為了規(guī)范關鍵信息基礎設施商用密碼使用，保護關鍵信息基礎設施安全，根據(jù)《中華人民共和國密碼法》和新修訂的《商用密碼管理條例》等有關法律法規(guī)，國家密碼管理局研究起草了《關鍵信息基礎設施商用密碼使用管理規(guī)定（征求意見稿）》，現(xiàn)向社會公開征求意見。公眾可通過以下途徑和方式提出意見：

1．登錄國家密碼管理局門戶網(wǎng)站（網(wǎng)址：www.nca.gov.cn），進入首頁“互動交流—意見征集”欄目提出意見。

2．電子郵件發(fā)送至：gmzcfg@sca.gov.cn，郵件主題請注明“《關鍵信息基礎設施商用密碼使用管理規(guī)定》反饋意見”字樣。

3．信函寄至：北京市豐臺區(qū)靛廠路7號國家密碼管理局政策法規(guī)室（郵政編碼：100036），信封上請注明“《關鍵信息基礎設施商用密碼使用管理規(guī)定》反饋意見”字樣。

征求意見時間為2024年11月15日至2024年12月15日。

國家密碼管理局

2024年11月15日

第一條【目的依據(jù)】 為了規(guī)范關鍵信息基礎設施商用密碼使用，保護關鍵信息基礎設施安全，根據(jù)《中華人民共和國密碼法》、《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》、《商用密碼管理條例》和《關鍵信息基礎設施安全保護條例》、《網(wǎng)絡數(shù)據(jù)安全管理條例》等有關法律、行政法規(guī)，制定本規(guī)定。

第二條【適用范圍】  
依據(jù)《中華人民共和國網(wǎng)絡安全法》、《關鍵信息基礎設施安全保護條例》等法律、行政法規(guī)和國家有關規(guī)定認定的關鍵信息基礎設施的商用密碼使用管理，適用本規(guī)定。

第三條【管理部門職責】 國家密碼管理部門會同國家網(wǎng)信部門、國務院公安部門負責規(guī)劃、指導和監(jiān)督全國的關鍵信息基礎設施商用密碼使用管理工作，建立關鍵信息基礎設施商用密碼使用管理信息共享機制。

縣級以上地方各級密碼管理部門會同網(wǎng)信部門、公安機關負責指導和監(jiān)督本行政區(qū)域的關鍵信息基礎設施商用密碼使用管理工作。

第四條【保護工作部門職責】  關鍵信息基礎設施保護工作部門（以下簡稱保護工作部門）在職責范圍內(nèi)負責監(jiān)督管理本行業(yè)、本領域關鍵信息基礎設施商用密碼使用工作，單獨編制本行業(yè)、本領域商用密碼使用規(guī)劃或者納入本行業(yè)、本領域的關鍵信息基礎設施安全規(guī)劃并組織實施，指導本行業(yè)、本領域關鍵信息基礎設施運營者（以下簡稱運營者）做好商用密碼相關制度、人員、經(jīng)費等保障。

保護工作部門應當于每年3月31日前向國家密碼管理部門、國家網(wǎng)信部門、國務院公安部門報告上一年度本行業(yè)、本領域關鍵信息基礎設施商用密碼使用管理情況。

關鍵信息基礎設施發(fā)生涉及商用密碼的重大網(wǎng)絡安全事件或者發(fā)現(xiàn)涉及商用密碼的重大網(wǎng)絡安全威脅時，保護工作部門應當及時向國家密碼管理部門報告。

第五條【運營者總體責任】  運營者應當按照相關法律、行政法規(guī)和國家有關規(guī)定，遵循國家商用密碼管理、網(wǎng)絡安全等級保護、關鍵信息基礎設施安全保護等制度要求，使用商用密碼保護關鍵信息基礎設施，同步規(guī)劃、同步建設、同步運行商用密碼保障系統(tǒng)，并定期開展商用密碼應用安全性評估。

運營者應當于每年1月31日前向所屬的保護工作部門報告上一年度關鍵信息基礎設施商用密碼使用情況。

第六條【制度保障】 運營者應當加強關鍵信息基礎設施商用密碼使用制度保障，建立商用密碼使用、應急處置、重大事件報告等關鍵信息基礎設施商用密碼使用管理制度。

運營者的主要負責人對關鍵信息基礎設施商用密碼使用管理負總責，負責關鍵信息基礎設施商用密碼使用和涉及商用密碼的重大網(wǎng)絡安全事件處置工作。

第七條【人員保障】  運營者應當加強關鍵信息基礎設施商用密碼使用人員保障，配備取得密碼相關專業(yè)學歷或者密碼相關國家職業(yè)技能等級認定證書的專業(yè)人員分別承擔密鑰管理員、密碼操作員等職責，配備具有安全審計專業(yè)能力的人員承擔密碼安全審計員職責。

