AI+安全
数据安全
数据基础设施
态势感知
云安全
基础安全
终端安全
商用密码
软件供应链安全
网络空间靶场
工业互联网安全
物联网安全
安全托管服务
运营管理服务
解读丨《关键信息基础设施商用密码使用管理规定》发布,且看安恒信息关基商密应用
2025年6月27日,为规范关键信息基础设施的商用密码使用,经国家密码管理局、国家互联网信息办公室和公安部审议,联合发布《关键信息基础设施商用密码使用管理规定》(第5号令),并将于2025年8月1日正式实施。
《规定》的制定细化了《中华人民共和国密码法》、《商用密码管理条例》关于关键信息基础设施商用密码使用管理的基础性、原则性要求,明确划分密码管理部门、网信部门、公安机关以及保护工作部门、运营者的职权义务,明确规划、建设、运行等各阶段的规范要求,明确制度、人员、经费等方面的保障措施,将关键信息基础设施商用密码使用管理各方面、各环节的要求以法定形式固化下来,力求做到做到责任明确、环节清晰、措施完备。
安恒信息结合自身理解和经验,针对《规范》重点内容解读归纳如下:
《规定》明确关基商密管理相关单位职责
关键信息基础设施运营者:
使用商用密码保护关基,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估;
每年1月31日前向所属的保护工作部门报告上一年度关基商密使用情况及密评开展情况。
保护工作部门:
监督管理本行业、本领域商密使用工作,指导做好资源保障工作;
每年3月31日前向管理部门报告上一年度本行业、本领域关基商密使用管理情况。
管理部门:
密码管理部门(国家/县级以上管理部门)会同网信部门、公安部门,负责规划、指导和监督全国/本行政区域关基商密使用管理工作。
《规定》商密建设重点内容与安恒应对之道
第五条【使用商密保护关基信息基础设施要求】
运营者应当按照相关法律、行政法规和国家有关规定,遵循国家商用密码管理、网络安全等级保护、关键信息基础设施安全保护等制度要求,使用商用密码保护关键信息基础设施,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。
重点解读:
使用商用密码保护关键信息基础设施时,应区分新建关基和已有关基,根据不同情况制定商用密码应用方案,确保遵循三同步原则。
第十五条【商用密码应用安全性评估要求】
开展关键信息基础设施商用密码应用安全性评估,应当符合《商用密码应用安全性评估管理办法》有关规定。
关键信息基础设施商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评加强衔接,避免重复评估、测评。
重点解读:
信息系统若暂未开展关基商密应用安全性评估,可与关基安全检测评估工作合并完成,即运营者开展关基自评估时按照商密应用相关要求开展商密评估。此外本《规定》第十一条规划阶段、第十二条建设阶段、第十三条运行阶段、第十四条过渡安排均提及需要参照评估结果作为各阶段的工作依据。
安恒方案:
安恒信息商用密码解决方案,根据《密码法》《信息安全技术 信息系统密码应用基本要求》法规及标准要求,对信息系统从技术和管理两个维度进行安全建设。针对“云上密码”场景,通过统一的云安全管理平台,屏蔽底层的密码设备,面向各类应用以服务目录的方式提供网络安全、数据安全、密码安全能力。充分发挥密码保障数据安全的作用,满足密评合规性要求。
第十六条【商用密码运行安全管理】
国家密码管理部门负责建设和管理国家关键信息基础设施商用密码运行安全管理基础设施,统筹保护工作部门建设本行业、本领域关键信息基础设施商用密码运行安全管理基础设施,会同国家网信部门、国务院公安部门分析研判关键信息基础设施商用密码运行安全态势,协同应对处置重大商用密码运行安全威胁。
重点解读:
关基商用密码管理基础设施当前建设相对薄弱,县级以上密码管理部门和保护工作部门均具有管理职责,并且需要具备分析研判商用密码运行安全态势,以及安全威胁应对等能力,可通过平台形成国家、行业、省、市、县贯通的管理体系。
安恒方案:
商用密码应用安全性监管平台,通过建立密码运行监管体系,从密码设备运行监测、数据收集统计、合规测评、执法监管等对范围内系统开展常态化、体系化、实战化安全运营管理,落实安全运营机制,打造“可管理、可感知、可预警、可处置”的一体化密码监管体系,对网络空间中密码应用进行全面有效监测和管理,提高密码管理工作的威信力和执行力。
第十七条【商用密码使用情况监督检查】
密码管理部门应当定期组织开展关键信息基础设施商用密码使用情况监督检查。保护工作部门应当定期对本行业、本领域关键信息基础设施商用密码使用情况进行检查并提出改进措施,必要时可以自行或者委托商用密码检测机构等专业机构进行商用密码应用安全性评估。 运营者根据监督检查意见及时进行整改并向保护工作部门报告整改情况。
重点解读:
县级以上密码管理部门和保护工作部门均要开展监督检查工作,并提出改进措施。现场监督检查工作可通过工具完成,提升检查人员工作效率。
安恒方案:
密码应用安全检测评估工具箱(密评工具箱),是信息系统运营单位开展密码测评工作的一体化专用设备,具有规范检查、工具调用、结果展示等功能,集成专用密码安全检查工具,为密码检查、测评工作提供专业检查知识和检查方法,并实现对获取数据的关联分析、统计比对、处理流转等功能,提高密码检查、测评工作的标准化、规范化和专业化水平。
安恒商密动态
安恒信息针对单系统过密评、虚拟化统一密码服务、一体化运营监管不同场景,提供“建设-测评-监管”全流程的方案覆盖。为保障用户通过商密体系建设加强安全保障,并实际通过密评合规目标,安恒可为用户提供密码方案编制服务、应用对接密码服务、商密培训等定制化服务。同时结合恒脑垂域大模型,创新推出了商密FAQ智能体、密评方案生成智能体,将AI与商密应用场景结合,有效提升密改环节服务质量与效率。
官方解读中同时提出,关键信息基础设施运营者目前已经开始开展商用密码相关建设,但由于缺乏管理法规制度的具体指导和约束,使得部分网络与信息系统建设未深入分析商用密码使用需求,只是机械堆叠商用密码产品,或简单实施外挂式、补丁式改造,未能体系化加以解决,商用密码应用的合规性、正确性、有效性也难以保证。本次《关键信息基础设施商用密码使用管理规定》的正式发文,解决了关基商密建设在政策依据上的问题,使未来的关基商密建设有法可依,有章可循。
安恒信息深度参与关基相关标准起草编制工作,结合丰富关基落地实践经验,协助关基运营者开展关基商用密码建设,助力关基运营者构建坚实有效、持续提升的安全能力。
