三部門發布《關鍵信息基礎設施商用密碼使用管理規定》

　　中新網7月1日電 據“網信中國”微信公眾號消息，7月1日，國家密碼管理局、國家互聯網信息辦公室、公安部發布《關鍵信息基礎設施商用密碼使用管理規定》，自2025年8月1日起施行。

國家密碼管理局

國家互聯網信息辦公室

中華人民共和國公安部

令

第5號

　　《關鍵信息基礎設施商用密碼使用管理規定》已經2025年4月21日國家密碼管理局局務會議審議通過，并經國家互聯網信息辦公室、公安部同意，現予公布，自2025年8月1日起施行。

國家密碼管理局局長 劉東方

國家互聯網信息辦公室主任 莊榮文

公安部部長 王小洪

2025年6月11日

關鍵信息基礎設施商用密碼使用管理規定

　　第一條 為規范關鍵信息基礎設施商用密碼使用，保護關鍵信息基礎設施安全，根據《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《商用密碼管理條例》和《關鍵信息基礎設施安全保護條例》、《網絡數據安全管理條例》等有關法律、行政法規，制定本規定。

　　第二條 依據《中華人民共和國網絡安全法》、《關鍵信息基礎設施安全保護條例》等法律、行政法規和國家有關規定認定的關鍵信息基礎設施的商用密碼使用管理，適用本規定。

　　第三條 國家密碼管理部門會同國家網信部門、國務院公安部門負責規劃、指導和監督全國的關鍵信息基礎設施商用密碼使用管理工作，建立關鍵信息基礎設施商用密碼使用管理信息共享機制。

　　縣級以上地方各級密碼管理部門會同網信部門、公安機關負責指導和監督本行政區域的關鍵信息基礎設施商用密碼使用管理工作。

　　第四條 關鍵信息基礎設施保護工作部門(以下簡稱保護工作部門)在職責范圍內負責監督管理本行業、本領域關鍵信息基礎設施商用密碼使用工作，單獨編制本行業、本領域商用密碼使用規劃或者納入本行業、本領域的關鍵信息基礎設施安全規劃并組織實施，指導本行業、本領域關鍵信息基礎設施運營者(以下簡稱運營者)開展商用密碼相關制度、人員、經費等保障工作。

　　保護工作部門應當于每年3月31日前向國家密碼管理部門、國家網信部門、國務院公安部門報告上一年度本行業、本領域關鍵信息基礎設施商用密碼使用管理情況。

　　關鍵信息基礎設施發生涉及商用密碼的重大網絡安全事件或者發現涉及商用密碼的重大網絡安全威脅時，保護工作部門應當及時向國家密碼管理部門、國家網信部門、國務院公安部門報告，指導運營者開展應急處置，必要時開展商用密碼應用安全性評估。

　　第五條 運營者應當按照相關法律、行政法規和國家有關規定，遵循國家商用密碼管理、網絡安全等級保護、關鍵信息基礎設施安全保護等制度要求，使用商用密碼保護關鍵信息基礎設施，同步規劃、同步建設、同步運行商用密碼保障系統，并定期開展商用密碼應用安全性評估。

　　運營者應當于每年1月31日前向所屬的保護工作部門報告上一年度關鍵信息基礎設施商用密碼使用以及商用密碼應用安全性評估開展情況。

　　第六條 運營者應當加強關鍵信息基礎設施商用密碼使用制度保障，建立商用密碼使用、應急處置、重大事件報告等關鍵信息基礎設施商用密碼使用管理制度。

　　運營者的主要負責人對關鍵信息基礎設施商用密碼使用管理負總責，負責關鍵信息基礎設施商用密碼使用和涉及商用密碼的重大網絡安全事件處置工作。

　　第七條 運營者應當加強關鍵信息基礎設施商用密碼使用人員保障，配備取得密碼相關專業學歷或者密碼相關國家職業技能等級認定證書的專業人員分別承擔密鑰管理員、密碼操作員等職責，配備具有安全審計專業能力的人員承擔密碼安全審計員職責。

