國(guó)家密碼管理局

國(guó)家互聯(lián)網(wǎng)信息辦公室

中華人民共和國(guó)公安部

令

第5號(hào)

《關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理規(guī)定》已經(jīng)2025年4月21日國(guó)家密碼管理局局務(wù)會(huì)議審議通過(guò)，并經(jīng)國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部同意，現(xiàn)予公布，自2025年8月1日起施行。

國(guó)家密碼管理局局長(zhǎng) 劉東方

國(guó)家互聯(lián)網(wǎng)信息辦公室主任 莊榮文

公安部部長(zhǎng) 王小洪

2025年6月11日

關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理規(guī)定

第一條　為規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全，根據(jù)《中華人民共和國(guó)密碼法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《商用密碼管理?xiàng)l例》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等有關(guān)法律、行政法規(guī)，制定本規(guī)定。

第二條　依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定認(rèn)定的關(guān)鍵信息基礎(chǔ)設(shè)施的商用密碼使用管理，適用本規(guī)定。

第三條　國(guó)家密碼管理部門會(huì)同國(guó)家網(wǎng)信部門、國(guó)務(wù)院公安部門負(fù)責(zé)規(guī)劃、指導(dǎo)和監(jiān)督全國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理工作，建立關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理信息共享機(jī)制。

縣級(jí)以上地方各級(jí)密碼管理部門會(huì)同網(wǎng)信部門、公安機(jī)關(guān)負(fù)責(zé)指導(dǎo)和監(jiān)督本行政區(qū)域的關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理工作。

第四條　關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門（以下簡(jiǎn)稱保護(hù)工作部門）在職責(zé)范圍內(nèi)負(fù)責(zé)監(jiān)督管理本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用工作，單獨(dú)編制本行業(yè)、本領(lǐng)域商用密碼使用規(guī)劃或者納入本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃并組織實(shí)施，指導(dǎo)本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（以下簡(jiǎn)稱運(yùn)營(yíng)者）開(kāi)展商用密碼相關(guān)制度、人員、經(jīng)費(fèi)等保障工作。

保護(hù)工作部門應(yīng)當(dāng)于每年3月31日前向國(guó)家密碼管理部門、國(guó)家網(wǎng)信部門、國(guó)務(wù)院公安部門報(bào)告上一年度本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理情況。

關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生涉及商用密碼的重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)涉及商用密碼的重大網(wǎng)絡(luò)安全威脅時(shí)，保護(hù)工作部門應(yīng)當(dāng)及時(shí)向國(guó)家密碼管理部門、國(guó)家網(wǎng)信部門、國(guó)務(wù)院公安部門報(bào)告，指導(dǎo)運(yùn)營(yíng)者開(kāi)展應(yīng)急處置，必要時(shí)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。

第五條　運(yùn)營(yíng)者應(yīng)當(dāng)按照相關(guān)法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定，遵循國(guó)家商用密碼管理、網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)等制度要求，使用商用密碼保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施，同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)，并定期開(kāi)展商用密碼應(yīng)用安全性評(píng)估。

運(yùn)營(yíng)者應(yīng)當(dāng)于每年1月31日前向所屬的保護(hù)工作部門報(bào)告上一年度關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用以及商用密碼應(yīng)用安全性評(píng)估開(kāi)展情況。

第六條　運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用制度保障，建立商用密碼使用、應(yīng)急處置、重大事件報(bào)告等關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理制度。

運(yùn)營(yíng)者的主要負(fù)責(zé)人對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理負(fù)總責(zé)，負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用和涉及商用密碼的重大網(wǎng)絡(luò)安全事件處置工作。

第七條　運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用人員保障，配備取得密碼相關(guān)專業(yè)學(xué)歷或者密碼相關(guān)國(guó)家職業(yè)技能等級(jí)認(rèn)定證書(shū)的專業(yè)人員分別承擔(dān)密鑰管理員、密碼操作員等職責(zé)，配備具有安全審計(jì)專業(yè)能力的人員承擔(dān)密碼安全審計(jì)員職責(zé)。

