爲了規範關鍵信息基礎設施商用(yòng)密碼使用(yòng)，保護關鍵信息基礎設施安全，根據《中華人民共和國密碼法》和新修訂的《商用(yòng)密碼管理條例》等有關法律法規，國家(jiā)密碼管理局研究起草了《關鍵信息基礎設施商用(yòng)密碼使用(yòng)管理規定（征求意見稿）》，現向社會(huì)公開征求意見。公衆可(kě)通過(guò)以下(xià)途徑和方式提出意見：

1．登錄國家(jiā)密碼管理局門戶網站（網址：www.nca.gov.cn），進入首頁“互動交流—意見征集”欄目提出意見。

2．電子郵件發(fā／fà)送至：gmzcfg@sca.gov.cn，郵件主題請注明“《關鍵信息基礎設施商用(yòng)密碼使用(yòng)管理規定》反饋意見”字樣。

3．信函寄至：北京市豐台區靛廠路7号國家(jiā)密碼管理局政策法規室（郵政編碼：100036），信封上請注明“《關鍵信息基礎設施商用(yòng)密碼使用(yòng)管理規定》反饋意見”字樣。

征求意見時間爲2024年(nián)11月15日至2024年(nián)12月15日。

國家(jiā)密碼管理局

2024年(nián)11月15日

第一條【目的依據】 爲了規範關鍵信息基礎設施商用(yòng)密碼使用(yòng)，保護關鍵信息基礎設施安全，根據《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《商用(yòng)密碼管理條例》和《關鍵信息基礎設施安全保護條例》、《網絡數據安全管理條例》等有關法律、行(háng / xíng)政法規，制定本規定。

第二條【适用(yòng)範圍】  
依據《中華人民共和國網絡安全法》、《關鍵信息基礎設施安全保護條例》等法律、行(háng / xíng)政法規和國家(jiā)有關規定認定的關鍵信息基礎設施的商用(yòng)密碼使用(yòng)管理，适用(yòng)本規定。

第三條【管理部門職責】 國家(jiā)密碼管理部門會(huì)同國家(jiā)網信部門、國務院公安部門負責規劃、指導和監督全國的關鍵信息基礎設施商用(yòng)密碼使用(yòng)管理工作，建立關鍵信息基礎設施商用(yòng)密碼使用(yòng)管理信息共享機制。

縣級以上地方各級密碼管理部門會(huì)同網信部門、公安機關負責指導和監督本行(háng / xíng)政區域的關鍵信息基礎設施商用(yòng)密碼使用(yòng)管理工作。

第四條【保護工作部門職責】  關鍵信息基礎設施保護工作部門（以下(xià)簡稱保護工作部門）在職責範圍内負責監督管理本行(háng / xíng)業、本領域關鍵信息基礎設施商用(yòng)密碼使用(yòng)工作，單獨編制本行(háng / xíng)業、本領域商用(yòng)密碼使用(yòng)規劃或者納入本行(háng / xíng)業、本領域的關鍵信息基礎設施安全規劃并組織實施，指導本行(háng / xíng)業、本領域關鍵信息基礎設施運營者（以下(xià)簡稱運營者）做好商用(yòng)密碼相關制度、人員、經費等保障。

保護工作部門應當于(yú)每年(nián)3月31日前向國家(jiā)密碼管理部門、國家(jiā)網信部門、國務院公安部門報告上一年(nián)度本行(háng / xíng)業、本領域關鍵信息基礎設施商用(yòng)密碼使用(yòng)管理情況。

關鍵信息基礎設施發(fā／fà)生(shēng)涉及商用(yòng)密碼的重大網絡安全事(shì)件或者發(fā／fà)現涉及商用(yòng)密碼的重大網絡安全威脅時，保護工作部門應當及時向國家(jiā)密碼管理部門報告。

第五條【運營者總體責任】  運營者應當按照相關法律、行(háng / xíng)政法規和國家(jiā)有關規定，遵循國家(jiā)商用(yòng)密碼管理、網絡安全等級保護、關鍵信息基礎設施安全保護等制度要(yào / yāo)求，使用(yòng)商用(yòng)密碼保護關鍵信息基礎設施，同步規劃、同步建設、同步運行(háng / xíng)商用(yòng)密碼保障系統，并定期開展商用(yòng)密碼應用(yòng)安全性評估。

運營者應當于(yú)每年(nián)1月31日前向所(suǒ)屬的保護工作部門報告上一年(nián)度關鍵信息基礎設施商用(yòng)密碼使用(yòng)情況。

第六條【制度保障】 運營者應當加強關鍵信息基礎設施商用(yòng)密碼使用(yòng)制度保障，建立商用(yòng)密碼使用(yòng)、應急處置、重大事(shì)件報告等關鍵信息基礎設施商用(yòng)密碼使用(yòng)管理制度。

