《關鍵信息基礎設施商用密碼使用管理規定》解讀

根(gen)據(ju)《中華人民(min)共和國密碼(ma)法(fa)》、《商用(yong)(yong)密碼(ma)管(guan)理(li)(li)條例》等法(fa)律法(fa)規，國家(jia)密碼(ma)管(guan)理(li)(li)局會同國家(jia)互聯網信息(xi)(xi)辦(ban)(ban)公室、公安部(bu)，研究(jiu)制定了(le)《關鍵信息(xi)(xi)基礎(chu)設(she)施商用(yong)(yong)密碼(ma)使(shi)用(yong)(yong)管(guan)理(li)(li)規定》（國家(jia)密碼(ma)管(guan)理(li)(li)局、國家(jia)互聯網信息(xi)(xi)辦(ban)(ban)公室、公安部(bu)令第5號）（以下簡(jian)稱《規(gui)定》），現(xian)就《規(gui)定》的有關內容解讀(du)如下。

一、制定的必要性

（一）制定《規(gui)定》是貫(guan)徹落實黨中央(yang)、國務院關于商用密碼管理決策部署的(de)必然要(yao)求。《中華人(ren)民共和國密碼法》提出了“法(fa)律、行(xing)政法(fa)規和國家有關規定要求使用商(shang)(shang)用密(mi)碼進行(xing)保護(hu)的關鍵信(xin)息(xi)基礎設施，其(qi)運營(ying)者應當(dang)使用商(shang)(shang)用密(mi)碼進行(xing)保護(hu)，自(zi)行(xing)或者委(wei)托商(shang)(shang)用密(mi)碼檢測(ce)機構(gou)開展商(shang)(shang)用密(mi)碼應用安全(quan)性評(ping)估”的要求。《商用密碼管理(li)條例(li)》進一(yi)步(bu)明確(que)關鍵信息基礎設施(shi)“同(tong)步(bu)規劃、同(tong)步(bu)建設(she)、同(tong)步(bu)運行商用密碼(ma)保障(zhang)系統”，以及依法(fa)依規使用(yong)商用(yong)密(mi)碼技(ji)術、產品、服務等要求。《關鍵信息基礎設施安(an)全保護條(tiao)例》明確“關鍵信息基礎設施(shi)中(zhong)的(de)密碼使用和管理，還應當遵守相關法律、行政(zheng)法規(gui)的(de)規(gui)定”。有必要(yao)制定《規定》，按照(zhao)商用(yong)(yong)密(mi)碼(ma)依法管理要(yao)求，細(xi)化關鍵(jian)信息基礎設施商用(yong)(yong)密(mi)碼(ma)使用(yong)(yong)管理要(yao)求。

（二）制(zhi)定(ding)《規(gui)定(ding)》是保護關鍵信(xin)息(xi)基礎設施安全的重要(yao)舉措。目前，關(guan)鍵信(xin)息基礎設施運(yun)營者(zhe)(zhe)已開展(zhan)商用(yong)密(mi)(mi)(mi)碼使(shi)用(yong)相(xiang)關(guan)工(gong)作，但由(you)于缺乏管理法(fa)規制度的(de)具體(ti)指(zhi)導和約束，部分網絡與信(xin)息系統建設未(wei)深入分析商用(yong)密(mi)(mi)(mi)碼使(shi)用(yong)需求(qiu)并體(ti)系化加以解決，機械(xie)堆疊商用(yong)密(mi)(mi)(mi)碼產品，或者(zhe)(zhe)簡單實施外掛式、補丁式改造，商用(yong)密(mi)(mi)(mi)碼應用(yong)的(de)合(he)規性、正(zheng)確性、有(you)效性難以保證；個別(bie)網絡與信(xin)息系統仍然使(shi)用(yong)未(wei)經檢(jian)測(ce)認證合(he)格(ge)的(de)商用(yong)密(mi)(mi)(mi)碼產品、服(fu)務或者(zhe)(zhe)未(wei)經審查鑒定的(de)商用(yong)密(mi)(mi)(mi)碼技(ji)術，存(cun)在較大安全(quan)隱(yin)患。有(you)必要制(zhi)定(ding)《規(gui)定(ding)》，規(gui)范關(guan)鍵信息(xi)基礎設施商(shang)用密碼(ma)使用，保(bao)護關(guan)鍵信息(xi)基礎設施安全。

