互聯網政務應用安全管理規定
(2024年2月19日中央網絡安全和信息化委員會辦公室�、中央機構編製委員會辦公室��、工業和信息化部��、公安部製定 2024年5月15日發布)
第一章 總則
第一條 為保障互聯網政務應用安全��,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《黨委(黨組)網絡安全工作責任製實施辦法》等����,製定本規定。 第二條 各級黨政機關和事業單位(簡稱機關事業單位)建設運行互聯網政務應用����,應當遵守本規定。 本規定所稱互聯網政務應用����,是指機關事業單位在互聯網上設立的門戶網站�,通過互聯網提供公共服務的移動應用程序(含小程序)���、公眾賬號等���,以及互聯網電子郵件係統。 第三條 建設運行互聯網政務應用應當依照有關法律���、行政法規的規定以及國家標準的強製性要求�,落實網絡安全與互聯網政務應用“同步規劃����、同步建設���、同步使用”原則�,采取技術措施和其他必要措施�,防範內容篡改���、攻擊致癱�、數據竊取等風險��,保障互聯網政務應用安全穩定運行和數據安全。 第四條 機關事業單位開辦網站應當按程序完成開辦審核和備案工作。一個黨政機關最多開設一個門戶網站。 中央機構編製管理部門����、國務院電信部門��、國務院公安部門加強數據共享�����,優化工作流程�����,減少填報材料��,縮短開辦周期。 機關事業單位開辦網站�,應當將運維和安全保障經費納入預算。 第五條 一個黨政機關網站原則上隻注冊一個中文域名和一個英文域名��,域名應當以“.gov.cn”或“.政務”為後綴。非黨政機關網站不得注冊使用“.gov.cn”或“.政務”的域名。 事業單位網站的域名應當以“.cn”或“.公益”為後綴。 機關事業單位不得將已注冊的網站域名擅自轉讓給其他單位或個人使用。 第六條 機關事業單位移動應用程序應當在已備案的應用程序分發平台或機關事業單位網站分發。 第七條 機(ji)構(gou)編(bian)製(zhi)管(guan)理(li)部(bu)門(men)為(wei)機(ji)關(guan)事(shi)業(ye)單(dan)位(wei)製(zhi)發(fa)專(zhuan)屬(shu)電(dian)子(zi)證(zheng)書(shu)或(huo)紙(zhi)質(zhi)證(zheng)書(shu)。機(ji)關(guan)事(shi)業(ye)單(dan)位(wei)通(tong)過(guo)應(ying)用(yong)程(cheng)序(xu)分(fen)發(fa)平(ping)台(tai)分(fen)發(fa)移(yi)動(dong)應(ying)用(yong)程(cheng)序(xu)�,應(ying)當(dang)向(xiang)平(ping)台(tai)運(yun)營(ying)者(zhe)提(ti)供(gong)電(dian)子(zi)證(zheng)書(shu)或(huo)紙(zhi)質(zhi)證(zheng)書(shu)用(yong)於(yu)身(shen)份(fen)核(he)驗(yan)���;開辦微博��、公眾號��、視頻號�����、直播號等公眾賬號�,應當向平台運營者提供電子證書或紙質證書用於身份核驗。 第八條 互聯網政務應用的名稱優先使用實體機構名稱���、規gui範fan簡jian稱cheng�,使shi用yong其qi他ta名ming稱cheng的de��,原yuan則ze上shang采cai取qu區qu域yu名ming加jia職zhi責ze名ming的de命ming名ming方fang式shi�,並bing在zai顯xian著zhu位wei置zhi標biao明ming實shi體ti機ji構gou名ming稱cheng。具ju體ti命ming名ming規gui範fan由you中zhong央yang機ji構gou編bian製zhi管guan理li部bu門men製zhi定ding。 第九條 中央機構編製管理部門為機關事業單位設置專屬網上標識���,非機關事業單位不得使用。 jiguanshiyedanweiwangzhanyingdangzaishouyedibuzhongjianweizhijiazhuwangshangbiaoshi。