運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)密碼相關(guān)專業(yè)人員進(jìn)行安全背景審查，并定期組織其參加密碼相關(guān)業(yè)務(wù)技能培訓(xùn)，提高密碼相關(guān)專業(yè)人員的商用密碼使用能力。

第八條　運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用和應(yīng)用安全性評(píng)估經(jīng)費(fèi)保障，將商用密碼使用和應(yīng)用安全性評(píng)估經(jīng)費(fèi)納入網(wǎng)絡(luò)安全和信息化經(jīng)費(fèi)安排。

第九條　關(guān)鍵信息基礎(chǔ)設(shè)施使用的商用密碼產(chǎn)品、服務(wù)應(yīng)當(dāng)經(jīng)檢測(cè)認(rèn)證合格，使用的密碼算法、密碼協(xié)議、密鑰管理機(jī)制等商用密碼技術(shù)應(yīng)當(dāng)通過(guò)國(guó)家密碼管理部門審查鑒定。

運(yùn)營(yíng)者采購(gòu)涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或者可能影響國(guó)家安全的，應(yīng)當(dāng)按照《網(wǎng)絡(luò)安全審查辦法》進(jìn)行網(wǎng)絡(luò)安全審查。

第十條　關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)按照國(guó)家數(shù)據(jù)安全保護(hù)、個(gè)人信息保護(hù)有關(guān)要求，使用商用密碼對(duì)其存儲(chǔ)、使用、傳輸?shù)暮诵臄?shù)據(jù)、重要數(shù)據(jù)和個(gè)人信息進(jìn)行保護(hù)。

第十一條　關(guān)鍵信息基礎(chǔ)設(shè)施規(guī)劃階段，其運(yùn)營(yíng)者應(yīng)當(dāng)依照相關(guān)法律、行政法規(guī)和標(biāo)準(zhǔn)規(guī)范，根據(jù)商用密碼應(yīng)用需求，制定商用密碼應(yīng)用方案，規(guī)劃商用密碼保障系統(tǒng)并納入關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃統(tǒng)籌部署。

運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托商用密碼檢測(cè)機(jī)構(gòu)對(duì)商用密碼應(yīng)用方案進(jìn)行商用密碼應(yīng)用安全性評(píng)估。商用密碼應(yīng)用方案未通過(guò)商用密碼應(yīng)用安全性評(píng)估的，不得作為商用密碼保障系統(tǒng)的建設(shè)依據(jù)。

第十二條　關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)階段，其運(yùn)營(yíng)者應(yīng)當(dāng)按照通過(guò)商用密碼應(yīng)用安全性評(píng)估的商用密碼應(yīng)用方案組織實(shí)施，落實(shí)商用密碼安全防護(hù)措施，建設(shè)商用密碼保障系統(tǒng)。建設(shè)過(guò)程中需要調(diào)整商用密碼應(yīng)用方案的，應(yīng)當(dāng)重新開(kāi)展商用密碼應(yīng)用安全性評(píng)估，評(píng)估通過(guò)后方可按照調(diào)整后的商用密碼應(yīng)用方案繼續(xù)建設(shè)。

關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行前，其運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。關(guān)鍵信息基礎(chǔ)設(shè)施未通過(guò)商用密碼應(yīng)用安全性評(píng)估的，運(yùn)營(yíng)者應(yīng)當(dāng)進(jìn)行改造，改造期間不得投入運(yùn)行。