（三）制定(ding)《規定(ding)》是進一步(bu)滿足關鍵信息基(ji)礎(chu)設施安全保護需(xu)求(qiu)的實踐需(xu)要。關(guan)鍵信息(xi)(xi)基礎(chu)設施保(bao)護(hu)工作部門指導(dao)關(guan)鍵信息(xi)(xi)基礎(chu)設施運營者按照(zhao)密碼(ma)管(guan)理相關(guan)法(fa)律法(fa)規要求(qiu)開展商用(yong)密碼(ma)使(shi)用(yong)工作的過程(cheng)中，結合(he)實踐提出了(le)一系列意見(jian)建議，包括進一步明確制(zhi)度、人(ren)員(yuan)、經(jing)費保障等方面的依據，規劃(hua)、建(jian)設、運行等(deng)各階段的要求(qiu)，運行安(an)(an)全(quan)(quan)管理、監督(du)檢查等(deng)職(zhi)責，與網絡安(an)(an)全(quan)(quan)等(deng)級保(bao)護、關(guan)鍵信(xin)息(xi)基礎設施(shi)安(an)(an)全(quan)(quan)保(bao)護、數據安(an)(an)全(quan)(quan)保(bao)護、個人信(xin)息(xi)保(bao)護等(deng)工作的關(guan)系等(deng)。有必(bi)要制定《規定》，明(ming)確法(fa)規(gui)依(yi)據、細化制度規(gui)定，推(tui)進(jin)有關工作(zuo)要求(qiu)更加精準落地實(shi)施。

二、總(zong)體(ti)思路

《規定》的制定細化《中華人民共和(he)國(guo)密碼法》、《商用密碼管理條例》關(guan)于關(guan)鍵信息基礎設施商用(yong)(yong)密(mi)碼(ma)(ma)使用(yong)(yong)管理的基礎性、原則(ze)性要(yao)(yao)求(qiu)，明確(que)劃分密(mi)碼(ma)(ma)管理部門(men)(men)、網(wang)信部門(men)(men)、公安(an)機關(guan)以(yi)及保護工作部門(men)(men)、運營者的職(zhi)權義(yi)務，明確(que)規劃、建設、運行(xing)等(deng)各階段的規范(fan)要(yao)(yao)求(qiu)，明確(que)制度、人員、經費等(deng)方(fang)面的保障(zhang)措(cuo)施，將關(guan)鍵信息基礎設施商用(yong)(yong)密(mi)碼(ma)(ma)使用(yong)(yong)管理各方(fang)面、各環(huan)節的要(yao)(yao)求(qiu)以(yi)法定形式(shi)固(gu)化下來，力求(qiu)做到(dao)做到(dao)責任(ren)明確(que)、環(huan)節清晰、措(cuo)施完備(bei)。主要(yao)(yao)體(ti)現了以(yi)下三方(fang)面思(si)路：

（一）堅持依法(fa)管理原則(ze)。依據《中(zhong)華(hua)(hua)人(ren)民共(gong)(gong)和(he)國密碼(ma)(ma)法(fa)》、《中(zhong)華(hua)(hua)人(ren)民共(gong)(gong)和(he)國網(wang)絡(luo)安(an)全法(fa)》、《中(zhong)華(hua)(hua)人(ren)民共(gong)(gong)和(he)國數(shu)據安(an)全法(fa)》、《中(zhong)華(hua)(hua)人(ren)民共(gong)(gong)和(he)國個人(ren)信(xin)息保護(hu)法(fa)》、《商(shang)用密碼(ma)(ma)管理條(tiao)例(li)(li)》和(he)《關鍵(jian)信(xin)息基(ji)礎設(she)(she)施安(an)全保護(hu)條(tiao)例(li)(li)》、《網(wang)絡(luo)數(shu)據安(an)全管理條(tiao)例(li)(li)》等有(you)關法(fa)律、行政法(fa)規(gui)中(zhong)關鍵(jian)信(xin)息基(ji)礎設(she)(she)施商(shang)用密碼(ma)(ma)使用相關要(yao)求，制定關鍵(jian)信(xin)息基(ji)礎設(she)(she)施商(shang)用密碼(ma)(ma)使用管理各(ge)項措施，并(bing)做好(hao)與相關政策法(fa)規(gui)的銜接協調。

