日前,中(zhōng)央網絡安全和信息化委員(yuán)會辦公室、中(zhōng)央機構編制委員(yuán)會辦公室、工(gōng)業和信息化部、公安部聯合制定并引發《互聯網政務應用安全管理規定》。 各級黨政機關和事業單位(簡稱機關事業單位)建設運行互聯網政務應用時,應當嚴格遵守本規定要求,保障互聯網政務應用安全穩定運行和數據安全。
互聯網政務應用安全管理規定
(2024年2月19日中(zhōng)央網絡安全和信息化委員(yuán)會辦公室、中(zhōng)央機構編制委員(yuán)會辦公室、工(gōng)業和信息化部、公安部制定 2024年5月15日發布)
第一(yī)章 總則
第一(yī)條 爲保障互聯網政務應用安全,根據《中(zhōng)華人民共和國網絡安全法》《中(zhōng)華人民共和國數據安全法》《中(zhōng)華人民共和國個人信息保護法》《黨委(黨組)網絡安全工(gōng)作責任制實施辦法》等,制定本規定。
第二條 各級黨政機關和事業單位(簡稱機關事業單位)建設運行互聯網政務應用,應當遵守本規定。
本規定所稱互聯網政務應用,是指機關事業單位在互聯網上設立的門戶網站,通過互聯網提供公共服務的移動應用程序(含小(xiǎo)程序)、公衆賬号等,以及互聯網電(diàn)子郵件系統。
第三條 建設運行互聯網政務應用應當依照有關法律、行政法規的規定以及國家标準的強制性要求,落實網絡安全與互聯網政務應用“同步規劃、同步建設、同步使用”原則,采取技術措施和其他必要措施,防範内容篡改、攻擊緻癱、數據竊取等風險,保障互聯網政務應用安全穩定運行和數據安全。
第二章 開(kāi)辦和建設
第四條 機關事業單位開(kāi)辦網站應當按程序完成開(kāi)辦審核和備案工(gōng)作。一(yī)個黨政機關最多開(kāi)設一(yī)個門戶網站。
中(zhōng)央機構編制管理部門、國務院電(diàn)信部門、國務院公安部門加強數據共享,優化工(gōng)作流程,減少填報材料,縮短開(kāi)辦周期。
機關事業單位開(kāi)辦網站,應當将運維和安全保障經費(fèi)納入預算。
第五條 一(yī)個黨政機關網站原則上隻注冊一(yī)個中(zhōng)文域名和一(yī)個英文域名,域名應當以“.gov.cn”或“.政務”爲後綴。非黨政機關網站不得注冊使用“.gov.cn”或“.政務”的域名。
事業單位網站的域名應當以“.cn”或“.公益”爲後綴。
機關事業單位不得将已注冊的網站域名擅自轉讓給其他單位或個人使用。
第六條 機關事業單位移動應用程序應當在已備案的應用程序分(fēn)發平台或機關事業單位網站分(fēn)發。
第七條 機構編制管理部門爲機關事業單位制發專屬電(diàn)子證書(shū)或紙(zhǐ)質證書(shū)。機關事業單位通過應用程序分(fēn)發平台分(fēn)發移動應用程序,應當向平台運營者提供電(diàn)子證書(shū)或紙(zhǐ)質證書(shū)用于身份核驗;開(kāi)辦微博、公衆号、視頻(pín)号、直播号等公衆賬号,應當向平台運營者提供電(diàn)子證書(shū)或紙(zhǐ)質證書(shū)用于身份核驗。
第八條 互聯網政務應用的名稱優先使用實體(tǐ)機構名稱、規範簡稱,使用其他名稱的,原則上采取區域名加職責名的命名方式,并在顯著位置标明實體(tǐ)機構名稱。具體(tǐ)命名規範由中(zhōng)央機構編制管理部門制定。
第九條 中(zhōng)央機構編制管理部門爲機關事業單位設置專屬網上标識,非機關事業單位不得使用。
