根據(jù)《中華人民共和國密碼法》、《商用密碼管理條例》等法律法規(guī)，國家密碼管理局會同國家互聯(lián)網(wǎng)信息辦公室、公安部，研究制定了《關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理規(guī)定》（國家密碼管理局、國家互聯(lián)網(wǎng)信息辦公室、公安部令第5號）（以下簡稱《規(guī)定》），現(xiàn)就《規(guī)定》的有關(guān)內(nèi)容解讀如下。

一、制定的必要性

（一）制定《規(guī)定》是貫徹落實黨中央、國務(wù)院關(guān)于商用密碼管理決策部署的必然要求。《中華人民共和國密碼法》提出了“法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施，其運營者應(yīng)當使用商用密碼進行保護，自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估”的要求。《商用密碼管理條例》進一步明確關(guān)鍵信息基礎(chǔ)設(shè)施“同步規(guī)劃、同步建設(shè)、同步運行商用密碼保障系統(tǒng)”，以及依法依規(guī)使用商用密碼技術(shù)、產(chǎn)品、服務(wù)等要求?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》明確“關(guān)鍵信息基礎(chǔ)設(shè)施中的密碼使用和管理，還應(yīng)當遵守相關(guān)法律、行政法規(guī)的規(guī)定”。有必要制定《規(guī)定》，按照商用密碼依法管理要求，細化關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理要求。

（二）制定《規(guī)定》是保護關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要舉措。目前，關(guān)鍵信息基礎(chǔ)設(shè)施運營者已開展商用密碼使用相關(guān)工作，但由于缺乏管理法規(guī)制度的具體指導和約束，部分網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)未深入分析商用密碼使用需求并體系化加以解決，機械堆疊商用密碼產(chǎn)品，或者簡單實施外掛式、補丁式改造，商用密碼應(yīng)用的合規(guī)性、正確性、有效性難以保證；個別網(wǎng)絡(luò)與信息系統(tǒng)仍然使用未經(jīng)檢測認證合格的商用密碼產(chǎn)品、服務(wù)或者未經(jīng)審查鑒定的商用密碼技術(shù)，存在較大安全隱患。有必要制定《規(guī)定》，規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用，保護關(guān)鍵信息基礎(chǔ)設(shè)施安全。

（三）制定《規(guī)定》是進一步滿足關(guān)鍵信息基礎(chǔ)設(shè)施安全保護需求的實踐需要。關(guān)鍵信息基礎(chǔ)設(shè)施保護工作部門指導關(guān)鍵信息基礎(chǔ)設(shè)施運營者按照密碼管理相關(guān)法律法規(guī)要求開展商用密碼使用工作的過程中，結(jié)合實踐提出了一系列意見建議，包括進一步明確制度、人員、經(jīng)費保障等方面的依據(jù)，規(guī)劃、建設(shè)、運行等各階段的要求，運行安全管理、監(jiān)督檢查等職責，與網(wǎng)絡(luò)安全等級保護、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護、數(shù)據(jù)安全保護、個人信息保護等工作的關(guān)系等。有必要制定《規(guī)定》，明確法規(guī)依據(jù)、細化制度規(guī)定，推進有關(guān)工作要求更加精準落地實施。

二、總體思路

《規(guī)定》的制定細化《中華人民共和國密碼法》、《商用密碼管理條例》關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理的基礎(chǔ)性、原則性要求，明確劃分密碼管理部門、網(wǎng)信部門、公安機關(guān)以及保護工作部門、運營者的職權(quán)義務(wù)，明確規(guī)劃、建設(shè)、運行等各階段的規(guī)范要求，明確制度、人員、經(jīng)費等方面的保障措施，將關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理各方面、各環(huán)節(jié)的要求以法定形式固化下來，力求做到做到責任明確、環(huán)節(jié)清晰、措施完備。主要體現(xiàn)了以下三方面思路：