zhongyangwangluoanquanhexinxihuaweiyuanhuibangongshihuitongzhongyangjigoubianzhiguanlibumenxietiaoyingyongchengxufenfapingtaiyijigongzhongzhanghaoxinxifuwupingtai���,zaiyidongyingyongchengxuxiazaiyemian�、公眾賬號顯著位置加注網上標識。 第十條 各地區�、各部門應當對本地區����、本部門黨政機關網站建設進行整體規劃�,推進集約化建設。 縣級黨政機關各部門以及鄉鎮黨政機關原則上不單獨建設網站���,可利用上級黨政機關網站平台開設網頁���、欄目��、發布信息。 第十一條 互聯網政務應用應當支持開放標準��,充分考慮對用戶端的兼容性�����,不得要求用戶使用特定瀏覽器����、辦公軟件等用戶端軟硬件係統訪問。 機關事業單位通過互聯網提供公共服務��,不得綁定單一互聯網平台���,不得將用戶下載安裝���、注冊使用特定互聯網平台作為獲取服務的前提條件。 第十二條 互hu聯lian網wang政zheng務wu應ying用yong因yin機ji構gou調tiao整zheng等deng原yuan因yin需xu變bian更geng開kai辦ban主zhu體ti的de���,應ying當dang及ji時shi變bian更geng域yu名ming或huo注zhu冊ce備bei案an信xin息xi。不bu再zai使shi用yong的de�����,應ying當dang及ji時shi關guan閉bi服fu務wu��,完wan成cheng數shu據ju歸gui檔dang和he刪shan除chu����,注zhu銷xiao域yu名ming和he注zhu冊ce備bei案an信xin息xi。 第十三條 機ji關guan事shi業ye單dan位wei通tong過guo互hu聯lian網wang政zheng務wu應ying用yong發fa布bu信xin息xi���,應ying當dang健jian全quan信xin息xi發fa布bu審shen核he製zhi度du��,明ming確que審shen核he程cheng序xu��,指zhi定ding機ji構gou和he在zai編bian人ren員yuan負fu責ze審shen核he工gong作zuo�,建jian立li審shen核he記ji錄lu檔dang案an���;應當確保發布信息內容的權威性����、真實性����、準確性�����、及時性和嚴肅性��,嚴禁發布違法和不良信息。 第十四條 機(ji)關(guan)事(shi)業(ye)單(dan)位(wei)通(tong)過(guo)互(hu)聯(lian)網(wang)政(zheng)務(wu)應(ying)用(yong)轉(zhuan)載(zai)信(xin)息(xi)���,應(ying)當(dang)與(yu)政(zheng)務(wu)等(deng)履(lv)行(xing)職(zhi)能(neng)的(de)活(huo)動(dong)相(xiang)關(guan)����,並(bing)評(ping)估(gu)內(nei)容(rong)的(de)真(zhen)實(shi)性(xing)和(he)客(ke)觀(guan)性(xing)。轉(zhuan)載(zai)頁(ye)麵(mian)上(shang)要(yao)準(zhun)確(que)清(qing)晰(xi)標(biao)注(zhu)轉(zhuan)載(zai)來(lai)源(yuan)網(wang)站(zhan)�����、轉載時間�、轉載鏈接等�,充分考慮圖片�、內容等知識產權保護問題。 第十五條 機關事業單位發布信息內容需要鏈接非互聯網政務應用的��,應當確認鏈接的資源與政務等履行職能的活動相關��,或屬於便民服務的範圍���;yingdangdingqijianzhalianjiedeyouxiaoxingheshiyongxing�,jishichuzhiyichanglianjie。dangzhengjiguanmenhuwangzhanyingdangcaiqujishucuoshi����,zuodaozaiyonghudianjilianjietiaozhuandaofeidangzhengjiguanwangzhanshi��,yuyimingquetishi。 