《關鍵信息基礎設施商用密碼使用管理規定》解讀

根據《中華人民(min)共(gong)和國密碼法(fa)》、《商(shang)用密碼管(guan)理(li)條例》等法(fa)律(lv)法(fa)規，國家(jia)密碼管(guan)理(li)局(ju)會同(tong)國家(jia)互聯(lian)網(wang)信息(xi)辦公室(shi)、公安部，研究制定了《關鍵信息(xi)基礎設施(shi)商(shang)用密碼使用管(guan)理(li)規定》（國家(jia)密碼管(guan)理(li)局(ju)、國家(jia)互聯(lian)網(wang)信息(xi)辦公室(shi)、公安部令(ling)第(di)5號）（以下簡稱《規定》），現就《規定》的有關內容解讀如下。

一、制定的(de)必要(yao)性

（一(yi)）制定《規(gui)定》是貫(guan)徹落實黨中央、國務院關于商用密(mi)碼(ma)管(guan)理決策部署的必(bi)然要求。《中華人民共(gong)和國密碼法》提(ti)出了“法律、行政法規和國家(jia)有(you)關規定要(yao)求使用(yong)(yong)(yong)商(shang)用(yong)(yong)(yong)密(mi)碼進行保護(hu)的關鍵信息基礎設施，其(qi)運營者應(ying)當使用(yong)(yong)(yong)商(shang)用(yong)(yong)(yong)密(mi)碼進行保護(hu)，自行或者委托商(shang)用(yong)(yong)(yong)密(mi)碼檢(jian)測機構開展商(shang)用(yong)(yong)(yong)密(mi)碼應(ying)用(yong)(yong)(yong)安(an)全性評估”的要求。《商用密碼(ma)管理(li)條例》進一步明確關鍵信息基礎設施“同(tong)步(bu)規劃、同(tong)步(bu)建設、同(tong)步(bu)運(yun)行商用(yong)密(mi)碼(ma)保障系統”，以及(ji)依法依規使用商(shang)用密碼技術、產品、服(fu)務等(deng)要求。《關鍵(jian)信息基礎設(she)施(shi)安(an)全保護條例》明(ming)確(que)“關鍵信息基礎(chu)設施中的密碼使(shi)用和管(guan)理，還應當遵守相關法律、行(xing)政法規(gui)的規(gui)定”。有必(bi)要(yao)制定《規定》，按照(zhao)商用(yong)密碼依法管(guan)理(li)要(yao)求，細(xi)化關鍵信(xin)息基礎設施(shi)商用(yong)密碼使用(yong)管(guan)理(li)要(yao)求。

（二(er)）制定《規定》是(shi)保護關鍵信息(xi)基礎(chu)設施安全的重要舉措。目前，關(guan)鍵信息(xi)基礎(chu)設施運營者已開展商(shang)用(yong)(yong)密碼使用(yong)(yong)相關(guan)工作，但由(you)于缺乏管(guan)理法規制度的具體指導和約束，部分(fen)網絡與(yu)信息(xi)系統建設未(wei)深入分(fen)析商(shang)用(yong)(yong)密碼使用(yong)(yong)需(xu)求并(bing)體系化加(jia)以解(jie)決(jue)，機械堆疊商(shang)用(yong)(yong)密碼產(chan)品，或(huo)(huo)者簡單實施外掛式、補丁式改造，商(shang)用(yong)(yong)密碼應(ying)用(yong)(yong)的合規性、正確性、有效(xiao)性難以保證；個別網絡與(yu)信息(xi)系統仍然使用(yong)(yong)未(wei)經(jing)檢測認證合格(ge)的商(shang)用(yong)(yong)密碼產(chan)品、服務或(huo)(huo)者未(wei)經(jing)審查鑒定的商(shang)用(yong)(yong)密碼技術，存(cun)在較大(da)安(an)全(quan)隱患。有(you)必(bi)要制定《規(gui)定》，規(gui)范關鍵(jian)(jian)信息基(ji)礎(chu)(chu)設(she)(she)施(shi)商(shang)用密碼使用，保護關鍵(jian)(jian)信息基(ji)礎(chu)(chu)設(she)(she)施(shi)安全(quan)。

