根据《中华人民共和国密码法》、《商用密码管理条例》等法律法规，国家密码管理局会同国家互联网信息办公室、公安部，研究制定了《关键信息基础设施商用密码使用管理规定》（国家密码管理局、国家互联网信息办公室、公安部令第5号）（以下简称《规定》），现就《规定》的有关内容解读如下。

一、制定的必要性

（一）制定《规定》是贯彻落实党中央、国务院关于商用密码管理决策部署的必然要求。《中华人民共和国密码法》提出了“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”的要求。《商用密码管理条例》进一步明确关键信息基础设施“同步规划、同步建设、同步运行商用密码保障系统”，以及依法依规使用商用密码技术、产品、服务等要求。《关键信息基础设施安全保护条例》明确“关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定”。有必要制定《规定》，按照商用密码依法管理要求，细化关键信息基础设施商用密码使用管理要求。

（二）制定《规定》是保护关键信息基础设施安全的重要举措。目前，关键信息基础设施运营者已开展商用密码使用相关工作，但由于缺乏管理法规制度的具体指导和约束，部分网络与信息系统建设未深入分析商用密码使用需求并体系化加以解决，机械堆叠商用密码产品，或者简单实施外挂式、补丁式改造，商用密码应用的合规性、正确性、有效性难以保证；个别网络与信息系统仍然使用未经检测认证合格的商用密码产品、服务或者未经审查鉴定的商用密码技术，存在较大安全隐患。有必要制定《规定》，规范关键信息基础设施商用密码使用，保护关键信息基础设施安全。

（三）制定《规定》是进一步满足关键信息基础设施安全保护需求的实践需要。关键信息基础设施保护工作部门指导关键信息基础设施运营者按照密码管理相关法律法规要求开展商用密码使用工作的过程中，结合实践提出了一系列意见建议，包括进一步明确制度、人员、经费保障等方面的依据，规划、建设、运行等各阶段的要求，运行安全管理、监督检查等职责，与网络安全等级保护、关键信息基础设施安全保护、数据安全保护、个人信息保护等工作的关系等。有必要制定《规定》，明确法规依据、细化制度规定，推进有关工作要求更加精准落地实施。

二、总体思路

《规定》的制定细化《中华人民共和国密码法》、《商用密码管理条例》关于关键信息基础设施商用密码使用管理的基础性、原则性要求，明确划分密码管理部门、网信部门、公安机关以及保护工作部门、运营者的职权义务，明确规划、建设、运行等各阶段的规范要求，明确制度、人员、经费等方面的保障措施，将关键信息基础设施商用密码使用管理各方面、各环节的要求以法定形式固化下来，力求做到做到责任明确、环节清晰、措施完备。主要体现了以下三方面思路：

（一）坚持依法管理原则。依据《中华人民共和国密码法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《商用密码管理条例》和《关键信息基础设施安全保护条例》、《网络数据安全管理条例》等有关法律、行政法规中关键信息基础设施商用密码使用相关要求，制定关键信息基础设施商用密码使用管理各项措施，并做好与相关政策法规的衔接协调。

（二）明确划分各方职责。关键信息基础设施商用密码使用管理涉及单位多，其中，密码管理部门、网信部门、公安机关为管理部门，保护工作部门为行业领域监督管理部门，运营者为直接责任主体，明确划分各方权力、义务和责任。

（三）科学规范监管制度。针对关键信息基础设施商用密码使用管理涉及的商用密码技术、产品、服务等内容，围绕规划、建设、运行等各阶段，提出具体规范要求，并明确运行安全管理、监督检查、保密义务等管理事项。

三、主要内容

《规定》共25条。主要内容包括：

（一）总体要求。一是规定适用范围，即依据法律法规和国家有关规定认定的关键信息基础设施的商用密码使用管理，适用本规定。二是明确管理部门职责，涵盖国家密码管理部门、国家网信部门、国务院公安部门，以及县级以上地方各级密码管理部门与同级网信部门、公安机关。三是明确保护工作部门职责，包括监督管理本行业、本领域关键信息基础设施商用密码应用，加强规划和指导，报送有关情况等。

（二）运营者责任。一是明确运营者总体责任，即落实关键信息基础设施商用密码使用“三同步一评估”原则，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。二是分别规定运营者的制度、人员、经费保障责任，包括建立商用密码使用、应急处置、重大事件报告等制度，配备符合要求的密码相关专业人员并进行安全背景审查，定期组织密码相关业务技能培训，以及将商用密码使用和应用安全性评估经费纳入网络安全和信息化经费安排等，从而为关键信息基础设施商用密码使用奠定坚实基础。

（三）商用密码使用具体要求。一是明确商用密码技术、产品、服务使用要求。规定关键信息基础设施使用的商用密码产品、服务应当经检测认证合格，使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。二是明确数据安全保护、个人信息保护要求。强调关键信息基础设施应当使用商用密码对其存储、使用、传输的核心数据、重要数据和个人信息进行保护。三是细化规划、建设、运行等阶段商用密码使用要求以及过渡安排、商用密码应用安全性评估要求。建立起关键信息基础设施商用密码使用的程序闭环。

（四）监督检查及法律责任。一是规定商用密码运行安全管理责任。明确了建设国家级与行业级商用密码运行安全管理基础设施的责任。二是规定密码管理部门和保护工作部门的监督检查职权，同时申明运营者的配合义务与管理部门的保密义务。三是规定运营者的违法情形及法律责任，包括违反商用密码使用要求、违反安全审查要求、违反监督管理配合义务、违反商用密码保障责任等。四是规定监督管理人员的违法情形及法律责任。

（五）其他事项。规定了对关键信息基础设施商用密码使用的制度衔接，以及本规定的施行时间。