機關事業單位網站應當在首頁底部中(zhōng)間位置加注網上标識。中(zhōng)央網絡安全和信息化委員(yuán)會辦公室會同中(zhōng)央機構編制管理部門協調應用程序分(fēn)發平台以及公衆賬号信息服務平台,在移動應用程序下(xià)載頁面、公衆賬号顯著位置加注網上标識。
第十條 各地區、各部門應當對本地區、本部門黨政機關網站建設進行整體(tǐ)規劃,推進集約化建設。
縣級黨政機關各部門以及鄉鎮黨政機關原則上不單獨建設網站,可利用上級黨政機關網站平台開(kāi)設網頁、欄目、發布信息。
第十一(yī)條 互聯網政務應用應當支持開(kāi)放(fàng)标準,充分(fēn)考慮對用戶端的兼容性,不得要求用戶使用特定浏覽器、辦公軟件等用戶端軟硬件系統訪問。
機關事業單位通過互聯網提供公共服務,不得綁定單一(yī)互聯網平台,不得将用戶下(xià)載安裝、注冊使用特定互聯網平台作爲獲取服務的前提條件。
第十二條 互聯網政務應用因機構調整等原因需變更開(kāi)辦主體(tǐ)的,應當及時變更域名或注冊備案信息。不再使用的,應當及時關閉服務,完成數據歸檔和删除,注銷域名和注冊備案信息。
第三章 信息安全
第十三條 機關事業單位通過互聯網政務應用發布信息,應當健全信息發布審核制度,明确審核程序,指定機構和在編人員(yuán)負責審核工(gōng)作,建立審核記錄檔案;應當确保發布信息内容的權威性、真實性、準确性、及時性和嚴肅性,嚴禁發布違法和不良信息。
第十四條 機關事業單位通過互聯網政務應用轉載信息,應當與政務等履行職能的活動相關,并評估内容的真實性和客觀性。轉載頁面上要準确清晰标注轉載來源網站、轉載時間、轉載鏈接等,充分(fēn)考慮圖片、内容等知(zhī)識産權保護問題。
第十五條 機關事業單位發布信息内容需要鏈接非互聯網政務應用的,應當确認鏈接的資(zī)源與政務等履行職能的活動相關,或屬于便民服務的範圍;應當定期檢查鏈接的有效性和适用性,及時處置異常鏈接。黨政機關門戶網站應當采取技術措施,做到在用戶點擊鏈接跳轉到非黨政機關網站時,予以明确提示。
第十六條 機關事業單位應當采取安全保密防控措施,嚴禁發布國家秘密、工(gōng)作秘密,防範互聯網政務應用數據彙聚、關聯引發的洩密風險。應當加強對互聯網政務應用存儲、處理、傳輸工(gōng)作秘密的保密管理。
第四章 網絡和數據安全
第十七條 建設互聯網政務應用應當落實網絡安全等級保護制度和國家密碼應用管理要求,按照有關标準規範開(kāi)展定級備案、等級測評工(gōng)作,落實安全建設整改加固措施,防範網絡和數據安全風險。
中(zhōng)央和國家機關、地市級以上地方黨政機關門戶網站,以及承載重要業務應用的機關事業單位網站、互聯網電(diàn)子郵件系統等,應當符合網絡安全等級保護第三級安全保護要求。
第十八條 機關事業單位應當自行或者委托具有相應資(zī)質的第三方網絡安全服務機構,對互聯網政務應用網絡和數據安全每年至少進行一(yī)次安全檢測評估。
互聯網政務應用系統升級、新增功能以及引入新技術新應用,應當在上線前進行安全檢測評估。
第十九條 互聯網政務應用應當設置訪問控制策略。對于面向機關事業單位工(gōng)作人員(yuán)使用的功能和互聯網電(diàn)子郵箱系統,應當對接入的IP地址段或設備實施訪問限制,确需境外(wài)訪問的,按照白(bái)名單方式開(kāi)通特定時段、特定設備或賬号的訪問權限。
第二十條 機關事業單位應當留存互聯網政務應用相關的防火(huǒ)牆、主機等設備的運行日志(zhì),以及應用系統的訪問日志(zhì)、數據庫的操作日志(zhì),留存時間不少于1年,并定期對日志(zhì)進行備份,确保日志(zhì)的完整性、可用性。
