Image
全國統一服務(wù)熱線(xiàn)
0351-4073466

國家密碼管理局關(guān)于《關(guān)鍵信息基礎設施商用密碼使用管理規定(征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn)的通知

編輯:2024-11-22 09:32:02


為了規范關(guān)鍵信息基礎設施商用密碼使用,保護關(guān)鍵信息基礎設施安全,根據《中華人民共和國密碼法》和新修訂的《商用密碼管理條例》等有關(guān)法律法規,國家密碼管理局研究起草了《關(guān)鍵信息基礎設施商用密碼使用管理規定(征求意見(jiàn)稿)》,現向社會(huì )公開(kāi)征求意見(jiàn)。公眾可通過(guò)以下途徑和方式提出意見(jiàn):


1.登錄國家密碼管理局門(mén)戶(hù)網(wǎng)站(網(wǎng)址:www.nca.gov.cn),進(jìn)入首頁(yè)“互動(dòng)交流—意見(jiàn)征集”欄目提出意見(jiàn)。


2.電子郵件發(fā)送至:gmzcfg@sca.gov.cn,郵件主題請注明“《關(guān)鍵信息基礎設施商用密碼使用管理規定》反饋意見(jiàn)”字樣。


3.信函寄至:北京市豐臺區靛廠(chǎng)路7號國家密碼管理局政策法規室(郵政編碼:100036),信封上請注明“《關(guān)鍵信息基礎設施商用密碼使用管理規定》反饋意見(jiàn)”字樣。


征求意見(jiàn)時(shí)間為2024年11月15日至2024年12月15日。


國家密碼管理局

2024年11月15日



下面跟著(zhù)小密一起來(lái)看


圖片


關(guān)鍵信息基礎設施商用密碼使用管理規定

(征求意見(jiàn)稿)

第一條【目的依據】 為了規范關(guān)鍵信息基礎設施商用密碼使用,保護關(guān)鍵信息基礎設施安全,根據《中華人民共和國密碼法》、《中華人民共和國網(wǎng)絡(luò )安全法》、《中華人民共和國數據安全法》、《中華人民共和國個(gè)人信息保護法》、《商用密碼管理條例》和《關(guān)鍵信息基礎設施安全保護條例》、《網(wǎng)絡(luò )數據安全管理條例》等有關(guān)法律、行政法規,制定本規定。


第二條【適用范圍】  
依據《中華人民共和國網(wǎng)絡(luò )安全法》、《關(guān)鍵信息基礎設施安全保護條例》等法律、行政法規和國家有關(guān)規定認定的關(guān)鍵信息基礎設施的商用密碼使用管理,適用本規定。


第三條【管理部門(mén)職責】 國家密碼管理部門(mén)會(huì )同國家網(wǎng)信部門(mén)、國務(wù)院公安部門(mén)負責規劃、指導和監督全國的關(guān)鍵信息基礎設施商用密碼使用管理工作,建立關(guān)鍵信息基礎設施商用密碼使用管理信息共享機制。

縣級以上地方各級密碼管理部門(mén)會(huì )同網(wǎng)信部門(mén)、公安機關(guān)負責指導和監督本行政區域的關(guān)鍵信息基礎設施商用密碼使用管理工作。


第四條【保護工作部門(mén)職責】  關(guān)鍵信息基礎設施保護工作部門(mén)(以下簡(jiǎn)稱(chēng)保護工作部門(mén))在職責范圍內負責監督管理本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎設施商用密碼使用工作,單獨編制本行業(yè)、本領(lǐng)域商用密碼使用規劃或者納入本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎設施安全規劃并組織實(shí)施,指導本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎設施運營(yíng)者(以下簡(jiǎn)稱(chēng)運營(yíng)者)做好商用密碼相關(guān)制度、人員、經(jīng)費等保障。

保護工作部門(mén)應當于每年3月31日前向國家密碼管理部門(mén)、國家網(wǎng)信部門(mén)、國務(wù)院公安部門(mén)報告上一年度本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎設施商用密碼使用管理情況。

關(guān)鍵信息基礎設施發(fā)生涉及商用密碼的重大網(wǎng)絡(luò )安全事件或者發(fā)現涉及商用密碼的重大網(wǎng)絡(luò )安全威脅時(shí),保護工作部門(mén)應當及時(shí)向國家密碼管理部門(mén)報告。