第十六條 機關事業單位應當采取安全保密防控措施��,嚴禁發布國家秘密��、工作秘密����,防範互聯網政務應用數據彙聚����、關聯引發的泄密風險。應當加強對互聯網政務應用存儲����、處理����、傳輸工作秘密的保密管理。 第十七條 建設互聯網政務應用應當落實網絡安全等級保護製度和國家密碼應用管理要求����,按照有關標準規範開展定級備案�、等級測評工作�,落實安全建設整改加固措施����,防範網絡和數據安全風險。 中央和國家機關���、地市級以上地方黨政機關門戶網站��,以及承載重要業務應用的機關事業單位網站���、互聯網電子郵件係統等�����,應當符合網絡安全等級保護第三級安全保護要求。 第十八條 機ji關guan事shi業ye單dan位wei應ying當dang自zi行xing或huo者zhe委wei托tuo具ju有you相xiang應ying資zi質zhi的de第di三san方fang網wang絡luo安an全quan服fu務wu機ji構gou�,對dui互hu聯lian網wang政zheng務wu應ying用yong網wang絡luo和he數shu據ju安an全quan每mei年nian至zhi少shao進jin行xing一yi次ci安an全quan檢jian測ce評ping估gu。 互聯網政務應用係統升級�����、新增功能以及引入新技術新應用�����,應當在上線前進行安全檢測評估。 第十九條 互聯網政務應用應當設置訪問控製策略。對於麵向機關事業單位工作人員使用的功能和互聯網電子郵箱係統�,應當對接入的IP地址段或設備實施訪問限製����,確需境外訪問的��,按照白名單方式開通特定時段�、特定設備或賬號的訪問權限。 第二十條 機關事業單位應當留存互聯網政務應用相關的防火牆�、主機等設備的運行日誌�����,以及應用係統的訪問日誌��、數據庫的操作日誌��,留存時間不少於1年��,並定期對日誌進行備份�,確保日誌的完整性����、可用性。 第二十一條 機關事業單位應當按照國家��、行業領域有關數據安全和個人信息保護的要求�����,對互聯網政務應用數據進行分類分級管理����,對重要數據����、個人信息����、商業秘密進行重點保護。 第二十二條 機關事業單位通過互聯網政務應用收集的個人信息����、商業秘密和其他未公開資料���,未經信息提供方同意不得向第三方提供或公開���,不得用於履行法定職責以外的目的。 第二十三條 為互聯網政務應用提供服務的數據中心���、雲計算服務平台等應當設在境內。 第二十四條 黨(dang)政(zheng)機(ji)關(guan)建(jian)設(she)互(hu)聯(lian)網(wang)政(zheng)務(wu)應(ying)用(yong)采(cai)購(gou)雲(yun)計(ji)算(suan)服(fu)務(wu)�����,應(ying)當(dang)選(xuan)取(qu)通(tong)過(guo)國(guo)家(jia)雲(yun)計(ji)算(suan)服(fu)務(wu)安(an)全(quan)評(ping)估(gu)的(de)雲(yun)平(ping)台(tai)��,並(bing)加(jia)強(qiang)對(dui)所(suo)采(cai)購(gou)雲(yun)計(ji)算(suan)服(fu)務(wu)的(de)使(shi)用(yong)管(guan)理(li)。 第二十五條 機(ji)關(guan)事(shi)業(ye)單(dan)位(wei)委(wei)托(tuo)外(wai)包(bao)單(dan)位(wei)開(kai)展(zhan)互(hu)聯(lian)網(wang)政(zheng)務(wu)應(ying)用(yong)開(kai)發(fa)和(he)運(yun)維(wei)時(shi)�����,應(ying)當(dang)以(yi)合(he)同(tong)等(deng)手(shou)段(duan)明(ming)確(que)外(wai)包(bao)單(dan)位(wei)網(wang)絡(luo)和(he)數(shu)據(ju)安(an)全(quan)責(ze)任(ren)�����,並(bing)加(jia)強(qiang)日(ri)常(chang)監(jian)督(du)管(guan)理(li)和(he)考(kao)核(he)問(wen)責(ze)�;督促外包單位嚴格按照約定使用�、存儲�����、處理數據。