（二）明確(que)劃(hua)分(fen)各(ge)方職(zhi)責。關鍵信息基礎設施商(shang)用密碼使(shi)用管(guan)理涉及單位多，其(qi)中，密碼管(guan)理部門、網信部門、公安機關為管(guan)理部門，保護(hu)工作部門為行業領域監(jian)督管(guan)理部門，運營者為直接責(ze)任(ren)主體，明確劃分各方權力、義(yi)務(wu)和責(ze)任(ren)。

（三）科學規(gui)范監管制(zhi)度。針對關(guan)鍵信息(xi)基(ji)礎(chu)設(she)施(shi)商用(yong)密碼使用(yong)管理涉及的商用(yong)密碼技術(shu)、產品、服務等(deng)內容，圍(wei)繞規(gui)劃、建設、運行等(deng)各階(jie)段，提出具(ju)體規范要求，并明確運行安全(quan)管理、監督檢(jian)查、保(bao)密義務(wu)等管理事(shi)項。

三、主要內容

《規定》共(gong)25條。主(zhu)要內容包(bao)括：

（一）總體(ti)要(yao)求(qiu)。一(yi)是(shi)(shi)規定適用(yong)范(fan)圍，即依(yi)據法(fa)律法(fa)規和國(guo)家(jia)有關(guan)(guan)規定認(ren)定的關(guan)(guan)鍵信息基(ji)礎設(she)施(shi)的商用(yong)密碼(ma)使用(yong)管(guan)(guan)(guan)(guan)理(li)，適用(yong)本(ben)規定。二是(shi)(shi)明(ming)確管(guan)(guan)(guan)(guan)理(li)部(bu)門(men)職(zhi)責，涵蓋國(guo)家(jia)密碼(ma)管(guan)(guan)(guan)(guan)理(li)部(bu)門(men)、國(guo)家(jia)網(wang)信部(bu)門(men)、國(guo)務(wu)院公安(an)(an)部(bu)門(men)，以及縣級以上地(di)方(fang)各級密碼(ma)管(guan)(guan)(guan)(guan)理(li)部(bu)門(men)與(yu)同級網(wang)信部(bu)門(men)、公安(an)(an)機關(guan)(guan)。三是(shi)(shi)明(ming)確保護工作部(bu)門(men)職(zhi)責，包(bao)括監督管(guan)(guan)(guan)(guan)理(li)本(ben)行(xing)業、本(ben)領域關(guan)(guan)鍵信息基(ji)礎設(she)施(shi)商用(yong)密碼(ma)應用(yong)，加強規劃和指導(dao)，報(bao)送(song)有關(guan)(guan)情況等(deng)。

（二）運營者責(ze)任。一是明(ming)確運營者(zhe)總(zong)體責(ze)任(ren)，即落實關(guan)鍵信息基礎設施商用密(mi)碼(ma)使用“三同步(bu)一(yi)評估”原則，同步規劃、同步建設(she)、同步運(yun)行商(shang)用密(mi)(mi)碼(ma)保障系(xi)統(tong)，并定期(qi)開展商(shang)用密(mi)(mi)碼(ma)應(ying)(ying)用安(an)(an)全(quan)(quan)(quan)性評估。二(er)是分別規定運(yun)營者(zhe)的(de)制度、人(ren)員、經費(fei)保障責任，包括(kuo)建立(li)商(shang)用密(mi)(mi)碼(ma)使(shi)(shi)用、應(ying)(ying)急處置、重大事件報(bao)告(gao)等制度，配(pei)備(bei)符合要求的(de)密(mi)(mi)碼(ma)相關專業人(ren)員并進行安(an)(an)全(quan)(quan)(quan)背景審查，定期(qi)組織密(mi)(mi)碼(ma)相關業務技(ji)能培訓，以及將(jiang)商(shang)用密(mi)(mi)碼(ma)使(shi)(shi)用和應(ying)(ying)用安(an)(an)全(quan)(quan)(quan)性評估經費(fei)納入網絡安(an)(an)全(quan)(quan)(quan)和信(xin)息化(hua)經費(fei)安(an)(an)排(pai)等，從(cong)而為(wei)關鍵信(xin)息基(ji)(ji)礎設(she)施商(shang)用密(mi)(mi)碼(ma)使(shi)(shi)用奠(dian)定堅實基(ji)(ji)礎。