運營者的主要(yào / yāo)負責人對(duì)關鍵信息基礎設施商用(yòng)密碼使用(yòng)管理負總責，負責關鍵信息基礎設施商用(yòng)密碼使用(yòng)和涉及商用(yòng)密碼的重大網絡安全事(shì)件處置工作。

第七條【人員保障】  運營者應當加強關鍵信息基礎設施商用(yòng)密碼使用(yòng)人員保障，配備取得(dé / de / děi)密碼相關專業學曆或者密碼相關國家(jiā)職業技能(néng)等級認定證書的專業人員分别承擔密鑰管理員、密碼操作員等職責，配備具有安全審計專業能(néng)力的人員承擔密碼安全審計員職責。

運營者應當對(duì)密碼相關專業人員進行(háng / xíng)安全背景審查，并定期組織其(qí)參加密碼相關業務技能(néng)培訓，提高密碼相關專業人員的商用(yòng)密碼使用(yòng)能(néng)力。

第八條【經費保障】  運營者應當加強關鍵信息基礎設施商用(yòng)密碼使用(yòng)和應用(yòng)安全性評估經費保障，将商用(yòng)密碼使用(yòng)和應用(yòng)安全性評估經費納入網絡安全和信息化經費安排。

第九條【商用(yòng)密碼技術、産品、服務使用(yòng)要(yào / yāo)求】  關鍵信息基礎設施使用(yòng)的商用(yòng)密碼産品、服務應當經檢測認證合格，使用(yòng)的密碼算法、密碼協議、密鑰管理機制等商用(yòng)密碼技術應當通過(guò)國家(jiā)密碼管理部門審查鑒定。爲關鍵信息基礎設施提供的商用(yòng)密碼服務，其(qí)商用(yòng)密碼使用(yòng)要(yào / yāo)求應當不低于(yú)其(qí)服務的關鍵信息基礎設施。

運營者采購涉及商用(yòng)密碼的網絡産品和服務，影響或者可(kě)能(néng)影響國家(jiā)安全的，應當按照《網絡安全審查辦法》進行(háng / xíng)網絡安全審查。

第十(shí)條【數據安全保護、個人信息保護要(yào / yāo)求】  
關鍵信息基礎設施應當按照國家(jiā)數據安全保護、個人信息保護有關要(yào / yāo)求，使用(yòng)商用(yòng)密碼對(duì)其(qí)存儲、使用(yòng)、傳輸的核心數據、重要(yào / yāo)數據和個人信息進行(háng / xíng)保護。

第十(shí)一條【規劃階段要(yào / yāo)求】  
關鍵信息基礎設施規劃階段，其(qí)運營者應當依照相關法律、行(háng / xíng)政法規和标準規範，根據商用(yòng)密碼應用(yòng)需求，制定商用(yòng)密碼應用(yòng)方案，規劃商用(yòng)密碼保障系統并納入關鍵信息基礎設施安全規劃統籌部署。

運營者應當自(zì)行(háng / xíng)或者委托商用(yòng)密碼檢測機構對(duì)商用(yòng)密碼應用(yòng)方案進行(háng / xíng)商用(yòng)密碼應用(yòng)安全性評估。商用(yòng)密碼應用(yòng)方案未通過(guò)商用(yòng)密碼應用(yòng)安全性評估的，不得(dé / de / děi)作爲商用(yòng)密碼保障系統的建設依據。

第十(shí)二條【建設階段要(yào / yāo)求】 關鍵信息基礎設施建設階段，其(qí)運營者應當按照通過(guò)商用(yòng)密碼應用(yòng)安全性評估的商用(yòng)密碼應用(yòng)方案組織實施，落實商用(yòng)密碼安全防護措施，建設商用(yòng)密碼保障系統。建設過(guò)程中需要(yào / yāo)調整商用(yòng)密碼應用(yòng)方案的，應當重新開展商用(yòng)密碼應用(yòng)安全性評估，評估通過(guò)後(hòu)方可(kě)按照調整後(hòu)的商用(yòng)密碼應用(yòng)方案繼續建設。

關鍵信息基礎設施運行(háng / xíng)前，其(qí)運營者應當自(zì)行(háng / xíng)或者委托商用(yòng)密碼檢測機構開展商用(yòng)密碼應用(yòng)安全性評估。關鍵信息基礎設施未通過(guò)商用(yòng)密碼應用(yòng)安全性評估的，運營者應當進行(háng / xíng)改造，改造期間不得(dé / de / děi)投入運行(háng / xíng)。