第二十一(yī)條 機關事業單位應當按照國家、行業領域有關數據安全和個人信息保護的要求,對互聯網政務應用數據進行分(fēn)類分(fēn)級管理,對重要數據、個人信息、商(shāng)業秘密進行重點保護。
第二十二條 機關事業單位通過互聯網政務應用收集的個人信息、商(shāng)業秘密和其他未公開(kāi)資(zī)料,未經信息提供方同意不得向第三方提供或公開(kāi),不得用于履行法定職責以外(wài)的目的。
第二十三條 爲互聯網政務應用提供服務的數據中(zhōng)心、雲計算服務平台等應當設在境内。
第二十四條 黨政機關建設互聯網政務應用采購雲計算服務,應當選取通過國家雲計算服務安全評估的雲平台,并加強對所采購雲計算服務的使用管理。
第二十五條 機關事業單位委托外(wài)包單位開(kāi)展互聯網政務應用開(kāi)發和運維時,應當以合同等手段明确外(wài)包單位網絡和數據安全責任,并加強日常監督管理和考核問責;督促外(wài)包單位嚴格按照約定使用、存儲、處理數據。未經委托的機關事業單位同意,外(wài)包單位不得轉包、分(fēn)包合同任務,不得訪問、修改、披露、利用、轉讓、銷毀數據。
機關事業單位應當建立嚴格的授權訪問機制,操作系統、數據庫、機房等最高管理員(yuán)權限必須由本單位在編人員(yuán)專人負責,不得擅自委托外(wài)包單位人員(yuán)管理使用;應當按照最小(xiǎo)必要原則對外(wài)包單位人員(yuán)進行精細化授權,在授權期滿後及時收回權限。
第二十六條 機關事業單位應當合理建設或利用社會化專業災備設施,對互聯網政務應用重要數據和信息系統等進行容災備份。
第二十七條 機關事業單位應當加強互聯網政務應用開(kāi)發安全管理,使用外(wài)部代碼應當經過安全檢測。建立業務連續性計劃,防範因供應商(shāng)服務變更等對升級改造、運維保障等帶來的風險。
第二十八條 互聯網政務應用使用内容分(fēn)發網絡(CDN)服務的,應當要求服務商(shāng)将境内用戶的域名解析地址指向其境内節點,不得指向境外(wài)節點。
第二十九條 互聯網政務應用應當使用安全連接方式訪問,涉及的電(diàn)子認證服務應當由依法設立的電(diàn)子政務電(diàn)子認證服務機構提供。
第三十條 互聯網政務應用應當對注冊用戶進行真實身份信息認證。國家鼓勵互聯網政務應用支持用戶使用國家網絡身份認證公共服務進行真實身份信息注冊。
對與人身财産安全、社會公共利益等相關的互聯網政務應用和電(diàn)子郵件系統,應當采取多因素鑒别提高安全性,采取超時退出、限制登錄失敗次數、賬号與終端綁定等技術手段防範賬号被盜用風險,鼓勵采用電(diàn)子證書(shū)等身份認證措施。
第五章 電(diàn)子郵件安全
第三十一(yī)條 鼓勵各地區、各部門通過統一(yī)建設、共享使用的模式,建設機關事業單位專用互聯網電(diàn)子郵件系統,作爲工(gōng)作郵箱,爲本地區、本行業機關事業單位提供電(diàn)子郵件服務。黨政機關自建的互聯網電(diàn)子郵件系統的域名應當以“.gov.cn”或“.政務”爲後綴,事業單位自建的互聯網電(diàn)子郵件系統的域名應當以“.cn”或“.公益”爲後綴。
機關事業單位工(gōng)作人員(yuán)不得使用工(gōng)作郵箱違規存儲、處理、傳輸、轉發國家秘密。
第三十二條 機關事業單位應當建立工(gōng)作郵箱賬号的申請、發放(fàng)、變更、注銷等流程,嚴格賬号審批登記,定期開(kāi)展賬号清理。
