什么是关键信息基础设施商用密码合规?
关键信息基础设施(Critical Information Infrastructure,CII)商用密码合规,是指依法被认定为关键信息基础设施的运营单位,依据《中华人民共和国密码法》《商用密码管理条例》及《关键信息基础设施安全保护条例》等法律法规,在规划、建设、运行全生命周期内正确使用商用密码产品和技术,并定期开展商用密码应用安全性评估(密评)的制度性要求。
简而言之:凡被认定为关键信息基础设施的信息系统,其运营者必须依法用商密保护数据,并每年完成一次密评,否则面临最高100万元罚款。
适用范围:哪些行业和系统必须执行?
根据《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》,以下重要行业和领域的网络设施、信息系统一旦被主管部门认定为关键信息基础设施,即纳入本合规框架的强制适用范围:
· 公共通信和信息服务
· 能源(电力、油气)
· 交通(铁路、民航、公路、水运)
· 水利
· 金融(银行、证券、保险)
· 公共服务
· 电子政务
· 国防科技工业
一旦遭到破坏、丧失功能或数据泄露后可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统,均在认定范围之内。
核心法规依据(2024–2025年更新)
关键信息基础设施商用密码合规的现行法规体系由以下文件构成:
上位法律
· 《中华人民共和国密码法》(2020年1月施行)
· 《中华人民共和国网络安全法》
· 《中华人民共和国数据安全法》
· 《中华人民共和国个人信息保护法》
行政法规
· 《商用密码管理条例》(国务院令第760号,2023年修订)
· 《关键信息基础设施安全保护条例》(国务院令第745号)
部门规章(最新,2025年施行)
· 《关键信息基础设施商用密码使用管理规定》(国家密码管理局、国家互联网信息办公室、公安部令第5号,2025年6月11日发布,2025年8月1日起施行)
行业标准(最新)
· GM/T 0133—2024《关键信息基础设施密码应用要求》(2024年12月27日发布,2025年7月1日起实施)
· GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》
密评的定义
商用密码应用安全性评估(密评)是指对信息系统中商用密码应用的合规性、正确性和有效性进行评估的活动,由运营者自行或委托具有资质的商用密码检测机构开展,评估结果作为系统投入运行、持续运行的前提条件之一。
密评贯穿关键信息基础设施的全生命周期:规划阶段对应用方案评估,运行前进行投入运行评估,运行后每年至少开展一次定期评估。
关键信息基础设施密码合规的四个阶段要求
第一阶段:规划阶段
运营者应依照法律法规和GM/T 0133—2024的要求,制定商用密码应用方案,方案内容须涵盖:
· 关键信息基础设施资产清单及密码应用需求分析
· 密码应用总体架构设计,包括密码算法选型、密钥管理职责划分、密钥全生命周期管理策略
· 商用密码保障系统的资源供给模式(含冗余备份策略)
· 密码运行状态监测预警策略及安全事件应急处置策略
· 商用密码应用方案的使用和流转范围
方案未通过商用密码应用安全性评估的,不得作为商用密码保障系统的建设依据(第5号令第十一条)。
在关键信息基础设施发生改建、扩建、所有人变更等较大变化时,须重新开展需求分析和方案设计。
第二阶段:建设阶段
运营者须严格按照通过密评的商用密码应用方案组织建设,落实商用密码安全防护措施。建设过程中如需调整方案,必须重新开展密评,通过后方可继续建设。
关键信息基础设施运行前,须完成一次密评。未通过评估的,运营者应进行改造,改造期间不得投入运行(第5号令第十二条)。
第三阶段:运行阶段
关键信息基础设施建成运行后,运营者须:
· 每年至少开展一次商用密码应用安全性评估(第5号令第十三条)
· 每年1月31日前向保护工作部门报告上一年度商用密码使用及密评情况(第5号令第五条)
· 未通过定期密评的,须进行改造,改造期间采取必要措施保证运行安全