第十(shí)三條【運行(háng / xíng)階段要(yào / yāo)求】 關鍵信息基礎設施建成運行(háng / xíng)後(hòu)，其(qí)運營者應當自(zì)行(háng / xíng)或者委托商用(yòng)密碼檢測機構每年(nián)至少開展一次商用(yòng)密碼應用(yòng)安全性評估，确保關鍵信息基礎設施商用(yòng)密碼的正确使用(yòng)和商用(yòng)密碼保障系統的有效運行(háng / xíng)。關鍵信息基礎設施未通過(guò)商用(yòng)密碼應用(yòng)安全性評估的，運營者應當進行(háng / xíng)改造，并在改造期間采取必要(yào / yāo)措施保證關鍵信息基礎設施運行(háng / xíng)安全。

第十(shí)四條【過(guò)渡安排】  本規定施行(háng / xíng)前正在建設的關鍵信息基礎設施，其(qí)運營者應當加強商用(yòng)密碼應用(yòng)方案編制論證，建設完善商用(yòng)密碼保障系統，并按照本規定第十(shí)二條開展商用(yòng)密碼應用(yòng)安全性評估。

本規定施行(háng / xíng)前已經投入運行(háng / xíng)的關鍵信息基礎設施，其(qí)運營者應當按照本規定第十(shí)三條開展商用(yòng)密碼應用(yòng)安全性評估。

第十(shí)五條【商用(yòng)密碼應用(yòng)安全性評估要(yào / yāo)求】  開展關鍵信息基礎設施商用(yòng)密碼應用(yòng)安全性評估，應當符合《商用(yòng)密碼應用(yòng)安全性評估管理辦法》有關規定。

關鍵信息基礎設施商用(yòng)密碼應用(yòng)安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評加強銜接，避免重複評估、測評。

第十(shí)六條【商用(yòng)密碼運行(háng / xíng)安全管理】  國家(jiā)密碼管理部門負責建設和管理國家(jiā)關鍵信息基礎設施商用(yòng)密碼運行(háng / xíng)安全管理基礎設施，統籌保護工作部門建設本行(háng / xíng)業、本領域關鍵信息基礎設施商用(yòng)密碼運行(háng / xíng)安全管理基礎設施，會(huì)同國家(jiā)網信部門、國務院公安部門分析研判關鍵信息基礎設施商用(yòng)密碼運行(háng / xíng)安全态勢，協同做好重大商用(yòng)密碼運行(háng / xíng)安全威脅應對(duì)措施。

第十(shí)七條【商用(yòng)密碼使用(yòng)情況監督檢查】  密碼管理部門應當定期組織開展關鍵信息基礎設施商用(yòng)密碼使用(yòng)情況監督檢查。保護工作部門應當定期對(duì)本行(háng / xíng)業、本領域關鍵信息基礎設施商用(yòng)密碼使用(yòng)情況進行(háng / xíng)檢查并提出改進措施，必要(yào / yāo)時可(kě)以自(zì)行(háng / xíng)或者委托商用(yòng)密碼檢測機構等專業機構進行(háng / xíng)商用(yòng)密碼應用(yòng)安全性評估。

運營者對(duì)密碼管理部門和保護工作部門開展的關鍵信息基礎設施商用(yòng)密碼使用(yòng)情況監督檢查應當予以配合，根據監督檢查意見及時進行(háng / xíng)整改并向保護工作部門報告整改情況，保護工作部門應當将整改情況向國家(jiā)密碼管理部門報告。

開展關鍵信息基礎設施商用(yòng)密碼使用(yòng)情況監督檢查應當加強協同配合、信息溝通，避免不必要(yào / yāo)的檢查和交叉重複檢查。監督檢查不得(dé / de / děi)收取費用(yòng)，不得(dé / de / děi)要(yào / yāo)求被監督檢查單位購買、使用(yòng)指定單位或者指定品牌的商用(yòng)密碼産品、服務。

第十(shí)八條【保密義務】  密碼管理部門、有關部門、商用(yòng)密碼檢測機構及其(qí)工作人員對(duì)其(qí)在履行(háng / xíng)職責中知悉的國家(jiā)秘密、商業秘密和個人隐私承擔保密義務，不得(dé / de / děi)洩露或者非法向他人提供。

第十(shí)九條【違反商用(yòng)密碼使用(yòng)要(yào / yāo)求罰則】  運營者違反《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《商用(yòng)密碼管理條例》、《關鍵信息基礎設施安全保護條例》和本規定有關條款，有下(xià)列情形之一的，由密碼管理部門責令改正，給予警告；拒不改正或者有其(qí)他嚴重情節的，處10萬元以上100萬元以下(xià)罰款，對(duì)直接負責的主管人員處1萬元以上10萬元以下(xià)罰款：

