阅读： 3

近日国密局、网信办、公安部联合发布了《关键信息基础设施商用密码使用管理规定》。《规定》共二十五条，适用于依据法律法规和国家有关规定认定的关键信息基础设施的商用密码使用管理。

一、内容概述

《规定》明确商用密码技术、产品、服务使用要求，规定关键信息基础设施使用的商用密码产品、服务应当经检测认证合格，使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。同时，《规定》还明确数据安全保护、个人信息保护要求，强调关键信息基础设施应当使用商用密码对其存储、使用、传输的核心数据、重要数据和个人信息进行保护。《规定》自2025年8月1日起施行。

二、要点分析

该规定出台旨在强化商用密码制度与关基保护相关法规的衔接，明确关基运营者使用商用密码的合规要求，并明确相关管理机制和主要制度。其主要内容可归纳为以下三个方面。

首先，关基商密管理的机制。即《规定》明确了由“指导监督部门”和“保护部门”构成的分层的管理机制。前者是指国家密码管理部门会同国家网信部门、国务院公安部门，主要职责是负责全国关键信息基础设施商用密码使用管理的规划、指导、监督和信息共享机制建设工作。后者主要是指行业、领域关基主管部门，其主要负责本行业、本领域商用密码使用的规划，并指导运营者开展商密相关制度、人员、经费等工作。

其次，关基运营者使用商密的五类合规要求。一是运营者的一般义务，包括遵守三同步原则、定期进行密评、向保护部门提交年度报告等。二是运营者内部管理制度和机制，包括建立商用密码使用、应急处置、重大事件报告制度，配备密钥管理、密码操作等专业人员并进行背景安全审查和定期培训，建立密评保障经费等。三是技术产品和服务合规要求，包括商密产品、技术和服务的检测和鉴定，以及相关网络产品和服务的安全审查。四是数据和个人信息保护要求，应使用商用密码保护三类数据安全。五是关基建设全生命周期的商密合规要求，主要是对关基商密应用方案、系统建设运行等开展密评。

再次，关基商密管理的平台和日常监督。《规定》明确提出了“国家关键信息基础设施商用密码运行安全管理基础设施”的重要概念（第十六条），尽管未进一步明确其内涵和外延，但从功能来看，该设施应该具备信息共享、态势感知、监测指挥等核心管理功能。《规定》还明确了定期开展监督检查的常态化监管举措。

三、影响分析

一方面，关于避免重复评估的问题

尽管《规定》明确提出要加强商密评估与关基检测、等级测评的衔接，“避免重复评估、测评”。但由于各项评估工作都具有不同的法规、标准依据，实践操作中如何真正避免重复、减轻关基运营者的负担，则可能需要在管理协调机制上有共识思路和具体举措。

另一方面，《规定》对网络安全行业的促进

从监管侧来看，上文提到的“国家关键信息基础设施商用密码运行安全管理基础设施”无疑是关基商密监管侧最重要的建设需求之一，其对于商用密码安全运行相关的情报获取、态势研判、应急监测和指挥等都有较为明确的支撑保障需求。

从行业市场侧来看，关基运营者履行五大合规义务则涉及更多的网络安全相关需求，如商密产品技术和服务供给、商密相关网络产品技术和服务供给、商密产品和应用安全评估服务、相关培训和审计支撑、关基相关重要数据的识别和保护等等。