第十三條　關(guān)鍵信息基礎(chǔ)設(shè)施建成運(yùn)行后，其運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托商用密碼檢測(cè)機(jī)構(gòu)每年至少開(kāi)展一次商用密碼應(yīng)用安全性評(píng)估，確保關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼的正確使用和商用密碼保障系統(tǒng)的有效運(yùn)行。關(guān)鍵信息基礎(chǔ)設(shè)施未通過(guò)商用密碼應(yīng)用安全性評(píng)估的，運(yùn)營(yíng)者應(yīng)當(dāng)進(jìn)行改造，并在改造期間采取必要措施保證關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全。

第十四條　本規(guī)定施行前正在建設(shè)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)加強(qiáng)商用密碼應(yīng)用方案編制論證，建設(shè)完善商用密碼保障系統(tǒng)，并按照本規(guī)定第十二條開(kāi)展商用密碼應(yīng)用安全性評(píng)估。

本規(guī)定施行前已經(jīng)投入運(yùn)行的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)按照本規(guī)定第十三條開(kāi)展商用密碼應(yīng)用安全性評(píng)估。

第十五條　開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼應(yīng)用安全性評(píng)估，應(yīng)當(dāng)符合《商用密碼應(yīng)用安全性評(píng)估管理辦法》有關(guān)規(guī)定。

關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼應(yīng)用安全性評(píng)估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)加強(qiáng)銜接，避免重復(fù)評(píng)估、測(cè)評(píng)。

第十六條　國(guó)家密碼管理部門負(fù)責(zé)建設(shè)和管理國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼運(yùn)行安全管理基礎(chǔ)設(shè)施，統(tǒng)籌保護(hù)工作部門建設(shè)本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼運(yùn)行安全管理基礎(chǔ)設(shè)施，會(huì)同國(guó)家網(wǎng)信部門、國(guó)務(wù)院公安部門分析研判關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼運(yùn)行安全態(tài)勢(shì)，協(xié)同應(yīng)對(duì)處置重大商用密碼運(yùn)行安全威脅。

第十七條　密碼管理部門應(yīng)當(dāng)定期組織開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用情況監(jiān)督檢查。保護(hù)工作部門應(yīng)當(dāng)定期對(duì)本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用情況進(jìn)行檢查并提出改進(jìn)措施，必要時(shí)可以自行或者委托商用密碼檢測(cè)機(jī)構(gòu)等專業(yè)機(jī)構(gòu)進(jìn)行商用密碼應(yīng)用安全性評(píng)估。

運(yùn)營(yíng)者對(duì)密碼管理部門和保護(hù)工作部門開(kāi)展的關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用情況監(jiān)督檢查應(yīng)當(dāng)予以配合，根據(jù)監(jiān)督檢查意見(jiàn)及時(shí)進(jìn)行整改并向保護(hù)工作部門報(bào)告整改情況，保護(hù)工作部門應(yīng)當(dāng)將整改情況向國(guó)家密碼管理部門報(bào)告。

開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用情況監(jiān)督檢查應(yīng)當(dāng)加強(qiáng)協(xié)同配合、信息溝通，避免不必要的檢查和交叉重復(fù)檢查。監(jiān)督檢查不得收取費(fèi)用，不得要求被監(jiān)督檢查單位購(gòu)買、使用指定單位或者指定品牌的商用密碼產(chǎn)品、服務(wù)。

第十八條　密碼管理部門、有關(guān)部門、商用密碼檢測(cè)機(jī)構(gòu)及其工作人員對(duì)其在履行職責(zé)中知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人隱私承擔(dān)保密義務(wù)，不得泄露或者非法向他人提供。

第十九條　運(yùn)營(yíng)者違反《中華人民共和國(guó)密碼法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《商用密碼管理?xiàng)l例》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》和本規(guī)定有關(guān)條款，有下列情形之一的，由密碼管理部門責(zé)令改正，給予警告；拒不改正或者有其他嚴(yán)重情節(jié)的，處10萬(wàn)元以上100萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處1萬(wàn)元以上10萬(wàn)元以下罰款：

（一）未按照要求使用商用密碼保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施，同步規(guī)劃、同步建設(shè)、同步運(yùn)行商用密碼保障系統(tǒng)的；