第五條【運營(yíng)者總體責任】  運營(yíng)者應當按照相關(guān)法律、行政法規和國家有關(guān)規定,遵循國家商用密碼管理、網(wǎng)絡(luò )安全等級保護、關(guān)鍵信息基礎設施安全保護等制度要求,使用商用密碼保護關(guān)鍵信息基礎設施,同步規劃、同步建設、同步運行商用密碼保障系統,并定期開(kāi)展商用密碼應用安全性評估。

運營(yíng)者應當于每年1月31日前向所屬的保護工作部門(mén)報告上一年度關(guān)鍵信息基礎設施商用密碼使用情況。


第六條【制度保障】 運營(yíng)者應當加強關(guān)鍵信息基礎設施商用密碼使用制度保障,建立商用密碼使用、應急處置、重大事件報告等關(guān)鍵信息基礎設施商用密碼使用管理制度。

運營(yíng)者的主要負責人對關(guān)鍵信息基礎設施商用密碼使用管理負總責,負責關(guān)鍵信息基礎設施商用密碼使用和涉及商用密碼的重大網(wǎng)絡(luò )安全事件處置工作。


第七條【人員保障】  運營(yíng)者應當加強關(guān)鍵信息基礎設施商用密碼使用人員保障,配備取得密碼相關(guān)專(zhuān)業(yè)學(xué)歷或者密碼相關(guān)國家職業(yè)技能等級認定證書(shū)的專(zhuān)業(yè)人員分別承擔密鑰管理員、密碼操作員等職責,配備具有安全審計專(zhuān)業(yè)能力的人員承擔密碼安全審計員職責。

運營(yíng)者應當對密碼相關(guān)專(zhuān)業(yè)人員進(jìn)行安全背景審查,并定期組織其參加密碼相關(guān)業(yè)務(wù)技能培訓,提高密碼相關(guān)專(zhuān)業(yè)人員的商用密碼使用能力。


第八條【經(jīng)費保障】  運營(yíng)者應當加強關(guān)鍵信息基礎設施商用密碼使用和應用安全性評估經(jīng)費保障,將商用密碼使用和應用安全性評估經(jīng)費納入網(wǎng)絡(luò )安全和信息化經(jīng)費安排。


第九條【商用密碼技術(shù)、產(chǎn)品、服務(wù)使用要求】  關(guān)鍵信息基礎設施使用的商用密碼產(chǎn)品、服務(wù)應當經(jīng)檢測認證合格,使用的密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術(shù)應當通過(guò)國家密碼管理部門(mén)審查鑒定。為關(guān)鍵信息基礎設施提供的商用密碼服務(wù),其商用密碼使用要求應當不低于其服務(wù)的關(guān)鍵信息基礎設施。

運營(yíng)者采購涉及商用密碼的網(wǎng)絡(luò )產(chǎn)品和服務(wù),影響或者可能影響國家安全的,應當按照《網(wǎng)絡(luò )安全審查辦法》進(jìn)行網(wǎng)絡(luò )安全審查。


第十條【數據安全保護、個(gè)人信息保護要求】  
關(guān)鍵信息基礎設施應當按照國家數據安全保護、個(gè)人信息保護有關(guān)要求,使用商用密碼對其存儲、使用、傳輸的核心數據、重要數據和個(gè)人信息進(jìn)行保護。


第十一條【規劃階段要求】  
關(guān)鍵信息基礎設施規劃階段,其運營(yíng)者應當依照相關(guān)法律、行政法規和標準規范,根據商用密碼應用需求,制定商用密碼應用方案,規劃商用密碼保障系統并納入關(guān)鍵信息基礎設施安全規劃統籌部署。

運營(yíng)者應當自行或者委托商用密碼檢測機構對商用密碼應用方案進(jìn)行商用密碼應用安全性評估。商用密碼應用方案未通過(guò)商用密碼應用安全性評估的,不得作為商用密碼保障系統的建設依據。


第十二條【建設階段要求】 關(guān)鍵信息基礎設施建設階段,其運營(yíng)者應當按照通過(guò)商用密碼應用安全性評估的商用密碼應用方案組織實(shí)施,落實(shí)商用密碼安全防護措施,建設商用密碼保障系統。建設過(guò)程中需要調整商用密碼應用方案的,應當重新開(kāi)展商用密碼應用安全性評估,評估通過(guò)后方可按照調整后的商用密碼應用方案繼續建設。

關(guān)鍵信息基礎設施運行前,其運營(yíng)者應當自行或者委托商用密碼檢測機構開(kāi)展商用密碼應用安全性評估。關(guān)鍵信息基礎設施未通過(guò)商用密碼應用安全性評估的,運營(yíng)者應當進(jìn)行改造,改造期間不得投入運行。