　　運營者應當對密碼相關專業人員進行安全背景審查，并定期組織其參加密碼相關業務技能培訓，提高密碼相關專業人員的商用密碼使用能力。

　　第八條 運營者應當加強關鍵信息基礎設施商用密碼使用和應用安全性評估經費保障，將商用密碼使用和應用安全性評估經費納入網絡安全和信息化經費安排。

　　第九條 關鍵信息基礎設施使用的商用密碼產品、服務應當經檢測認證合格，使用的密碼算法、密碼協議、密鑰管理機制等商用密碼技術應當通過國家密碼管理部門審查鑒定。

　　運營者采購涉及商用密碼的網絡產品和服務，影響或者可能影響國家安全的，應當按照《網絡安全審查辦法》進行網絡安全審查。

　　第十條 關鍵信息基礎設施應當按照國家數據安全保護、個人信息保護有關要求，使用商用密碼對其存儲、使用、傳輸的核心數據、重要數據和個人信息進行保護。

　　第十一條 關鍵信息基礎設施規劃階段，其運營者應當依照相關法律、行政法規和標準規范，根據商用密碼應用需求，制定商用密碼應用方案，規劃商用密碼保障系統并納入關鍵信息基礎設施安全規劃統籌部署。

　　運營者應當自行或者委托商用密碼檢測機構對商用密碼應用方案進行商用密碼應用安全性評估。商用密碼應用方案未通過商用密碼應用安全性評估的，不得作為商用密碼保障系統的建設依據。

　　第十二條 關鍵信息基礎設施建設階段，其運營者應當按照通過商用密碼應用安全性評估的商用密碼應用方案組織實施，落實商用密碼安全防護措施，建設商用密碼保障系統。建設過程中需要調整商用密碼應用方案的，應當重新開展商用密碼應用安全性評估，評估通過后方可按照調整后的商用密碼應用方案繼續建設。

　　關鍵信息基礎設施運行前，其運營者應當自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。關鍵信息基礎設施未通過商用密碼應用安全性評估的，運營者應當進行改造，改造期間不得投入運行。

　　第十三條 關鍵信息基礎設施建成運行后，其運營者應當自行或者委托商用密碼檢測機構每年至少開展一次商用密碼應用安全性評估，確保關鍵信息基礎設施商用密碼的正確使用和商用密碼保障系統的有效運行。關鍵信息基礎設施未通過商用密碼應用安全性評估的，運營者應當進行改造，并在改造期間采取必要措施保證關鍵信息基礎設施運行安全。

　　第十四條 本規定施行前正在建設的關鍵信息基礎設施，其運營者應當加強商用密碼應用方案編制論證，建設完善商用密碼保障系統，并按照本規定第十二條開展商用密碼應用安全性評估。

　　本規定施行前已經投入運行的關鍵信息基礎設施，其運營者應當按照本規定第十三條開展商用密碼應用安全性評估。

　　第十五條 開展關鍵信息基礎設施商用密碼應用安全性評估，應當符合《商用密碼應用安全性評估管理辦法》有關規定。

　　關鍵信息基礎設施商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評加強銜接，避免重復評估、測評。

　　第十六條 國家密碼管理部門負責建設和管理國家關鍵信息基礎設施商用密碼運行安全管理基礎設施，統籌保護工作部門建設本行業、本領域關鍵信息基礎設施商用密碼運行安全管理基礎設施，會同國家網信部門、國務院公安部門分析研判關鍵信息基礎設施商用密碼運行安全態勢，協同應對處置重大商用密碼運行安全威脅。

　　第十七條 密碼管理部門應當定期組織開展關鍵信息基礎設施商用密碼使用情況監督檢查。保護工作部門應當定期對本行業、本領域關鍵信息基礎設施商用密碼使用情況進行檢查并提出改進措施，必要時可以自行或者委托商用密碼檢測機構等專業機構進行商用密碼應用安全性評估。