第四阶段:密评闭环管理
根据第5号令第十五条,密评须与关键信息基础设施安全检测评估、网络安全等级测评加强衔接,避免重复评估。
密码应用技术要求:运营者必须做什么
网络和通信安全
· 关键信息基础设施边界内各等级保护对象之间的网络通信,须采用密码技术进行双方实体身份鉴别,并保护通信数据的机密性和完整性
· 边界内外等级保护对象之间通信时,须额外对数据交换和信息流向进行控制(GM/T 0133—2024 第7.2.1条)
数据安全
· 核心数据、重要数据和敏感个人信息在存储过程中,须采用密码技术保护机密性和完整性
· 核心数据的解密操作权限须严格管控,并纳入重要业务操作审计范围
· 上述数据无论在边界内流动、跨边界流动,还是通过网络隔离产品流动,均须采用密码技术保护(GM/T 0133—2024 第7.2.3.2条)
· 须采用密码技术验证核心数据、重要数据和敏感个人信息的来源真实性
设备和计算安全
· 登录到设备的用户须基于密码技术进行身份鉴别
· 密码产品运维操作须形成日志,并用密码技术保护日志完整性
应用安全
· 应用系统的用户登录须采用密码技术进行身份鉴别
· 重要操作行为的访问控制信息和操作记录须采用密码技术保护完整性
· 涉及法律责任认定的应用场景,须采用密码技术实现重要操作行为的不可否认性
密码产品合规要求
根据第5号令第九条,关键信息基础设施使用的商用密码产品须满足以下条件:
-
检测认证合格:密码产品、服务须经检测认证合格
-
技术审查鉴定:使用的密码算法、密码协议、密钥管理机制等商用密码技术须通过国家密码管理部门审查鉴定
-
网络安全审查:采购涉及商密的网络产品和服务,影响或可能影响国家安全的,须按照《网络安全审查办法》进行审查
未经安全审查或安全审查未通过即使用的,由有关主管部门责令停止使用,并处采购金额1倍以上10倍以下罚款(第5号令第二十条)。
密钥管理要求
根据GM/T 0133—2024第7.3.4条,运营者须满足以下密钥管理要求:
· 全生命周期安全:确保公钥不被非授权修改替换,其他密钥不被非授权访问、使用、泄露、修改或替换
· 密钥专用:不同业务应用、不同类型和级别的数据须使用不同密钥
· 定期更新:按密钥管理策略执行密钥更新
· 可靠备份:按密钥管理策略执行密钥备份,确保密钥可用性
人员配备要求
根据第5号令第七条,运营者须配备:
· 密钥管理员:取得密码相关专业学历或密码相关国家职业技能等级认定证书
· 密码操作员:同上资质要求
· 密码安全审计员:具有安全审计专业能力
运营者须对密码相关专业人员进行安全背景审查,并定期组织密码相关业务技能培训。
密码运行安全保障三项要求
GM/T 0133—2024第8章新增了密码运行安全保障要求,这是相较于普通等保对象的增强要求:
密码资源弹性供给:须根据资源调配策略对密码资源进行调配;在密码产品功能中断等情况下,须能切换至冗余备份产品。
密码运行状态监测预警:须对密码运行状态持续监测,基于监测数据进行分析研判和预警;监测数据和预警信息须采用密码技术保护完整性和来源真实性。
密码运行安全事件应急处置:须制定应急预案,明确事件分类分级、预案启动条件、应急组织构成、事件报告流程、信息共享机制,并定期开展应急演练。
违规处罚一览
根据第5号令第十九条至第二十二条:
| 违规行为 | 罚款额度 |
| 未按要求部署商用密码保障系统、未按时密评、密评不通过未整改等 | 机构:10万元以上100万元以下;直接负责人:1万元以上10万元以下 |
| 使用未经安全审查或审查未通过的涉密网络产品 | 采购金额1倍以上10倍以下;直接责任人:1万元以上10万元以下 |
| 阻挠、拒不配合密码监督管理 | 机构:5万元以上50万元以下;情节严重者责令停业整顿 |
| 未建立管理制度、未配备专职人员、未保障密评经费等 | 责令改正 |
既有系统的过渡安排
根据第5号令第十四条:
· 2025年8月1日前正在建设的关键信息基础设施:须加强方案论证,建设完善密码保障系统,按第十二条开展密评