第十三條【運行階段要求】 關(guān)鍵信息基礎設施建成運行后,其運營(yíng)者應當自行或者委托商用密碼檢測機構每年至少開(kāi)展一次商用密碼應用安全性評估,確保關(guān)鍵信息基礎設施商用密碼的正確使用和商用密碼保障系統的有效運行。關(guān)鍵信息基礎設施未通過(guò)商用密碼應用安全性評估的,運營(yíng)者應當進(jìn)行改造,并在改造期間采取必要措施保證關(guān)鍵信息基礎設施運行安全。


第十四條【過(guò)渡安排】  本規定施行前正在建設的關(guān)鍵信息基礎設施,其運營(yíng)者應當加強商用密碼應用方案編制論證,建設完善商用密碼保障系統,并按照本規定第十二條開(kāi)展商用密碼應用安全性評估。

本規定施行前已經(jīng)投入運行的關(guān)鍵信息基礎設施,其運營(yíng)者應當按照本規定第十三條開(kāi)展商用密碼應用安全性評估。


第十五條【商用密碼應用安全性評估要求】  開(kāi)展關(guān)鍵信息基礎設施商用密碼應用安全性評估,應當符合《商用密碼應用安全性評估管理辦法》有關(guān)規定。

關(guān)鍵信息基礎設施商用密碼應用安全性評估應當與關(guān)鍵信息基礎設施安全檢測評估、網(wǎng)絡(luò )安全等級測評加強銜接,避免重復評估、測評。


第十六條【商用密碼運行安全管理】  國家密碼管理部門(mén)負責建設和管理國家關(guān)鍵信息基礎設施商用密碼運行安全管理基礎設施,統籌保護工作部門(mén)建設本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎設施商用密碼運行安全管理基礎設施,會(huì )同國家網(wǎng)信部門(mén)、國務(wù)院公安部門(mén)分析研判關(guān)鍵信息基礎設施商用密碼運行安全態(tài)勢,協(xié)同做好重大商用密碼運行安全威脅應對措施。


第十七條【商用密碼使用情況監督檢查】  密碼管理部門(mén)應當定期組織開(kāi)展關(guān)鍵信息基礎設施商用密碼使用情況監督檢查。保護工作部門(mén)應當定期對本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎設施商用密碼使用情況進(jìn)行檢查并提出改進(jìn)措施,必要時(shí)可以自行或者委托商用密碼檢測機構等專(zhuān)業(yè)機構進(jìn)行商用密碼應用安全性評估。

運營(yíng)者對密碼管理部門(mén)和保護工作部門(mén)開(kāi)展的關(guān)鍵信息基礎設施商用密碼使用情況監督檢查應當予以配合,根據監督檢查意見(jiàn)及時(shí)進(jìn)行整改并向保護工作部門(mén)報告整改情況,保護工作部門(mén)應當將整改情況向國家密碼管理部門(mén)報告。

開(kāi)展關(guān)鍵信息基礎設施商用密碼使用情況監督檢查應當加強協(xié)同配合、信息溝通,避免不必要的檢查和交叉重復檢查。監督檢查不得收取費用,不得要求被監督檢查單位購買(mǎi)、使用指定單位或者指定品牌的商用密碼產(chǎn)品、服務(wù)。


第十八條【保密義務(wù)】  碼管理部門(mén)、有關(guān)部門(mén)、商用密碼檢測機構及其工作人員對其在履行職責中知悉的國家秘密、商業(yè)秘密和個(gè)人隱私承擔保密義務(wù),不得泄露或者非法向他人提供。


第十九條【違反商用密碼使用要求罰則】  運營(yíng)者違反《中華人民共和國密碼法》、《中華人民共和國網(wǎng)絡(luò )安全法》、《商用密碼管理條例》、《關(guān)鍵信息基礎設施安全保護條例》和本規定有關(guān)條款,有下列情形之一的,由密碼管理部門(mén)責令改正,給予警告;拒不改正或者有其他嚴重情節的,處10萬(wàn)元以上100萬(wàn)元以下罰款,對直接負責的主管人員處1萬(wàn)元以上10萬(wàn)元以下罰款:

(一)未按照要求使用商用密碼保護關(guān)鍵信息基礎設施,同步規劃、同步建設、同步運行商用密碼保障系統的;

(二)關(guān)鍵信息基礎設施使用的商用密碼產(chǎn)品、服務(wù)未經(jīng)檢測認證合格的;