（一）堅持依法管理原則。依據(jù)《中華人民共和國密碼法》、《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》、《商用密碼管理條例》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等有關(guān)法律、行政法規(guī)中關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用相關(guān)要求，制定關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理各項措施，并做好與相關(guān)政策法規(guī)的銜接協(xié)調(diào)。

（二）明確劃分各方職責。關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理涉及單位多，其中，密碼管理部門、網(wǎng)信部門、公安機關(guān)為管理部門，保護工作部門為行業(yè)領(lǐng)域監(jiān)督管理部門，運營者為直接責任主體，明確劃分各方權(quán)力、義務(wù)和責任。

（三）科學規(guī)范監(jiān)管制度。針對關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理涉及的商用密碼技術(shù)、產(chǎn)品、服務(wù)等內(nèi)容，圍繞規(guī)劃、建設(shè)、運行等各階段，提出具體規(guī)范要求，并明確運行安全管理、監(jiān)督檢查、保密義務(wù)等管理事項。

三、主要內(nèi)容

《規(guī)定》共25條。主要內(nèi)容包括：

（一）總體要求。一是規(guī)定適用范圍，即依據(jù)法律法規(guī)和國家有關(guān)規(guī)定認定的關(guān)鍵信息基礎(chǔ)設(shè)施的商用密碼使用管理，適用本規(guī)定。二是明確管理部門職責，涵蓋國家密碼管理部門、國家網(wǎng)信部門、國務(wù)院公安部門，以及縣級以上地方各級密碼管理部門與同級網(wǎng)信部門、公安機關(guān)。三是明確保護工作部門職責，包括監(jiān)督管理本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼應(yīng)用，加強規(guī)劃和指導，報送有關(guān)情況等。

（二）運營者責任。一是明確運營者總體責任，即落實關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用“三同步一評估”原則，同步規(guī)劃、同步建設(shè)、同步運行商用密碼保障系統(tǒng)，并定期開展商用密碼應(yīng)用安全性評估。二是分別規(guī)定運營者的制度、人員、經(jīng)費保障責任，包括建立商用密碼使用、應(yīng)急處置、重大事件報告等制度，配備符合要求的密碼相關(guān)專業(yè)人員并進行安全背景審查，定期組織密碼相關(guān)業(yè)務(wù)技能培訓，以及將商用密碼使用和應(yīng)用安全性評估經(jīng)費納入網(wǎng)絡(luò)安全和信息化經(jīng)費安排等，從而為關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用奠定堅實基礎(chǔ)。

（三）商用密碼使用具體要求。一是明確商用密碼技術(shù)、產(chǎn)品、服務(wù)使用要求。規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施使用的商用密碼產(chǎn)品、服務(wù)應(yīng)當經(jīng)檢測認證合格，使用的密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術(shù)應(yīng)當通過國家密碼管理部門審查鑒定。二是明確數(shù)據(jù)安全保護、個人信息保護要求。強調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當使用商用密碼對其存儲、使用、傳輸?shù)暮诵臄?shù)據(jù)、重要數(shù)據(jù)和個人信息進行保護。三是細化規(guī)劃、建設(shè)、運行等階段商用密碼使用要求以及過渡安排、商用密碼應(yīng)用安全性評估要求。建立起關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用的程序閉環(huán)。

（四）監(jiān)督檢查及法律責任。一是規(guī)定商用密碼運行安全管理責任。明確了建設(shè)國家級與行業(yè)級商用密碼運行安全管理基礎(chǔ)設(shè)施的責任。二是規(guī)定密碼管理部門和保護工作部門的監(jiān)督檢查職權(quán)，同時申明運營者的配合義務(wù)與管理部門的保密義務(wù)。三是規(guī)定運營者的違法情形及法律責任，包括違反商用密碼使用要求、違反安全審查要求、違反監(jiān)督管理配合義務(wù)、違反商用密碼保障責任等。四是規(guī)定監(jiān)督管理人員的違法情形及法律責任。

（五）其他事項。規(guī)定了對關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用的制度銜接，以及本規(guī)定的施行時間。