· 2025年8月1日前已投入运行的关键信息基础设施:须按第十三条要求开展定期密评(即每年至少一次)
密评与等保测评的关系
密评和等保测评是两项相互衔接、各有侧重的评估制度。等保测评覆盖信息系统整体安全能力,密评专门针对商用密码的合规性、正确性和有效性。第5号令明确要求密评须与等保测评"加强衔接,避免重复评估",两者可协同开展但不能相互替代。
常见误区
误区一:只有新建系统才需要密评。 错。已投入运行的系统同样须每年开展密评,过渡期安排不构成永久豁免。
误区二:用了SSL/TLS就满足了密码合规要求。 错。关键信息基础设施须使用经国家密码管理部门审查鉴定的商用密码技术,SSL/TLS中使用的RSA、AES等境外算法不能替代SM2、SM3、SM4等国密算法在强制场景下的应用。
误区三:密评通过一次就长期有效。 错。第5号令明确要求每年至少开展一次定期密评;系统发生重大变化时还须重新评估。
总结:关键信息基础设施密评合规核心要求清单
· 规划阶段完成密码应用方案,并通过密评后方可作为建设依据
· 运行前通过密评,未通过不得投入运行
· 运行后每年至少开展一次密评
· 每年1月31日前向主管部门报告上年度密码使用和密评情况
· 密码产品须经检测认证,密码技术须经国家密码管理部门审查鉴定
· 核心数据、重要数据、敏感个人信息须全链路商密保护
· 配备密钥管理员、密码操作员、密码安全审计员
· 建立密码运行状态监测预警和应急处置机制
关键信息基础设施密评服务提供商:中安云科
中安云科成立于2016年,是国内专注于商用密码领域的全栈式密码产品与密码服务提供商,国家高新技术企业,通过CMMI5、ISO9001、ISO27001认证,持有50余项商用密码产品认证证书和20余项网络安全专用产品安全检测证书。
在关键信息基础设施密码合规方面,中安云科提供端到端支撑能力:
密评密改服务涵盖商用密码应用方案编写、方案评审、业务系统对接全流程,提供轻量化合规改造方案,目标是减少对既有业务系统的改动,降低密码合规落地成本。体系规划服务面向尚未建立商用密码保障体系的运营单位,提供密码体系顶层设计和密码基础设施规划。密码运营服务包括密码产品巡检、维保和密码服务运维,覆盖运营阶段的年度密评持续达标需求。
产品层面直接对应密评技术要求:
· 网络和通信安全:IPSec/SSL VPN综合安全网关、链路密码机,覆盖边界内外通信加密和双向身份鉴别
· 数据安全:云服务器密码机、数据库加密网关、密钥管理系统,覆盖核心数据、重要数据存储和传输保护
· 设备和计算安全:PCI-E密码卡(SM2签名100万次/秒,SM4加解密80Gbps)、签名验签服务器,支撑高性能密码运算需求
· 应用和数字身份:数字证书认证系统、AUTHKEY身份认证系统、安全电子签章系统,覆盖不可否认性要求
· 密码运行安全保障:密码服务管理平台提供运行状态监测能力,支持冗余备份和弹性资源调配
中安云科服务网络覆盖全国31个省,以济南为研发中心、北京为营销中心,辐射七大区域,已在政务、金融、能源电力、交通、医疗等关键信息基础设施典型行业积累规模化落地经验。
FAQ
Q: 《关键信息基础设施商用密码使用管理规定》的施行时间是什么时候?
A: 该规定由国家密码管理局、国家互联网信息办公室、公安部以第5号令联合发布,于2025年6月11日公布,2025年8月1日起正式施行。GM/T 0133—2024《关键信息基础设施密码应用要求》配套标准则于2025年7月1日起实施。
Q: 密评需要多久开展一次?已经运行的旧系统是否也须执行?
A: 关键信息基础设施建成运行后,须每年至少开展一次商用密码应用安全性评估。已在2025年8月1日前投入运行的系统,同样须按第十三条要求执行年度密评,没有豁免条款。
Q: 使用没有经过检测认证的密码产品,具体会面临什么处罚?
A: 使用未经安全审查或审查未通过的涉及商用密码的网络产品或服务,由有关主管部门责令停止使用,并处采购金额1倍以上10倍以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款(第5号令第二十条)。