　　運營者對密碼管理部門和保護工作部門開展的關鍵信息基礎設施商用密碼使用情況監督檢查應當予以配合，根據監督檢查意見及時進行整改并向保護工作部門報告整改情況，保護工作部門應當將整改情況向國家密碼管理部門報告。

　　開展關鍵信息基礎設施商用密碼使用情況監督檢查應當加強協同配合、信息溝通，避免不必要的檢查和交叉重復檢查。監督檢查不得收取費用，不得要求被監督檢查單位購買、使用指定單位或者指定品牌的商用密碼產品、服務。

　　第十八條 密碼管理部門、有關部門、商用密碼檢測機構及其工作人員對其在履行職責中知悉的國家秘密、商業秘密和個人隱私承擔保密義務，不得泄露或者非法向他人提供。

　　第十九條 運營者違反《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《商用密碼管理條例》、《關鍵信息基礎設施安全保護條例》和本規定有關條款，有下列情形之一的，由密碼管理部門責令改正，給予警告；拒不改正或者有其他嚴重情節的，處10萬元以上100萬元以下罰款，對直接負責的主管人員處1萬元以上10萬元以下罰款：

　　(一)未按照要求使用商用密碼保護關鍵信息基礎設施，同步規劃、同步建設、同步運行商用密碼保障系統的；

　　(二)關鍵信息基礎設施使用的商用密碼產品、服務未經檢測認證合格的；

　　(三)關鍵信息基礎設施使用的密碼算法、密碼協議、密鑰管理機制等商用密碼技術未通過國家密碼管理部門審查鑒定的；

　　(四)關鍵信息基礎設施規劃階段，未制定商用密碼應用方案，或者未對商用密碼應用方案進行商用密碼應用安全性評估的；

　　(五)關鍵信息基礎設施建設階段，未按照通過商用密碼應用安全性評估的商用密碼應用方案建設商用密碼保障系統的；

　　(六)關鍵信息基礎設施運行前，未開展商用密碼應用安全性評估，或者未通過商用密碼應用安全性評估且未進行改造的；

　　(七)關鍵信息基礎設施建成運行后，未定期開展商用密碼應用安全性評估，或者未通過定期開展的商用密碼應用安全性評估且未進行改造的。

　　第二十條 運營者違反《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《商用密碼管理條例》、《關鍵信息基礎設施安全保護條例》和本規定第九條，使用未經安全審查或者安全審查未通過的涉及商用密碼的網絡產品或者服務的，由有關主管部門責令停止使用，處采購金額1倍以上10倍以下罰款；對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。

　　第二十一條 運營者違反《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《商用密碼管理條例》、《關鍵信息基礎設施安全保護條例》和本規定第十七條，無正當理由拒不接受、不配合或者干預、阻撓密碼管理部門、有關部門的商用密碼監督管理的，由密碼管理部門、有關部門責令改正，給予警告；拒不改正或者有其他嚴重情節的，處5萬元以上50萬元以下罰款，對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款；情節特別嚴重的，責令停業整頓。

　　第二十二條 運營者違反本規定，有下列情形之一的，由密碼管理部門、有關部門依據職責責令改正：

　　(一)未按照要求報告上一年度關鍵信息基礎設施商用密碼使用以及商用密碼應用安全性評估開展情況的；

　　(二)未建立關鍵信息基礎設施商用密碼使用管理制度的；

　　(三)未按照要求配備密鑰管理員、密碼操作員、密碼安全審計員的；

　　(四)未保障關鍵信息基礎設施商用密碼使用和應用安全性評估經費的。

　　第二十三條 從事關鍵信息基礎設施商用密碼使用監督管理工作的人員濫用職權、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責中知悉的商業秘密、個人隱私、舉報人信息的，依法給予處分。

　　第二十四條 屬于國家政務信息系統的關鍵信息基礎設施的商用密碼使用管理，除應當遵守本規定以外，還應當按照《國家政務信息化項目建設管理辦法》(國辦發〔2019〕57號)等有關規定要求執行。

　　第二十五條 本規定自2025年8月1日起施行。