運營者應當對密碼相關專業(yè)人員進行安全背景審查，并定期組織其參加密碼相關業(yè)務技能培訓，提高密碼相關專業(yè)人員的商用密碼使用能力。

第八條【經(jīng)費保障】  運營者應當加強關鍵信息基礎設施商用密碼使用和應用安全性評估經(jīng)費保障，將商用密碼使用和應用安全性評估經(jīng)費納入網(wǎng)絡安全和信息化經(jīng)費安排。

第九條【商用密碼技術、產(chǎn)品、服務使用要求】  關鍵信息基礎設施使用的商用密碼產(chǎn)品、服務應當經(jīng)檢測認證合格，使用的密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術應當通過國家密碼管理部門審查鑒定。為關鍵信息基礎設施提供的商用密碼服務，其商用密碼使用要求應當不低于其服務的關鍵信息基礎設施。

運營者采購涉及商用密碼的網(wǎng)絡產(chǎn)品和服務，影響或者可能影響國家安全的，應當按照《網(wǎng)絡安全審查辦法》進行網(wǎng)絡安全審查。

第十條【數(shù)據(jù)安全保護、個人信息保護要求】  
關鍵信息基礎設施應當按照國家數(shù)據(jù)安全保護、個人信息保護有關要求，使用商用密碼對其存儲、使用、傳輸?shù)暮诵臄?shù)據(jù)、重要數(shù)據(jù)和個人信息進行保護。

第十一條【規(guī)劃階段要求】  
關鍵信息基礎設施規(guī)劃階段，其運營者應當依照相關法律、行政法規(guī)和標準規(guī)范，根據(jù)商用密碼應用需求，制定商用密碼應用方案，規(guī)劃商用密碼保障系統(tǒng)并納入關鍵信息基礎設施安全規(guī)劃統(tǒng)籌部署。

運營者應當自行或者委托商用密碼檢測機構對商用密碼應用方案進行商用密碼應用安全性評估。商用密碼應用方案未通過商用密碼應用安全性評估的，不得作為商用密碼保障系統(tǒng)的建設依據(jù)。

第十二條【建設階段要求】 關鍵信息基礎設施建設階段，其運營者應當按照通過商用密碼應用安全性評估的商用密碼應用方案組織實施，落實商用密碼安全防護措施，建設商用密碼保障系統(tǒng)。建設過程中需要調整商用密碼應用方案的，應當重新開展商用密碼應用安全性評估，評估通過后方可按照調整后的商用密碼應用方案繼續(xù)建設。

關鍵信息基礎設施運行前，其運營者應當自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。關鍵信息基礎設施未通過商用密碼應用安全性評估的，運營者應當進行改造，改造期間不得投入運行。

第十三條【運行階段要求】 關鍵信息基礎設施建成運行后，其運營者應當自行或者委托商用密碼檢測機構每年至少開展一次商用密碼應用安全性評估，確保關鍵信息基礎設施商用密碼的正確使用和商用密碼保障系統(tǒng)的有效運行。關鍵信息基礎設施未通過商用密碼應用安全性評估的，運營者應當進行改造，并在改造期間采取必要措施保證關鍵信息基礎設施運行安全。

第十四條【過渡安排】  本規(guī)定施行前正在建設的關鍵信息基礎設施，其運營者應當加強商用密碼應用方案編制論證，建設完善商用密碼保障系統(tǒng)，并按照本規(guī)定第十二條開展商用密碼應用安全性評估。

本規(guī)定施行前已經(jīng)投入運行的關鍵信息基礎設施，其運營者應當按照本規(guī)定第十三條開展商用密碼應用安全性評估。

第十五條【商用密碼應用安全性評估要求】  開展關鍵信息基礎設施商用密碼應用安全性評估，應當符合《商用密碼應用安全性評估管理辦法》有關規(guī)定。

關鍵信息基礎設施商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網(wǎng)絡安全等級測評加強銜接，避免重復評估、測評。

第十六條【商用密碼運行安全管理】  國家密碼管理部門負責建設和管理國家關鍵信息基礎設施商用密碼運行安全管理基礎設施，統(tǒng)籌保護工作部門建設本行業(yè)、本領域關鍵信息基礎設施商用密碼運行安全管理基礎設施，會同國家網(wǎng)信部門、國務院公安部門分析研判關鍵信息基礎設施商用密碼運行安全態(tài)勢，協(xié)同做好重大商用密碼運行安全威脅應對措施。

第十七條【商用密碼使用情況監(jiān)督檢查】  密碼管理部門應當定期組織開展關鍵信息基礎設施商用密碼使用情況監(jiān)督檢查。保護工作部門應當定期對本行業(yè)、本領域關鍵信息基礎設施商用密碼使用情況進行檢查并提出改進措施，必要時可以自行或者委托商用密碼檢測機構等專業(yè)機構進行商用密碼應用安全性評估。

