8月1日正式实施|重磅关基规定要点解读及沃通应对之道

2025/07/30

《关键信息基础设施商用密码使用管理规定》（以下简称“《规定》”）将于本周（2025年8月1日）正式实施。《规定》为规范关键信息基础设施的商用密码使用，于2025年6月27日由国家密码管理局、国家互联网信息办公室和公安部联合发布。本文将对关键信息基础设施的商用密码使用的几个要点进行解读，并以沃通商用密码应用方案为例介绍应对之道。

《规定》制定思路

《规定》的制定细化《中华人民共和国密码法》、《商用密码管理条例》关于关键信息基础设施商用密码使用管理的基础性、原则性要求，明确划分密码管理部门、网信部门、公安机关以及保护工作部门、运营者的职权义务，明确规划、建设、运行等各阶段的规范要求，明确制度、人员、经费等方面的保障措施，将关键信息基础设施商用密码使用管理各方面、各环节的要求以法定形式固化下来，力求做到做到责任明确、环节清晰、措施完备。

商密建设要点解读及与沃通应对之道

1、相关条款

第五条运营者应当按照相关法律、行政法规和国家有关规定，遵循国家商用密码管理、网络安全等级保护、关键信息基础设施安全保护等制度要求，使用商用密码保护关键信息基础设施，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。

第九条键信息基础设施使用的商用密码产品、服务应当经检测认证合格，使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。

运营者采购涉及商用密码的网络产品和服务，影响或者可能影响国家安全的，应当按照《网络安全审查办法》进行网络安全审查。

第十条关键信息基础设施应当按照国家数据安全保护、个人信息保护有关要求，使用商用密码对其存储、使用、传输的核心数据、重要数据和个人信息进行保护。

第十五条开展关键信息基础设施商用密码应用安全性评估，应当符合《商用密码应用安全性评估管理办法》有关规定。

关键信息基础设施商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评加强衔接，避免重复评估、测评。

2、要点解读

使用商用密码保护关基，应区分新建关基和已有关基，根据不同情况制定商用密码应用方案，确保遵循三同步原则；

关基密评要求，按规定定期开展商用密码应用安全性评估，并避免重复。

使用合规的商用密码产品、服务、技术；

使用商用密码保护数据存储、使用、传输安全。

3、应对之道

沃通CA是依法设立的第三方电子认证服务机构，获得工信部颁发《电子认证服务许可证》、国密局颁发《电子认证服务使用密码许可证》，获批《电子政务电子认证服务机构资质证书》。

沃通CA深耕PKI技术应用领域二十余年，提供全球信任数字证书产品、国密算法数字证书产品，以及服务器密码机、密码服务管理平台、时间戳、电子签章、安全网关、签名验签等综合商用密码应用软硬件产品、PKI服务设施，产品经商用密码认证机构认证合格,获得《商用密码产品认证证书》，面向可信身份认证、电子签名、数据加密保护等应用场景提供商用密码技术应用、电子认证等应用解决方案。

沃通商用密码解决方案根据《密码法》、《关键信息基础设施安全保护条例》、GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》等法规及标准要求，从物理和环境、网络和通信、设备和计算、应用和数据、安全管理等层面，提供整体的信息系统密码应用体系规划和建设，使用符合要求的密码产品和服务，为关键信息基础设施提供密码服务按需提供、快速密码能力集成等产品能力，解决跨区域场景下的密码轻量化应用，助力关键信息基础设施实现商用密码使用的安全性、合规性、有效性，充分发挥密码技术保障数据安全的作用，满足密评合规性要求。

沃通商用密码应用方案涉及的产品均经商用密码认证机构认证合格，获得《商用密码产品认证证书》，目前已经为政务、电力、医疗、交通等多个行业领域政企客户提供商用密码应用改造服务。

沃通CA具备合规资质和专业服务能力，通过商密体系建设保障关键信息基础设施加强安全建设，提供包括身份验证、数据加密以及完整性保护在内的多项密码保护措施，提供高效的密码支持，为用户提供设计合规、正确、有效的商用密码应用方案。目前，沃通CA已为多个电力、新能源等关键信息基础设施信息化项目，提供密码基础设施建设、密码应用、电子认证服务等解决方案，未来也将持续为关键信息基础设施安全保护提供优秀的解决方案和专业的产品服务！