（三）商(shang)用密(mi)碼使用具(ju)體(ti)(ti)要求。一是明確(que)商(shang)(shang)用(yong)(yong)(yong)密(mi)(mi)(mi)碼(ma)(ma)(ma)技術、產(chan)品、服務使用(yong)(yong)(yong)要(yao)(yao)(yao)(yao)求(qiu)。規定關鍵(jian)信(xin)息(xi)基礎設施使用(yong)(yong)(yong)的(de)商(shang)(shang)用(yong)(yong)(yong)密(mi)(mi)(mi)碼(ma)(ma)(ma)產(chan)品、服務應當(dang)經檢測認證合格，使用(yong)(yong)(yong)的(de)密(mi)(mi)(mi)碼(ma)(ma)(ma)算法(fa)、密(mi)(mi)(mi)碼(ma)(ma)(ma)協議、密(mi)(mi)(mi)鑰管(guan)理機制等商(shang)(shang)用(yong)(yong)(yong)密(mi)(mi)(mi)碼(ma)(ma)(ma)技術應當(dang)通過(guo)國家密(mi)(mi)(mi)碼(ma)(ma)(ma)管(guan)理部(bu)門(men)審查鑒定。二是明確(que)數據(ju)(ju)安(an)全保(bao)護(hu)(hu)、個人(ren)信(xin)息(xi)保(bao)護(hu)(hu)要(yao)(yao)(yao)(yao)求(qiu)。強調(diao)關鍵(jian)信(xin)息(xi)基礎設施應當(dang)使用(yong)(yong)(yong)商(shang)(shang)用(yong)(yong)(yong)密(mi)(mi)(mi)碼(ma)(ma)(ma)對其(qi)存儲、使用(yong)(yong)(yong)、傳(chuan)輸的(de)核(he)心數據(ju)(ju)、重要(yao)(yao)(yao)(yao)數據(ju)(ju)和(he)個人(ren)信(xin)息(xi)進行保(bao)護(hu)(hu)。三是細化規劃、建設、運行等階段商(shang)(shang)用(yong)(yong)(yong)密(mi)(mi)(mi)碼(ma)(ma)(ma)使用(yong)(yong)(yong)要(yao)(yao)(yao)(yao)求(qiu)以及過(guo)渡安(an)排、商(shang)(shang)用(yong)(yong)(yong)密(mi)(mi)(mi)碼(ma)(ma)(ma)應用(yong)(yong)(yong)安(an)全性(xing)評估要(yao)(yao)(yao)(yao)求(qiu)。建立起關鍵(jian)信(xin)息(xi)基礎設施商(shang)(shang)用(yong)(yong)(yong)密(mi)(mi)(mi)碼(ma)(ma)(ma)使用(yong)(yong)(yong)的(de)程序閉(bi)環。

（四）監督檢(jian)查(cha)及法律責任。一是規定(ding)商用密碼運行(xing)安全管(guan)理責任。明確了(le)建設(she)國家級(ji)與行(xing)業級(ji)商用(yong)密(mi)(mi)碼(ma)運(yun)行安全管理(li)(li)基礎設施的(de)責任(ren)。二是(shi)規定密(mi)(mi)碼(ma)管理(li)(li)部門和(he)保護工作部門的(de)監(jian)(jian)督檢查職權，同時申明運(yun)營(ying)者(zhe)的(de)配合義(yi)(yi)務與管理(li)(li)部門的(de)保密(mi)(mi)義(yi)(yi)務。三是(shi)規定運(yun)營(ying)者(zhe)的(de)違法(fa)情(qing)形及法(fa)律責任(ren)，包括違反(fan)(fan)商用(yong)密(mi)(mi)碼(ma)使用(yong)要求(qiu)、違反(fan)(fan)安全審查要求(qiu)、違反(fan)(fan)監(jian)(jian)督管理(li)(li)配合義(yi)(yi)務、違反(fan)(fan)商用(yong)密(mi)(mi)碼(ma)保障責任(ren)等。四是(shi)規定監(jian)(jian)督管理(li)(li)人(ren)員(yuan)的(de)違法(fa)情(qing)形及法(fa)律責任(ren)。

（五）其(qi)他事項。規(gui)定(ding)了對關鍵信息基礎設施(shi)商用(yong)密碼使用(yong)的制度銜接，以及本規(gui)定(ding)的施(shi)行時間。

（來源：國家密碼管理(li)局）