未經委托的機關事業單位同意�����,外包單位不得轉包��、分包合同任務�,不得訪問���、修改�����、披露���、利用����、轉讓����、銷毀數據。 機關事業單位應當建立嚴格的授權訪問機製�����,操作係統��、數據庫���、機房等最高管理員權限必須由本單位在編人員專人負責�����,不得擅自委托外包單位人員管理使用��;應當按照最小必要原則對外包單位人員進行精細化授權����,在授權期滿後及時收回權限。 第二十六條 機關事業單位應當合理建設或利用社會化專業災備設施�����,對互聯網政務應用重要數據和信息係統等進行容災備份。 第二十七條 jiguanshiyedanweiyingdangjiaqianghulianwangzhengwuyingyongkaifaanquanguanli����,shiyongwaibudaimayingdangjingguoanquanjiance。jianliyewulianxuxingjihua�,fangfanyingongyingshangfuwubiangengdengduishengjigaizao�����、運維保障等帶來的風險。 第二十八條 互聯網政務應用使用內容分發網絡(CDN)服務的�,應當要求服務商將境內用戶的域名解析地址指向其境內節點�����,不得指向境外節點。 第二十九條 互聯網政務應用應當使用安全連接方式訪問���,涉及的電子認證服務應當由依法設立的電子政務電子認證服務機構提供。 第三十條 hulianwangzhengwuyingyongyingdangduizhuceyonghujinxingzhenshishenfenxinxirenzheng。guojiagulihulianwangzhengwuyingyongzhichiyonghushiyongguojiawangluoshenfenrenzhenggonggongfuwujinxingzhenshishenfenxinxizhuce。 對與人身財產安全����、社會公共利益等相關的互聯網政務應用和電子郵件係統����,應當采取多因素鑒別提高安全性����,采取超時退出���、限製登錄失敗次數�����、賬號與終端綁定等技術手段防範賬號被盜用風險����,鼓勵采用電子證書等身份認證措施。 第三十一條 鼓勵各地區���、各部門通過統一建設���、共享使用的模式����,建設機關事業單位專用互聯網電子郵件係統��,作為工作郵箱���,為本地區����、本行業機關事業單位提供電子郵件服務。黨政機關自建的互聯網電子郵件係統的域名應當以“.gov.cn”或“.政務”為後綴�,事業單位自建的互聯網電子郵件係統的域名應當以“.cn”或“.公益”為後綴。 機關事業單位工作人員不得使用工作郵箱違規存儲���、處理�����、傳輸���、轉發國家秘密。 第三十二條 機關事業單位應當建立工作郵箱賬號的申請�、發放����、變更���、注銷等流程��,嚴格賬號審批登記����,定期開展賬號清理。 第三十三條 機關事業單位互聯網電子郵件係統應當關閉郵件自動轉發��、自動下載附件功能。 第三十四條 機關事業單位互聯網電子郵件係統應當具備惡意郵件(含本單位內部發送的郵件)檢測攔截功能�����,對惡意郵箱賬號��、惡意郵件服務器IP以及惡意郵件主題���、正文�����、鏈接���、fujiandengjinxingjiancehelanjie。yingdangzhichidiaoyuyoujianweixieqingbaogongxiang����,jiangfaxiandediaoyuyoujianxinxibaosongzhizhuguanbumenheshudiwangxinbumen���,anzhaoyouguanbumenxiafadediaoyuyoujianweixieqingbao�,peizhixiangyingfanghucelveyuzhilanjiediaoyuyoujian。 第三十五條 鼓勵機關事業單位基於商用密碼技術對電子郵件數據的存儲進行安全保護。 