关于《关键信息基础设施商用密码使用管理规定（征求意见稿）》的说明.pdfVIP

关于《关键信息基础设施商用密码使用管理

规定（征求意见稿）》的说明

现就《关键信息基础设施商用密码使用管理规定（征求

意见稿）》作如下说明。

一、制定的必要性

（一）制定《规定》是贯彻落实党中央、国务院关于商用密

码管理决策部署的必然要求。《中华人民共和国密码法》提出

了“法律、行政法规和国家有关规定要求使用商用密码进行

保护的关键信息基础设施，其运营者应当使用商用密码进行

保护，自行或者委托商用密码检测机构开展商用密码应用安

全性评估”的要求。《商用密码管理条例》进一步明确关键信

息基础设施“同步规划、同步建设、同步运行商用密码保障系

统”，以及依法依规使用商用密码技术、产品、服务等要求。

《关键信息基础设施安全保护条例》明确“关键信息基础设施

中的密码使用和管理，还应当遵守相关法律、行政法规的规

定”。有必要制定《规定》，按照商用密码依法管理要求，细化

关键信息基础设施商用密码使用管理要求。

（二）制定《规定》是保护关键信息基础设施安全的重要

举措。目前，关键信息基础设施运营者已经开始开展商用密

码相关建设，但由于缺乏管理法规制度的具体指导和束，

部分网络与信息系统建设未深入分析商用密码使用需求并

体系化加以解决，机械堆叠商用密码产品，或者简单实施外

－1－

挂式、补丁式改造，商用密码应用的合规性、正确性、有效性

难以保证；个别网络与信息系统仍然使用未经检测认证合格

的商用密码产品、服务或者未经审查鉴定的商用密码技术，

存在较大安全隐患。有必要制定《规定》，规范关键信息基础

设施商用密码使用，保护关键信息基础设施安全。

（三）制定《规定》是进一步满足关键信息基础设施安全

保护需求的实践需要。关键信息基础设施保护工作部门指导

关键信息基础设施运营者按照密码管理相关法律法规要求

开展商用密码使用工作的过程中，结合实践提出了一系列意

见建议，包括进一步明确制度、人员、经费保障等方面的依

据，规划、建设、运行等各阶段的要求，运行安全管理、监督

检查等职责，与网络安全等级保护、关键信息基础设施安全

保护、数据安全保护、个人信息保护等工作的关系等。有必

要制定《规定》，明确法规依据、细化制度规定，推进有关工

作要求更加精准落地实施。

二、起草过程

2023年修订后的《商用密码管理条例》颁布实施以来，

国家密码管理局、国家互联网信息办公室、公安部联合开展

《规定》制定工作，经过深入研究论证、反复修改完善，于

2024年6月形成征求意见稿，先后面向关键信息基础设施保

护工作部门、国家有关部门以及各省（区、市）密码管理部门

征求意见。根据征求意见情况，对征求意见稿作了进一步修

改完善，形成公开征求意见稿。

三、制定的主要思路

－2－

（一）坚持依法管理原则。严格依据《中华人民共和国密

码法》、《中华人民共和国网络安全法》、《中华人民共和国数

据安全法》、《中华人民共和国个人信息保护法》、《商用密码

管理条例》和《关键信息基础设施安全保护条例》、《网络数据

安全管理条例》等有关法律、行政法规中关键信息基础设施

商用密码使用相关要求，制定关键信息基础设施商用密码使

用管理各项措施，并做好与相关政策法规的衔接协调。

（二）明确划分各方职责。关键信息基础设施商用密码使

用管理涉及单位多，其中，密码管理部门、网信部门、公安机

关为管理部门，保护工作部门为行业领域监督管理部门，运

营者为直接责任主体，明确划分各方权力、义务和责任。

（三）科学规范监管制度。针对关键信息基础设施商用密

码管理涉及的商用密码技术、产品、服务等内容，围绕规划、

建设、运行等各阶段，提出具体规范要求，并明确运行安全

管理、监督检查、保密义务等管理事项。

四、主要内容

征求意见稿共26条。第1条至第4条规定了起草目的

依据、适用范围，管理部门和保护工作部门的职责。第5条

至第8条强化运营者责任，包括运营者总体责任以及制度保

障、人员保障、经费保障。第9条至第15条明确了商用密码

使用具体要求，包括商用密码技术、产品、服务使用要求，数

据安全保护、个人信息保护要求，规划、建设、运行等阶段要

求以及过渡安排，商用密码应用安全性评估要求。第16条至

第23条为监督检查和法律