根據《中華人民共和國密碼法》、《商用密碼管理條例》等法律法規(guī)，國家密碼管理局會同國家互聯網信息辦公室、公安部，研究制定了《關鍵信息基礎設施商用密碼使用管理規(guī)定》（國家密碼管理局、國家互聯網信息辦公室、公安部令第5號）（以下簡稱《規(guī)定》），現就《規(guī)定》的有關內容解讀如下。

一、制定的必要性

（一）制定《規(guī)定》是貫徹落實黨中央、國務院關于商用密碼管理決策部署的必然要求。《中華人民共和國密碼法》提出了“法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估”的要求?！?/span>商用密碼管理條例》進一步明確關鍵信息基礎設施“同步規(guī)劃、同步建設、同步運行商用密碼保障系統”，以及依法依規(guī)使用商用密碼技術、產品、服務等要求?！蛾P鍵信息基礎設施安全保護條例》明確“關鍵信息基礎設施中的密碼使用和管理，還應當遵守相關法律、行政法規(guī)的規(guī)定”。有必要制定《規(guī)定》，按照商用密碼依法管理要求，細化關鍵信息基礎設施商用密碼使用管理要求。

（二）制定《規(guī)定》是保護關鍵信息基礎設施安全的重要舉措。目前，關鍵信息基礎設施運營者已開展商用密碼使用相關工作，但由于缺乏管理法規(guī)制度的具體指導和約束，部分網絡與信息系統建設未深入分析商用密碼使用需求并體系化加以解決，機械堆疊商用密碼產品，或者簡單實施外掛式、補丁式改造，商用密碼應用的合規(guī)性、正確性、有效性難以保證；個別網絡與信息系統仍然使用未經檢測認證合格的商用密碼產品、服務或者未經審查鑒定的商用密碼技術，存在較大安全隱患。有必要制定《規(guī)定》，規(guī)范關鍵信息基礎設施商用密碼使用，保護關鍵信息基礎設施安全。

（三）制定《規(guī)定》是進一步滿足關鍵信息基礎設施安全保護需求的實踐需要。關鍵信息基礎設施保護工作部門指導關鍵信息基礎設施運營者按照密碼管理相關法律法規(guī)要求開展商用密碼使用工作的過程中，結合實踐提出了一系列意見建議，包括進一步明確制度、人員、經費保障等方面的依據，規(guī)劃、建設、運行等各階段的要求，運行安全管理、監(jiān)督檢查等職責，與網絡安全等級保護、關鍵信息基礎設施安全保護、數據安全保護、個人信息保護等工作的關系等。有必要制定《規(guī)定》，明確法規(guī)依據、細化制度規(guī)定，推進有關工作要求更加精準落地實施。

二、總體思路

《規(guī)定》的制定細化《中華人民共和國密碼法》、《商用密碼管理條例》關于關鍵信息基礎設施商用密碼使用管理的基礎性、原則性要求，明確劃分密碼管理部門、網信部門、公安機關以及保護工作部門、運營者的職權義務，明確規(guī)劃、建設、運行等各階段的規(guī)范要求，明確制度、人員、經費等方面的保障措施，將關鍵信息基礎設施商用密碼使用管理各方面、各環(huán)節(jié)的要求以法定形式固化下來，力求做到責任明確、環(huán)節(jié)清晰、措施完備。主要體現了以下三方面思路：

（一）堅持依法管理原則。依據《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《商用密碼管理條例》和《關鍵信息基礎設施安全保護條例》、《網絡數據安全管理條例》等有關法律、行政法規(guī)中關鍵信息基礎設施商用密碼使用相關要求，制定關鍵信息基礎設施商用密碼使用管理各項措施，并做好與相關政策法規(guī)的銜接協調。

（二）明確劃分各方職責。關鍵信息基礎設施商用密碼使用管理涉及單位多，其中，密碼管理部門、網信部門、公安機關為管理部門，保護工作部門為行業(yè)領域監(jiān)督管理部門，運營者為直接責任主體，明確劃分各方權力、義務和責任。

（三）科學規(guī)范監(jiān)管制度。針對關鍵信息基礎設施商用密碼使用管理涉及的商用密碼技術、產品、服務等內容，圍繞規(guī)劃、建設、運行等各階段，提出具體規(guī)范要求，并明確運行安全管理、監(jiān)督檢查、保密義務等管理事項。

三、主要內容

《規(guī)定》共25條。主要內容包括：

（一）總體要求。一是規(guī)定適用范圍，即依據法律法規(guī)和國家有關規(guī)定認定的關鍵信息基礎設施的商用密碼使用管理，適用本規(guī)定。二是明確管理部門職責，涵蓋國家密碼管理部門、國家網信部門、國務院公安部門，以及縣級以上地方各級密碼管理部門與同級網信部門、公安機關。三是明確保護工作部門職責，包括監(jiān)督管理本行業(yè)、本領域關鍵信息基礎設施商用密碼應用，加強規(guī)劃和指導，報送有關情況等。

（二）運營者責任。一是明確運營者總體責任，即落實關鍵信息基礎設施商用密碼使用“三同步一評估”原則，同步規(guī)劃、同步建設、同步運行商用密碼保障系統，并定期開展商用密碼應用安全性評估。二是分別規(guī)定運營者的制度、人員、經費保障責任，包括建立商用密碼使用、應急處置、重大事件報告等制度，配備符合要求的密碼相關專業(yè)人員并進行安全背景審查，定期組織密碼相關業(yè)務技能培訓，以及將商用密碼使用和應用安全性評估經費納入網絡安全和信息化經費安排等，從而為關鍵信息基礎設施商用密碼使用奠定堅實基礎。

（三）商用密碼使用具體要求。一是明確商用密碼技術、產品、服務使用要求。規(guī)定關鍵信息基礎設施使用的商用密碼產品、服務應當經檢測認證合格，使用的密碼算法、密碼協議、密鑰管理機制等商用密碼技術應當通過國家密碼管理部門審查鑒定。二是明確數據安全保護、個人信息保護要求。強調關鍵信息基礎設施應當使用商用密碼對其存儲、使用、傳輸的核心數據、重要數據和個人信息進行保護。三是細化規(guī)劃、建設、運行等階段商用密碼使用要求以及過渡安排、商用密碼應用安全性評估要求。建立起關鍵信息基礎設施商用密碼使用的程序閉環(huán)。

（四）監(jiān)督檢查及法律責任。一是規(guī)定商用密碼運行安全管理責任。明確了建設國家級與行業(yè)級商用密碼運行安全管理基礎設施的責任。二是規(guī)定密碼管理部門和保護工作部門的監(jiān)督檢查職權，同時申明運營者的配合義務與管理部門的保密義務。三是規(guī)定運營者的違法情形及法律責任，包括違反商用密碼使用要求、違反安全審查要求、違反監(jiān)督管理配合義務、違反商用密碼保障責任等。四是規(guī)定監(jiān)督管理人員的違法情形及法律責任。

（五）其他事項。規(guī)定了對關鍵信息基礎設施商用密碼使用的制度銜接，以及本規(guī)定的施行時間。