��、個人隱私���、舉報人信息的�����,依法給予處分�。
第二十四條屬于國家政務(wù)信息系統(tǒng)的關(guān)鍵信息基礎(chǔ)設(shè)施的商用密碼使用管理,除應(yīng)當(dāng)遵守本規(guī)定以外���,還應(yīng)當(dāng)按照《國家政務(wù)信息化項目建設(shè)管理辦法》(國辦發(fā)〔2019〕57號)等有關(guān)規(guī)定要求執(zhí)行����。
第二十五條本規(guī)定自2025年8月1日起施行�。
文章來源:國家密碼管理局
0531-67800866