運營者對密碼管理部門和保護工作部門開展的關鍵信息基礎設施商用密碼使用情況監(jiān)督檢查應當予以配合，根據(jù)監(jiān)督檢查意見及時進行整改并向保護工作部門報告整改情況，保護工作部門應當將整改情況向國家密碼管理部門報告。

開展關鍵信息基礎設施商用密碼使用情況監(jiān)督檢查應當加強協(xié)同配合、信息溝通，避免不必要的檢查和交叉重復檢查。監(jiān)督檢查不得收取費用，不得要求被監(jiān)督檢查單位購買、使用指定單位或者指定品牌的商用密碼產(chǎn)品、服務。

第十八條【保密義務】  密碼管理部門、有關部門、商用密碼檢測機構及其工作人員對其在履行職責中知悉的國家秘密、商業(yè)秘密和個人隱私承擔保密義務，不得泄露或者非法向他人提供。

第十九條【違反商用密碼使用要求罰則】  運營者違反《中華人民共和國密碼法》、《中華人民共和國網(wǎng)絡安全法》、《商用密碼管理條例》、《關鍵信息基礎設施安全保護條例》和本規(guī)定有關條款，有下列情形之一的，由密碼管理部門責令改正，給予警告；拒不改正或者有其他嚴重情節(jié)的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款：

（一）未按照要求使用商用密碼保護關鍵信息基礎設施，同步規(guī)劃、同步建設、同步運行商用密碼保障系統(tǒng)的；

（二）關鍵信息基礎設施使用的商用密碼產(chǎn)品、服務未經(jīng)檢測認證合格的；

（三）關鍵信息基礎設施使用的密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術未通過國家密碼管理部門審查鑒定的；

（四）關鍵信息基礎設施規(guī)劃階段，未制定商用密碼應用方案，或者未對商用密碼應用方案進行商用密碼應用安全性評估的；

（五）關鍵信息基礎設施建設階段，未按照通過商用密碼應用安全性評估的商用密碼應用方案建設商用密碼保障系統(tǒng)的；

（六）關鍵信息基礎設施運行前，未開展商用密碼應用安全性評估，或者未通過商用密碼應用安全性評估且未進行改造的；

（七）關鍵信息基礎設施建成運行后，未定期開展商用密碼應用安全性評估，或者未通過定期開展的商用密碼應用安全性評估且未進行改造的。

第二十條【違反安全審查要求罰則】  運營者違反《中華人民共和國密碼法》、《中華人民共和國網(wǎng)絡安全法》、《商用密碼管理條例》、《關鍵信息基礎設施安全保護條例》和本規(guī)定第九條，使用未經(jīng)安全審查或者安全審查未通過的涉及商用密碼的網(wǎng)絡產(chǎn)品或者服務的，由有關主管部門責令停止使用，處采購金額1倍以上10倍以下罰款；對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。

第二十一條【違反監(jiān)督管理配合義務罰則】  運營者違反《中華人民共和國密碼法》、《中華人民共和國網(wǎng)絡安全法》、《商用密碼管理條例》、《關鍵信息基礎設施安全保護條例》和本規(guī)定第十七條，無正當理由拒不接受、不配合或者干預、阻撓密碼管理部門、有關部門的商用密碼監(jiān)督管理的，由密碼管理部門、有關部門責令改正，給予警告；拒不改正或者有其他嚴重情節(jié)的，處5萬元以上50萬元以下罰款，對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款；情節(jié)特別嚴重的，責令停業(yè)整頓。

第二十二條【違反商用密碼保障責任罰則】 運營者違反本規(guī)定，有下列情形之一的，由密碼管理部門、有關部門依據(jù)職責責令改正：

（一）未按照要求報告上一年度關鍵信息基礎設施商用密碼使用情況的；

（二）未建立關鍵信息基礎設施商用密碼使用管理制度的；

（三）未按照要求配備密鑰管理員、密碼操作員、密碼安全審計員的；

（四）未保障關鍵信息基礎設施商用密碼使用和應用安全性評估經(jīng)費的。

第二十三條【監(jiān)督管理人員罰則】 從事關鍵信息基礎設施商用密碼使用監(jiān)督管理工作的人員濫用職權、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責中知悉的商業(yè)秘密、個人隱私、舉報人信息的，依法給予處分。

第二十四條【激勵措施】  國家密碼管理部門會同國家網(wǎng)信部門、國務院公安部門、保護工作部門定期通報表揚關鍵信息基礎設施商用密碼使用先進單位和突出事跡。

第二十五條【制度銜接】  
屬于國家政務信息系統(tǒng)的關鍵信息基礎設施，除應當遵守本規(guī)定以外，還應當按照《國家政務信息化項目建設管理辦法》（國辦發(fā)〔2019〕57號）等有關規(guī)定要求開展商用密碼使用管理工作。

第二十六條【施行日期】 本規(guī)定自××××年××月××日起施行。