第三十六條 中央網絡安全和信息化委員會辦公室會同國務院電信主管部門��、公安部門和其他有關部門���,組織對地市級以上黨政機關互聯網政務應用開展安全監測。 各地區���、各部門應當對本地區����、本行業機關事業單位互聯網政務應用開展日常監測和安全檢查。 機關事業單位應當建立完善互聯網政務應用安全監測能力���,實時監測互聯網政務應用運行狀態和網絡安全事件情況。 第三十七條 互聯網政務應用發生網絡安全事件時����,機關事業單位應當按照有關規定向相關部門報告。 第三十八條 中央網絡安全和信息化委員會辦公室統籌協調重大網絡安全事件的應急處置。 互hu聯lian網wang政zheng務wu應ying用yong發fa生sheng或huo可ke能neng發fa生sheng網wang絡luo安an全quan事shi件jian時shi�,機ji關guan事shi業ye單dan位wei應ying當dang立li即ji啟qi動dong本ben單dan位wei網wang絡luo安an全quan應ying急ji預yu案an���,及ji時shi處chu置zhi網wang絡luo安an全quan事shi件jian����,消xiao除chu安an全quan隱yin患huan����,防fang止zhi危wei害hai擴kuo大da。 第三十九條 機(ji)構(gou)編(bian)製(zhi)管(guan)理(li)部(bu)門(men)會(hui)同(tong)網(wang)信(xin)部(bu)門(men)開(kai)展(zhan)針(zhen)對(dui)假(jia)冒(mao)仿(fang)冒(mao)互(hu)聯(lian)網(wang)政(zheng)務(wu)應(ying)用(yong)的(de)掃(sao)描(miao)監(jian)測(ce)�,受(shou)理(li)相(xiang)關(guan)投(tou)訴(su)舉(ju)報(bao)。網(wang)信(xin)部(bu)門(men)會(hui)同(tong)電(dian)信(xin)主(zhu)管(guan)部(bu)門(men)��,及(ji)時(shi)對(dui)監(jian)測(ce)發(fa)現(xian)或(huo)網(wang)民(min)舉(ju)報(bao)的(de)假(jia)冒(mao)仿(fang)冒(mao)互(hu)聯(lian)網(wang)政(zheng)務(wu)應(ying)用(yong)采(cai)取(qu)停(ting)止(zhi)域(yu)名(ming)解(jie)析(xi)���、阻斷互聯網連接和下線處理等措施。公安部門負責打擊假冒仿冒互聯網政務應用相關違法犯罪活動。 第四十條 中zhong央yang網wang絡luo安an全quan和he信xin息xi化hua委wei員yuan會hui辦ban公gong室shi負fu責ze統tong籌chou協xie調tiao互hu聯lian網wang政zheng務wu應ying用yong安an全quan管guan理li工gong作zuo。中zhong央yang機ji構gou編bian製zhi管guan理li部bu門men負fu責ze互hu聯lian網wang政zheng務wu應ying用yong開kai辦ban主zhu體ti身shen份fen核he驗yan���、名稱管理和標識管理工作。國務院電信主管部門負責互聯網政務應用域名監督管理和互聯網信息服務(ICP)備案工作。國務院公安部門負責監督檢查指導互聯網政務應用網絡安全等級保護和相關安全管理工作。 各地區�����、各部門承擔本地區���、本行業機關事業單位互聯網政務應用安全管理責任��,指定一名負責人分管相關工作�����,加強對互聯網政務應用安全工作的組織領導。 第四十一條 對違反或者未能正確履行本規定相關要求的���,按照《黨委(黨組)網絡安全工作責任製實施辦法》等文件�����,依規依紀追究當事人和有關領導的責任。 第四十二條 列入關鍵信息基礎設施的互聯網門戶網站���、移動應用程序�����、公眾賬號����,以及電子郵件係統的安全管理工作�����,參照本規定有關內容執行。 第四十三條 本規定由中央網絡安全和信息化委員會辦公室�、中央機構編製委員會辦公室����、工業和信息化部�����、公安部負責解釋。
轉載請注明來源:“網信中國”微信公眾號