(三)關(guān)鍵信息基礎設施使用的密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術(shù)未通過(guò)國家密碼管理部門(mén)審查鑒定的;

(四)關(guān)鍵信息基礎設施規劃階段,未制定商用密碼應用方案,或者未對商用密碼應用方案進(jìn)行商用密碼應用安全性評估的;

(五)關(guān)鍵信息基礎設施建設階段,未按照通過(guò)商用密碼應用安全性評估的商用密碼應用方案建設商用密碼保障系統的;

(六)關(guān)鍵信息基礎設施運行前,未開(kāi)展商用密碼應用安全性評估,或者未通過(guò)商用密碼應用安全性評估且未進(jìn)行改造的;

(七)關(guān)鍵信息基礎設施建成運行后,未定期開(kāi)展商用密碼應用安全性評估,或者未通過(guò)定期開(kāi)展的商用密碼應用安全性評估且未進(jìn)行改造的。


第二十條【違反安全審查要求罰則】  運營(yíng)者違反《中華人民共和國密碼法》、《中華人民共和國網(wǎng)絡(luò )安全法》、《商用密碼管理條例》、《關(guān)鍵信息基礎設施安全保護條例》和本規定第九條,使用未經(jīng)安全審查或者安全審查未通過(guò)的涉及商用密碼的網(wǎng)絡(luò )產(chǎn)品或者服務(wù)的,由有關(guān)主管部門(mén)責令停止使用,處采購金額1倍以上10倍以下罰款;對直接負責的主管人員和其他直接責任人員處1萬(wàn)元以上10萬(wàn)元以下罰款。


第二十一條【違反監督管理配合義務(wù)罰則】  運營(yíng)者違反《中華人民共和國密碼法》、《中華人民共和國網(wǎng)絡(luò )安全法》、《商用密碼管理條例》、《關(guān)鍵信息基礎設施安全保護條例》和本規定第十七條,無(wú)正當理由拒不接受、不配合或者干預、阻撓密碼管理部門(mén)、有關(guān)部門(mén)的商用密碼監督管理的,由密碼管理部門(mén)、有關(guān)部門(mén)責令改正,給予警告;拒不改正或者有其他嚴重情節的,處5萬(wàn)元以上50萬(wàn)元以下罰款,對直接負責的主管人員和其他直接責任人員處1萬(wàn)元以上10萬(wàn)元以下罰款;情節特別嚴重的,責令停業(yè)整頓。


第二十二條【違反商用密碼保障責任罰則】 運營(yíng)者違反本規定,有下列情形之一的,由密碼管理部門(mén)、有關(guān)部門(mén)依據職責責令改正:

(一)未按照要求報告上一年度關(guān)鍵信息基礎設施商用密碼使用情況的;

(二)未建立關(guān)鍵信息基礎設施商用密碼使用管理制度的;

(三)未按照要求配備密鑰管理員、密碼操作員、密碼安全審計員的;

(四)未保障關(guān)鍵信息基礎設施商用密碼使用和應用安全性評估經(jīng)費的。


第二十三條【監督管理人員罰則】 從事關(guān)鍵信息基礎設施商用密碼使用監督管理工作的人員濫用職權、玩忽職守、徇私舞弊,或者泄露、非法向他人提供在履行職責中知悉的商業(yè)秘密、個(gè)人隱私、舉報人信息的,依法給予處分。


第二十四條【激勵措施】  國家密碼管理部門(mén)會(huì )同國家網(wǎng)信部門(mén)、國務(wù)院公安部門(mén)、保護工作部門(mén)定期通報表?yè)P關(guān)鍵信息基礎設施商用密碼使用先進(jìn)單位和突出事跡。


第二十五條【制度銜接】  
屬于國家政務(wù)信息系統的關(guān)鍵信息基礎設施,除應當遵守本規定以外,還應當按照《國家政務(wù)信息化項目建設管理辦法》(國辦發(fā)〔2019〕57號)等有關(guān)規定要求開(kāi)展商用密碼使用管理工作。


第二十六條【施行日期】 本規定自××××年××月××日起施行。



END
?



來(lái)源:國家密碼管理局

Image
Image
版權所有:山西科信源科技股份有限公司
咨詢(xún)熱線(xiàn):0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務(wù)中心5層
? ? ? ? ? ?(南區)太原市小店區南中環(huán)街529 號清控創(chuàng )新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術(shù)支持 - 資??萍技瘓F