（三）制定(ding)《規定(ding)》是進一步(bu)滿足關(guan)鍵信息基礎設施安全保護需求的實踐需要。關鍵(jian)信息(xi)基(ji)礎設施保(bao)護(hu)工作部門指導關鍵(jian)信息(xi)基(ji)礎設施運營(ying)者按照密碼管(guan)理相(xiang)關法(fa)(fa)律法(fa)(fa)規(gui)要求開(kai)展商用密碼使用工作的過程(cheng)中，結合實踐提(ti)出了一系列意見建議，包括(kuo)進一步明確制度(du)、人員、經費保障等方(fang)面的(de)依據，規劃、建設(she)、運行(xing)等各階段的要求(qiu)，運行(xing)安(an)全(quan)(quan)管(guan)理、監(jian)督檢查(cha)等職責，與網絡安(an)全(quan)(quan)等級保護、關鍵信(xin)(xin)息基礎(chu)設(she)施安(an)全(quan)(quan)保護、數據安(an)全(quan)(quan)保護、個人(ren)信(xin)(xin)息保護等工(gong)作的關系等。有必要制定(ding)《規定(ding)》，明確(que)法規依據、細化制度規定，推進有關工作要求(qiu)更加精準落地實(shi)施。

二、總體思路(lu)

《規定》的制定細化《中華人民共和國密碼法》、《商用密碼(ma)管理(li)條例》關(guan)于關(guan)鍵(jian)信(xin)息(xi)基(ji)礎(chu)(chu)設施商用(yong)密(mi)碼使(shi)用(yong)管理(li)的基(ji)礎(chu)(chu)性、原則性要(yao)求，明確(que)劃分(fen)密(mi)碼管理(li)部(bu)門(men)、網信(xin)部(bu)門(men)、公安機關(guan)以(yi)及保護工作部(bu)門(men)、運營者的職權義務，明確(que)規劃、建設、運行等各(ge)(ge)階段的規范要(yao)求，明確(que)制度、人員、經(jing)費等方面(mian)的保障措施，將(jiang)關(guan)鍵(jian)信(xin)息(xi)基(ji)礎(chu)(chu)設施商用(yong)密(mi)碼使(shi)用(yong)管理(li)各(ge)(ge)方面(mian)、各(ge)(ge)環節的要(yao)求以(yi)法定形(xing)式(shi)固化下(xia)來，力(li)求做到做到責任明確(que)、環節清晰、措施完備。主要(yao)體現了以(yi)下(xia)三(san)方面(mian)思(si)路：

（一(yi)）堅持依法管(guan)理原(yuan)則。依(yi)據(ju)《中(zhong)(zhong)(zhong)華人(ren)民(min)(min)(min)共(gong)和(he)(he)國(guo)(guo)(guo)密(mi)(mi)碼法》、《中(zhong)(zhong)(zhong)華人(ren)民(min)(min)(min)共(gong)和(he)(he)國(guo)(guo)(guo)網絡安(an)全(quan)(quan)法》、《中(zhong)(zhong)(zhong)華人(ren)民(min)(min)(min)共(gong)和(he)(he)國(guo)(guo)(guo)數據(ju)安(an)全(quan)(quan)法》、《中(zhong)(zhong)(zhong)華人(ren)民(min)(min)(min)共(gong)和(he)(he)國(guo)(guo)(guo)個人(ren)信(xin)(xin)息保護法》、《商(shang)用(yong)(yong)(yong)密(mi)(mi)碼管(guan)理(li)(li)條(tiao)例(li)》和(he)(he)《關鍵(jian)信(xin)(xin)息基(ji)礎(chu)設(she)(she)施(shi)安(an)全(quan)(quan)保護條(tiao)例(li)》、《網絡數據(ju)安(an)全(quan)(quan)管(guan)理(li)(li)條(tiao)例(li)》等(deng)有關法律、行政(zheng)法規(gui)中(zhong)(zhong)(zhong)關鍵(jian)信(xin)(xin)息基(ji)礎(chu)設(she)(she)施(shi)商(shang)用(yong)(yong)(yong)密(mi)(mi)碼使(shi)用(yong)(yong)(yong)相關要(yao)求，制定關鍵(jian)信(xin)(xin)息基(ji)礎(chu)設(she)(she)施(shi)商(shang)用(yong)(yong)(yong)密(mi)(mi)碼使(shi)用(yong)(yong)(yong)管(guan)理(li)(li)各項措(cuo)施(shi)，并做好(hao)與相關政(zheng)策法規(gui)的銜(xian)接協調(diao)。