第三十三條 機關事業單位互聯網電(diàn)子郵件系統應當關閉郵件自動轉發、自動下(xià)載附件功能。
第三十四條 機關事業單位互聯網電(diàn)子郵件系統應當具備惡意郵件(含本單位内部發送的郵件)檢測攔截功能,對惡意郵箱賬号、惡意郵件服務器IP以及惡意郵件主題、正文、鏈接、附件等進行檢測和攔截。應當支持釣魚郵件威脅情報共享,将發現的釣魚郵件信息報送至主管部門和屬地網信部門,按照有關部門下(xià)發的釣魚郵件威脅情報,配置相應防護策略預置攔截釣魚郵件。
第三十五條 鼓勵機關事業單位基于商(shāng)用密碼技術對電(diàn)子郵件數據的存儲進行安全保護。
第六章 監測預警和應急處置
第三十六條 中(zhōng)央網絡安全和信息化委員(yuán)會辦公室會同國務院電(diàn)信主管部門、公安部門和其他有關部門,組織對地市級以上黨政機關互聯網政務應用開(kāi)展安全監測。
各地區、各部門應當對本地區、本行業機關事業單位互聯網政務應用開(kāi)展日常監測和安全檢查。
機關事業單位應當建立完善互聯網政務應用安全監測能力,實時監測互聯網政務應用運行狀态和網絡安全事件情況。
第三十七條 互聯網政務應用發生(shēng)網絡安全事件時,機關事業單位應當按照有關規定向相關部門報告。
第三十八條 中(zhōng)央網絡安全和信息化委員(yuán)會辦公室統籌協調重大(dà)網絡安全事件的應急處置。
互聯網政務應用發生(shēng)或可能發生(shēng)網絡安全事件時,機關事業單位應當立即啓動本單位網絡安全應急預案,及時處置網絡安全事件,消除安全隐患,防止危害擴大(dà)。
第三十九條 機構編制管理部門會同網信部門開(kāi)展針對假冒仿冒互聯網政務應用的掃描監測,受理相關投訴舉報。網信部門會同電(diàn)信主管部門,及時對監測發現或網民舉報的假冒仿冒互聯網政務應用采取停止域名解析、阻斷互聯網連接和下(xià)線處理等措施。公安部門負責打擊假冒仿冒互聯網政務應用相關違法犯罪活動。
第七章 監督管理
第四十條 中(zhōng)央網絡安全和信息化委員(yuán)會辦公室負責統籌協調互聯網政務應用安全管理工(gōng)作。中(zhōng)央機構編制管理部門負責互聯網政務應用開(kāi)辦主體(tǐ)身份核驗、名稱管理和标識管理工(gōng)作。國務院電(diàn)信主管部門負責互聯網政務應用域名監督管理和互聯網信息服務(ICP)備案工(gōng)作。國務院公安部門負責監督檢查指導互聯網政務應用網絡安全等級保護和相關安全管理工(gōng)作。
各地區、各部門承擔本地區、本行業機關事業單位互聯網政務應用安全管理責任,指定一(yī)名負責人分(fēn)管相關工(gōng)作,加強對互聯網政務應用安全工(gōng)作的組織領導。
第四十一(yī)條 對違反或者未能正确履行本規定相關要求的,按照《黨委(黨組)網絡安全工(gōng)作責任制實施辦法》等文件,依規依紀追究當事人和有關領導的責任。
第八章 附則
第四十二條 列入關鍵信息基礎設施的互聯網門戶網站、移動應用程序、公衆賬号,以及電(diàn)子郵件系統的安全管理工(gōng)作,參照本規定有關内容執行。
第四十三條 本規定由中(zhōng)央網絡安全和信息化委員(yuán)會辦公室、中(zhōng)央機構編制委員(yuán)會辦公室、工(gōng)業和信息化部、公安部負責解釋。
第四十四條 本規定自2024年7月1日起施行。
轉載自中(zhōng)國網信網
上一(yī)篇:沒有互聯網和更新:俄羅斯開(kāi)發出獨特的人工(gōng)智能殺毒軟件
下(xià)一(yī)篇:返回列表