（二）關(guān)鍵信息基礎(chǔ)設(shè)施使用的商用密碼產(chǎn)品、服務(wù)未經(jīng)檢測(cè)認(rèn)證合格的；

（三）關(guān)鍵信息基礎(chǔ)設(shè)施使用的密碼算法、密碼協(xié)議、密鑰管理機(jī)制等商用密碼技術(shù)未通過(guò)國(guó)家密碼管理部門審查鑒定的；

（四）關(guān)鍵信息基礎(chǔ)設(shè)施規(guī)劃階段，未制定商用密碼應(yīng)用方案，或者未對(duì)商用密碼應(yīng)用方案進(jìn)行商用密碼應(yīng)用安全性評(píng)估的；

（五）關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)階段，未按照通過(guò)商用密碼應(yīng)用安全性評(píng)估的商用密碼應(yīng)用方案建設(shè)商用密碼保障系統(tǒng)的；

（六）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行前，未開(kāi)展商用密碼應(yīng)用安全性評(píng)估，或者未通過(guò)商用密碼應(yīng)用安全性評(píng)估且未進(jìn)行改造的；

（七）關(guān)鍵信息基礎(chǔ)設(shè)施建成運(yùn)行后，未定期開(kāi)展商用密碼應(yīng)用安全性評(píng)估，或者未通過(guò)定期開(kāi)展的商用密碼應(yīng)用安全性評(píng)估且未進(jìn)行改造的。

第二十條　運(yùn)營(yíng)者違反《中華人民共和國(guó)密碼法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《商用密碼管理?xiàng)l例》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》和本規(guī)定第九條，使用未經(jīng)安全審查或者安全審查未通過(guò)的涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的，由有關(guān)主管部門責(zé)令停止使用，處采購(gòu)金額1倍以上10倍以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處1萬(wàn)元以上10萬(wàn)元以下罰款。

第二十一條　運(yùn)營(yíng)者違反《中華人民共和國(guó)密碼法》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《商用密碼管理?xiàng)l例》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》和本規(guī)定第十七條，無(wú)正當(dāng)理由拒不接受、不配合或者干預(yù)、阻撓密碼管理部門、有關(guān)部門的商用密碼監(jiān)督管理的，由密碼管理部門、有關(guān)部門責(zé)令改正，給予警告；拒不改正或者有其他嚴(yán)重情節(jié)的，處5萬(wàn)元以上50萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處1萬(wàn)元以上10萬(wàn)元以下罰款；情節(jié)特別嚴(yán)重的，責(zé)令停業(yè)整頓。

第二十二條　運(yùn)營(yíng)者違反本規(guī)定，有下列情形之一的，由密碼管理部門、有關(guān)部門依據(jù)職責(zé)責(zé)令改正：

（一）未按照要求報(bào)告上一年度關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用以及商用密碼應(yīng)用安全性評(píng)估開(kāi)展情況的；

（二）未建立關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理制度的；

（三）未按照要求配備密鑰管理員、密碼操作員、密碼安全審計(jì)員的；

（四）未保障關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用和應(yīng)用安全性評(píng)估經(jīng)費(fèi)的。

第二十三條　從事關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用監(jiān)督管理工作的人員濫用職權(quán)、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責(zé)中知悉的商業(yè)秘密、個(gè)人隱私、舉報(bào)人信息的，依法給予處分。

第二十四條　屬于國(guó)家政務(wù)信息系統(tǒng)的關(guān)鍵信息基礎(chǔ)設(shè)施的商用密碼使用管理，除應(yīng)當(dāng)遵守本規(guī)定以外，還應(yīng)當(dāng)按照《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》（國(guó)辦發(fā)〔2019〕57號(hào)）等有關(guān)規(guī)定要求執(zhí)行。

第二十五條　本規(guī)定自2025年8月1日起施行。