（二）明確劃分(fen)各方職(zhi)責。關(guan)鍵信息基礎設施商(shang)用密碼(ma)(ma)使用管(guan)(guan)(guan)理(li)涉及單(dan)位多，其中，密碼(ma)(ma)管(guan)(guan)(guan)理(li)部(bu)門(men)(men)、網信部(bu)門(men)(men)、公安機關(guan)為(wei)管(guan)(guan)(guan)理(li)部(bu)門(men)(men)，保護工作部(bu)門(men)(men)為(wei)行業領域(yu)監督管(guan)(guan)(guan)理(li)部(bu)門(men)(men)，運營(ying)者為(wei)直(zhi)接責任主(zhu)體，明確劃分各方權(quan)力、義務和責任。

（三）科學(xue)規范監(jian)管制(zhi)度。針對關鍵信息基礎設施商用(yong)密(mi)碼(ma)使(shi)用(yong)管理涉及的商用(yong)密(mi)碼(ma)技術、產品(pin)、服務(wu)等內(nei)容，圍繞規(gui)劃、建(jian)設、運行等各階(jie)段(duan)，提出具體(ti)規(gui)范要求(qiu)，并明(ming)確運行安全管理(li)、監督檢查、保(bao)密義務等管理(li)事(shi)項。

三(san)、主(zhu)要(yao)內容(rong)

《規定》共(gong)25條。主要(yao)內容包括：

（一）總體要求(qiu)。一是(shi)規(gui)定(ding)適(shi)用(yong)范圍，即依據法律法規(gui)和(he)國(guo)(guo)家有(you)關(guan)規(gui)定(ding)認定(ding)的關(guan)鍵(jian)信息(xi)基礎設(she)施的商用(yong)密(mi)碼使用(yong)管(guan)理(li)，適(shi)用(yong)本規(gui)定(ding)。二是(shi)明確管(guan)理(li)部(bu)門(men)職(zhi)責，涵蓋(gai)國(guo)(guo)家密(mi)碼管(guan)理(li)部(bu)門(men)、國(guo)(guo)家網(wang)信部(bu)門(men)、國(guo)(guo)務院公(gong)(gong)安部(bu)門(men)，以(yi)及縣(xian)級(ji)以(yi)上地方各級(ji)密(mi)碼管(guan)理(li)部(bu)門(men)與(yu)同(tong)級(ji)網(wang)信部(bu)門(men)、公(gong)(gong)安機關(guan)。三是(shi)明確保護工(gong)作部(bu)門(men)職(zhi)責，包(bao)括監督管(guan)理(li)本行業、本領(ling)域關(guan)鍵(jian)信息(xi)基礎設(she)施商用(yong)密(mi)碼應用(yong)，加強規(gui)劃和(he)指導，報(bao)送有(you)關(guan)情況等。

（二(er)）運營者責任。一是明確(que)運營者總(zong)體責任，即落實關鍵信息(xi)基礎設施商用密碼使用“三同步一評估”原則，同(tong)步規劃、同(tong)步建(jian)(jian)設、同(tong)步運(yun)行商用密(mi)碼保(bao)障系統(tong)，并定(ding)(ding)(ding)期(qi)開展商用密(mi)碼應(ying)用安全(quan)性評估(gu)。二是(shi)分別規定(ding)(ding)(ding)運(yun)營者的制(zhi)度、人員、經(jing)(jing)費保(bao)障責任(ren)，包括建(jian)(jian)立商用密(mi)碼使用、應(ying)急處置、重大事件報告等制(zhi)度，配備(bei)符合要求的密(mi)碼相關專業人員并進行安全(quan)背景(jing)審查，定(ding)(ding)(ding)期(qi)組織密(mi)碼相關業務(wu)技能培訓，以及將(jiang)商用密(mi)碼使用和應(ying)用安全(quan)性評估(gu)經(jing)(jing)費納入網絡安全(quan)和信息(xi)化經(jing)(jing)費安排等，從而為關鍵(jian)信息(xi)基礎設施商用密(mi)碼使用奠(dian)定(ding)(ding)(ding)堅(jian)實基礎。