（一）未按照要(yào / yāo)求使用(yòng)商用(yòng)密碼保護關鍵信息基礎設施，同步規劃、同步建設、同步運行(háng / xíng)商用(yòng)密碼保障系統的；

（二）關鍵信息基礎設施使用(yòng)的商用(yòng)密碼産品、服務未經檢測認證合格的；

（三）關鍵信息基礎設施使用(yòng)的密碼算法、密碼協議、密鑰管理機制等商用(yòng)密碼技術未通過(guò)國家(jiā)密碼管理部門審查鑒定的；

（四）關鍵信息基礎設施規劃階段，未制定商用(yòng)密碼應用(yòng)方案，或者未對(duì)商用(yòng)密碼應用(yòng)方案進行(háng / xíng)商用(yòng)密碼應用(yòng)安全性評估的；

（五）關鍵信息基礎設施建設階段，未按照通過(guò)商用(yòng)密碼應用(yòng)安全性評估的商用(yòng)密碼應用(yòng)方案建設商用(yòng)密碼保障系統的；

（六）關鍵信息基礎設施運行(háng / xíng)前，未開展商用(yòng)密碼應用(yòng)安全性評估，或者未通過(guò)商用(yòng)密碼應用(yòng)安全性評估且未進行(háng / xíng)改造的；

（七）關鍵信息基礎設施建成運行(háng / xíng)後(hòu)，未定期開展商用(yòng)密碼應用(yòng)安全性評估，或者未通過(guò)定期開展的商用(yòng)密碼應用(yòng)安全性評估且未進行(háng / xíng)改造的。

第二十(shí)條【違反安全審查要(yào / yāo)求罰則】  運營者違反《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《商用(yòng)密碼管理條例》、《關鍵信息基礎設施安全保護條例》和本規定第九條，使用(yòng)未經安全審查或者安全審查未通過(guò)的涉及商用(yòng)密碼的網絡産品或者服務的，由有關主管部門責令停止使用(yòng)，處采購金額1倍以上10倍以下(xià)罰款；對(duì)直接負責的主管人員和其(qí)他直接責任人員處1萬元以上10萬元以下(xià)罰款。

第二十(shí)一條【違反監督管理配合義務罰則】  運營者違反《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《商用(yòng)密碼管理條例》、《關鍵信息基礎設施安全保護條例》和本規定第十(shí)七條，無正當理由拒不接受、不配合或者幹預、阻撓密碼管理部門、有關部門的商用(yòng)密碼監督管理的，由密碼管理部門、有關部門責令改正，給予警告；拒不改正或者有其(qí)他嚴重情節的，處5萬元以上50萬元以下(xià)罰款，對(duì)直接負責的主管人員和其(qí)他直接責任人員處1萬元以上10萬元以下(xià)罰款；情節特别嚴重的，責令停業整頓。

第二十(shí)二條【違反商用(yòng)密碼保障責任罰則】 運營者違反本規定，有下(xià)列情形之一的，由密碼管理部門、有關部門依據職責責令改正：

（一）未按照要(yào / yāo)求報告上一年(nián)度關鍵信息基礎設施商用(yòng)密碼使用(yòng)情況的；

（二）未建立關鍵信息基礎設施商用(yòng)密碼使用(yòng)管理制度的；

（三）未按照要(yào / yāo)求配備密鑰管理員、密碼操作員、密碼安全審計員的；

（四）未保障關鍵信息基礎設施商用(yòng)密碼使用(yòng)和應用(yòng)安全性評估經費的。

第二十(shí)三條【監督管理人員罰則】 從事(shì)關鍵信息基礎設施商用(yòng)密碼使用(yòng)監督管理工作的人員濫用(yòng)職權、玩忽職守、徇私舞弊，或者洩露、非法向他人提供在履行(háng / xíng)職責中知悉的商業秘密、個人隐私、舉報人信息的，依法給予處分。

第二十(shí)四條【激勵措施】  國家(jiā)密碼管理部門會(huì)同國家(jiā)網信部門、國務院公安部門、保護工作部門定期通報表揚關鍵信息基礎設施商用(yòng)密碼使用(yòng)先進單位和突出事(shì)迹。

第二十(shí)五條【制度銜接】  
屬于(yú)國家(jiā)政務信息系統的關鍵信息基礎設施，除應當遵守本規定以外，還應當按照《國家(jiā)政務信息化項目建設管理辦法》（國辦發(fā／fà)〔2019〕57号）等有關規定要(yào / yāo)求開展商用(yòng)密碼使用(yòng)管理工作。

第二十(shí)六條【施行(háng / xíng)日期】 本規定自(zì)××××年(nián)××月××日起施行(háng / xíng)。