8月1日起施行｜一文读懂《关键信息基础设施商用密码使用管理规定》

6月11日国家密码管理局、国家互联网信息办公室、公安部令5号公布，《关键信息基础设施商用密码使用管理规定》（以下简称《规定》）自2025年8月1日起施行。

解读

《规定》旨在规范关基商用密码使用，保护关基安全，适用于网络安全法、关保条例等认定的关基的商用密码使用管理。《规定》满足合规性：按照密码法、商密条例、关保条例相关要求，细化关键信息基础设施商用密码使用管理要求。《规定》针对保护工作部门提出建议：明确法规依据、细化制度规定，推进有关工作要求更加精准落地实施。

一、《规定》制定的总体思路

1.    坚持依法管理原则（四法三条例）

2.    明确划分各方职责
管理部门：密码管理部门、网信部门、公安机关
行业领域监督管理部门：保护工作部门
直接责任主体：运营者

3.    科学规范监管制度
商用密码技术、产品、服务等内容
规划、建设、运行等各阶段要求
运行安全管理、监督检查、保密义务等管理事项

二、《规定》共25条，主要内容

1.    相关各方及职责

1)    管理部门职责：

国家层面：国家密码管理部门会同国家网信部门、国务院公安部门
规划、指导和监督全国的关基商用密码使用管理工作；建立关基商用密码使用管理信息共享机制。

地区层面：县级以上地方各级密码管理部门会同网信部门、公安机关；指导和监督本行政区域的关基商用密码使用管理工作

2)    保护工作部门职责：

l  在职责范围内负责监督管理本行业、本领域关基商用密码使用工作

l  单独编制本行业、本领域商用密码使用规划或者纳入本行业、本领域的关基安全规划并组织实施

l  指导本行业、本领域关基运营者开展商用密码相关制度、人员、经费等保障工作

l  于每年3月31日前向国家密码管理部门、国家网信部门、国务院公安部门报告上一年度本行业、本领域关基商用密码使用管理情况

l  关基发生涉及商用密码的重大网络安全事件或者发现涉及商用密码的重大网络安全威胁时，保护工作部门应当及时向国家密码管理部门、国家网信部门、国务院公安部门报告，指导运营者开展应急处置，必要时开展密评

3)    运营者-总体职责

l  遵循国家商用密码管理、网络安全等级保护、关键信息基础设施安全保护等制度要求

l  使用商用密码保护关基，同步规划、同步建设、同步运行商用密码保障系统，并定期开展密评

l  于每年1月31日前向所属的保护工作部门报告上一年度关基商用密码使用情况以及密评开展情况

4)    运营者-制度保障

l  建立商用密码使用、应急处置、重大事件报告等关基商用密码使用管理制度

l  运营者的主要负责人对关基商用密码使用管理负总责

l  负责关基商用密码使用和涉及商用密码的重大网络安全事件处置工作

5)    运营者-人员保障

配备取得密码相关专业学历或者密码相关国家职业技能等级认定证书的专业人员分别承担密钥管理员、密码操作员等职责

配备具有安全审计专业能力的人员承担密码安全审计员职责

运营者应当对密码相关专业人员进行安全背景审查，并定期组织其参加密码相关业务技能培训，提高密码相关专业人员的商用密码使用能力

6)    运营者-经费保障

加强关基商用密码使用和应用安全性评估经费保障

将商用密码使用和应用安全性评估经费纳入网络安全和信息化经费安排

2.    商用密码技术、产品、服务使用要求

l  商用密码产品、服务应当经检测认证合格

l  使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定

l  涉及商用密码的网络产品和服务，影响或者可能影响国家安全的，应当按照《网络安全审查办法》进行网络安全审查

3.    数据安全保护、个人信息保护要求

按照国家数据安全保护、个人信息保护有关要求

使用商用密码对其存储、使用、传输的核心数据、重要数据和个人信息进行保护

4.    各阶段要求

l  规划阶段：运营者制定商用密码应用方案，规划商用密码保障系统并纳入关基安全规划统筹部署；建设前组织方案密评

l  建设阶段：建设商用密码保障系统；运行前组织系统密评；改造期间不得投入运行

l  运行阶段：运行后每年至少开展一次密评；改造期间采取必要措施保障运行安全

l  过渡安排：正在建设的加强方案论证，建设完善商用密码保障系统，按建设阶段开展密评：投入运行的按运行阶段开展密评

5.    密评要求

l  符合《商用密码应用安全性评估管理办法》有关规定

l  与关基安全检测评估、等保测评加强衔接，避免重复评估、测评

6.    商用密码运行安全管理

l  国家密码管理部门负责建设和管理国家关基商用密码运行安全管理基础设施

l  统筹保护工作部门建设本行业、本领域关基商用密码运行安全管理基础设施

l  会同国家网信部门、国务院公安部门分析研判关基商用密码运行安全态势，协同应对处置重大商用密码运行安全威胁

7.    商用密码使用情况监督检查

l  密码管理部门应当定期组织开展监督检查

l  保护工作部门应当定期对本行业、本领域进行检查并提出改进措施，必要时密评；应当将整改情况向国家密码管理部门报告

l  运营者对密码管理部门和保护工作部门开展的监督检查应当予以配合，根据监督检查意见及时进行整改并向保护工作部门报告整改情况

8.    保密义务与罚则

密码管理部门、有关部门、商用密码检测机构及其工作人员对其在履行职责中知悉的国家秘密、商业秘密和个人隐私承担保密义务，不得泄露或者非法向他人提供。

罚则

l  违反商用密码使用要求罚则

l  违反安全审查要求罚则

l  违反监督管理配合义务罚则

l  违反商用密码保障责任罚则

l  监督管理人员罚则

9.    以下情形属于违反商用密码使用要求及保障责任

l  未同步规划、同步建设、同步运行商用密码保障系统

l  商用密码产品、服务未经检测认证合格

l  商用密码技术未通过国家密码管理部门审查鉴定

l  规划阶段，未制定商用密码应用方案，或者未对商用密码应用方案进行密评

l  建设阶段，未按照通过密评的商用密码应用方案建设商用密码保障系统

l  运行前，未开展密评，或者未通过密评且未进行改造

l  建成运行后，未定期开展密评，或者未通过定期开展的密评且未进行改造

l  未按照要求报告上一年度关基商用密码使用情况以及密评开展情况的

l  未建立关基商用密码使用管理制度

l  未按照要求配备密钥管理员、密码操作员、密码安全审计员

l  未保障关基商用密码使用和应用安全性评估经费

海泰方圆作为我国密码事业的建设者、践行者和见证者，始终坚守初心，致力于推动密码技术的创新与应用。已广泛服务于政务、金融、能源、交通等多个关键行业，全面支撑国家关键信息基础设施的密码应用合规、正确、有效建设。2025年初，公司参与国家及行业相关标准的制定突破百项，为密码产业生态的规范化、体系化发展贡献力量。作为多个省市商用密码协会的重要成员单位，海泰方圆不断深化行业协作，拓展产业联动，助力构建安全、可信的数字中国基石。

未来，海泰方圆愿与业界同仁携手同行，共同推进关键信息基础设施中的密码应用建设工作，不断提升自主可控能力，筑牢网络安全防线。