（三）商用密碼使用具體(ti)要求。一是明(ming)確(que)(que)商用(yong)(yong)密(mi)碼(ma)(ma)(ma)(ma)技術(shu)(shu)、產(chan)品、服(fu)務(wu)使(shi)用(yong)(yong)要(yao)求。規(gui)定關(guan)鍵信(xin)息(xi)基礎設(she)施(shi)使(shi)用(yong)(yong)的(de)商用(yong)(yong)密(mi)碼(ma)(ma)(ma)(ma)產(chan)品、服(fu)務(wu)應(ying)當經檢測(ce)認證合格，使(shi)用(yong)(yong)的(de)密(mi)碼(ma)(ma)(ma)(ma)算法(fa)、密(mi)碼(ma)(ma)(ma)(ma)協(xie)議(yi)、密(mi)鑰管理(li)機制等商用(yong)(yong)密(mi)碼(ma)(ma)(ma)(ma)技術(shu)(shu)應(ying)當通過國家(jia)密(mi)碼(ma)(ma)(ma)(ma)管理(li)部門審(shen)查鑒定。二是明(ming)確(que)(que)數(shu)據(ju)安(an)(an)全(quan)保護(hu)、個人信(xin)息(xi)保護(hu)要(yao)求。強調(diao)關(guan)鍵信(xin)息(xi)基礎設(she)施(shi)應(ying)當使(shi)用(yong)(yong)商用(yong)(yong)密(mi)碼(ma)(ma)(ma)(ma)對其存儲、使(shi)用(yong)(yong)、傳(chuan)輸的(de)核心(xin)數(shu)據(ju)、重要(yao)數(shu)據(ju)和(he)個人信(xin)息(xi)進行保護(hu)。三(san)是細化規(gui)劃、建設(she)、運行等階(jie)段商用(yong)(yong)密(mi)碼(ma)(ma)(ma)(ma)使(shi)用(yong)(yong)要(yao)求以(yi)及過渡安(an)(an)排、商用(yong)(yong)密(mi)碼(ma)(ma)(ma)(ma)應(ying)用(yong)(yong)安(an)(an)全(quan)性評(ping)估要(yao)求。建立(li)起關(guan)鍵信(xin)息(xi)基礎設(she)施(shi)商用(yong)(yong)密(mi)碼(ma)(ma)(ma)(ma)使(shi)用(yong)(yong)的(de)程(cheng)序閉環。

（四）監督(du)檢查及(ji)法律責(ze)任。一是規定商用密(mi)碼運行安全(quan)管理責任。明(ming)確了建(jian)設國家級與行業級商(shang)用(yong)密(mi)(mi)碼(ma)運行安全管(guan)理(li)基礎設施(shi)的(de)(de)(de)責(ze)(ze)任。二是(shi)(shi)(shi)規定密(mi)(mi)碼(ma)管(guan)理(li)部門(men)和保護工作部門(men)的(de)(de)(de)監督檢(jian)查(cha)職權，同時(shi)申明運營者(zhe)(zhe)的(de)(de)(de)配合義(yi)務與管(guan)理(li)部門(men)的(de)(de)(de)保密(mi)(mi)義(yi)務。三是(shi)(shi)(shi)規定運營者(zhe)(zhe)的(de)(de)(de)違法(fa)情(qing)形及(ji)法(fa)律責(ze)(ze)任，包括違反(fan)商(shang)用(yong)密(mi)(mi)碼(ma)使用(yong)要求、違反(fan)安全審查(cha)要求、違反(fan)監督管(guan)理(li)配合義(yi)務、違反(fan)商(shang)用(yong)密(mi)(mi)碼(ma)保障責(ze)(ze)任等。四(si)是(shi)(shi)(shi)規定監督管(guan)理(li)人(ren)員的(de)(de)(de)違法(fa)情(qing)形及(ji)法(fa)律責(ze)(ze)任。

（五(wu)）其他事項。規定了對關鍵信息基礎(chu)設施(shi)商用密(mi)碼使用的(de)制度銜接(jie)，以及本規定的(de)施(shi)行時間。

（來(lai)源：國家密碼(ma)管理局）