關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理規(guī)定（征求意見稿）

關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理規(guī)定（征求意見稿）第一條【目的依據(jù)】為了規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施商用《商用密碼管理條例》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等有關(guān)法律、行政法規(guī)，制定本規(guī)定。規(guī)和國家有關(guān)規(guī)定認(rèn)定的關(guān)鍵信息基礎(chǔ)設(shè)施的商用密碼使用管理，適用本規(guī)定。第三條【管理部門職責(zé)】國家密碼管理部門會同國家關(guān)負(fù)責(zé)指導(dǎo)和監(jiān)督本行政區(qū)域的關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理工作。（以下簡稱保護(hù)工作部門管理本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用工作，單獨編制本行業(yè)、本領(lǐng)域商用密碼使用規(guī)劃或者納入本行（以下簡稱運營者）做好商用密碼相關(guān)制度、人員、經(jīng)費等保障。331日前向國家密碼管理關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生涉及商用密碼的重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)涉及商用密碼的重大網(wǎng)絡(luò)安全威脅時，保護(hù)工作部門應(yīng)當(dāng)及時向國家密碼管理部門報告。運營者應(yīng)當(dāng)于每年1月31日前向所屬的保護(hù)工作部門報告上一年度關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用情況。第六【制度保障】 運營者應(yīng)當(dāng)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用制度保障，建立商用密碼使用、應(yīng)急處置、重大事件報告等關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理制度。運營者的主要負(fù)責(zé)人對關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使商用密碼的重大網(wǎng)絡(luò)安全事件處置工作。密碼相關(guān)國家職業(yè)技能等級認(rèn)定證書的專業(yè)人員分別承擔(dān)力的人員承擔(dān)密碼安全審計員職責(zé)。第八【經(jīng)費保障】 運營者應(yīng)當(dāng)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用和應(yīng)用安全性評估經(jīng)費保障將商用密碼使用和應(yīng)用安全性評估經(jīng)費納入網(wǎng)絡(luò)安全和信息化經(jīng)費安排。第九【商用密碼技術(shù)產(chǎn)品服務(wù)使用要求】 關(guān)鍵第十條【數(shù)據(jù)安全保護(hù)、個人信息保護(hù)要求】關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)按照國家數(shù)據(jù)安全保護(hù)、個人信息保護(hù)有關(guān)要求，使用商用密碼對其存儲、使用、傳輸?shù)暮诵臄?shù)據(jù)、重要數(shù)據(jù)和個人信息進(jìn)行保護(hù)。碼保障系統(tǒng)并納入關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃統(tǒng)籌部署。運營者應(yīng)當(dāng)自行或者委托商用密碼檢測機(jī)構(gòu)對商用密碼應(yīng)用方案進(jìn)行商用密碼應(yīng)用安全性評估。商用密碼應(yīng)用方案未通過商用密碼應(yīng)用安全性評估的，不得作為商用密碼保障系統(tǒng)的建設(shè)依據(jù)。第十二條【建設(shè)階段要求】關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)階關(guān)鍵信息基礎(chǔ)設(shè)施運行前，其運營者應(yīng)當(dāng)自行或者委托第十三條【運行階段要求】關(guān)鍵信息基礎(chǔ)設(shè)施建成運應(yīng)當(dāng)進(jìn)行改造，并在改造期間采取必要措施保證關(guān)鍵信息基礎(chǔ)設(shè)施運行安全。展商用密碼應(yīng)用安全性評估。營者應(yīng)當(dāng)按照本規(guī)定第十三條開展商用密碼應(yīng)用安全性評估。第十五條【商用密碼應(yīng)用安全性評估要求】開展關(guān)鍵關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評加強(qiáng)銜接，避免重復(fù)評估、測評。第十六條【商用密碼運行安全管理】國家密碼管理部門負(fù)責(zé)建設(shè)和管理國家關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼運行安第十七條【商用密碼使用情況監(jiān)督檢查】密碼管理部門應(yīng)當(dāng)定期組織開展關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用情況要時可以自行或者委托商用密碼檢測機(jī)構(gòu)等專業(yè)機(jī)構(gòu)進(jìn)行商用密碼應(yīng)用安全性評估。運營者對密碼管理部門和保護(hù)工作部門開展的關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用情況監(jiān)督檢查應(yīng)當(dāng)予以配合，根據(jù)監(jiān)督檢查意見及時進(jìn)行整改并向保護(hù)工作部門報告整改情況，保護(hù)工作部門應(yīng)當(dāng)將整改情況向國家密碼管理部門報告。開展關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用情況監(jiān)督檢查應(yīng)第十八條【保密義務(wù)】密碼管理部門、有關(guān)部門、商用密碼檢測機(jī)構(gòu)及其工作人員對其在履行職責(zé)中知悉的國第十九條【違反商用密碼使用要求罰則】運營者違反101001萬元以上10萬元以下罰款：（一）未按照要求使用商用密碼保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施，同步規(guī)劃、同步建設(shè)、同步運行商用密碼保障系統(tǒng)的；（二（三）關(guān)鍵信息基礎(chǔ)設(shè)施使用的密碼算法、密碼協(xié)議、密鑰管理機(jī)制等商用密碼技術(shù)未通過國家密碼管理部門審查鑒定的；（四（五碼應(yīng)用安全性評估的商用密碼應(yīng)用方案建設(shè)商用密碼保障系統(tǒng)的；（六（七第二十條【違反安全審查要求罰則】運營者違反《中華人民共和國密碼法》、《中華人民共和國網(wǎng)絡(luò)安全法》、停止使用，處采購金額1倍以上10倍以下罰款；對直接負(fù)110萬元以下罰款。第二十一條【違反監(jiān)督管理配合義務(wù)罰則】運營者違550萬元以下1萬元以上10萬元以下罰款；情節(jié)特別嚴(yán)重的，責(zé)令停業(yè)整頓。第二十二條【違反商用密碼保障責(zé)任罰則】運營者違（一）未按照要求報告上一年度關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用情況的；（二）未建立關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理制度的；（三）未按照要求配備密鑰管理員、密碼操作員、密碼安全審計員的；（四）未保障關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用和應(yīng)用安全性評估經(jīng)費的。第二十三【監(jiān)督管理人員罰則】 從事關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用監(jiān)督管理工作的人員濫用職權(quán)、玩忽職守徇私舞弊或者泄露非法向他人提供在履行職責(zé)中知悉的商業(yè)秘密、個人隱私、舉報人信息的，依法給予處分。第二十四【激勵措施】 國家密碼管理部門會同國家網(wǎng)信部門、國務(wù)院公安部門、保護(hù)工作部門定期通報表揚關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用先進(jìn)單位和突出事跡。第二十五條【制度銜接】屬于國家政務(wù)信息系