【中國法令】中央網路安全和資訊化委員會、公安部等《網際網路政務應用安全管理規定》

友善列印、收藏

中央網路安全和資訊化委員會辦公室
中央機構編制委員會辦公室
工業和資訊化部
公安部

政務應用安全管理規定

(2024年2月19日中央網路安全和資訊化委員會辦公室、中央機構編制委員會辦公室、工業和資訊化部、公安部制定 2024年5月15日發佈)

第一章 總則

第一條
為保障網際網路政務應用安全,根據《中華人民共和國網路安全法》《中華人民共和國資料安全法》《中華人民共和國個人資訊保護法》《黨委(黨組)網路安全工作責任制實施辦法》等,制定本規定。

第二條
各級黨政機關和事業單位(簡稱機關事業單位)建設運行網際網路政務應用,應當遵守本規定。
本規定所稱網際網路政務應用,是指機關事業單位在網際網路上設立的入口網站,通過網際網路提供公共服務的移動應用程式(含小程序)、公眾帳號等,以及網際網路電子郵件系統。

第三條
建設運行網際網路政務應用應當依照有關法律、行政法規的規定以及國家標準的強制性要求,落實網路安全與網際網路政務應用“同步規劃、同步建設、同步使用”原則,採取技術措施和其他必要措施,防範內容篡改、攻擊致癱、資料竊取等風險,保障網際網路政務應用安全穩定運行和資料安全。

第二章 開辦和建設

第四條
機關事業單位開辦網站應當按程序完成開辦稽核和備案工作。一個黨政機關最多開設一個入口網站。
中央機構編制管理部門、國務院電信部門、國務院公安部門加強資料共享,最佳化工作流程,減少填報材料,縮短開辦週期。
機關事業單位開辦網站,應當將維運和安全保障經費納入預算。

第五條
一個黨政機關網站原則上只註冊一個中文域名和一個英文域名,域名應當以“.gov.cn”或“.政務”為後綴。非黨政機關網站不得註冊使用“.gov.cn”或“.政務”的域名。
事業單位網站的域名應當以“.cn”或“.公益”為後綴。
機關事業單位不得將已註冊的網站域名擅自轉讓給其他單位或個人使用。

第六條
機關事業單位移動應用程式應當在已備案的應用程式分發平台或機關事業單位網站分發。

第七條
機構編制管理部門為機關事業單位制發專屬電子證書或紙質證書。機關事業單位通過應用程式分發平台分發移動應用程式,應當向平台營運者提供電子證書或紙質證書用於身份核驗;開辦微博、公眾號、視訊號、直播號等公眾帳號,應當向平台營運者提供電子證書或紙質證書用於身份核驗。

第八條
網際網路政務應用的名稱優先使用實體機構名稱、規範簡稱,使用其他名稱的,原則上採取區域名加職責名的命名方式,並在顯著位置標明實體機構名稱。具體命名規範由中央機構編制管理部門制定。

第九條
中央機構編制管理部門為機關事業單位設定專屬網上標識,非機關事業單位不得使用。
機關事業單位網站應當在首頁底部中間位置加注網上標識。中央網路安全和資訊化委員會辦公室會同中央機構編制管理部門協調應用程式分發平台以及公眾帳號資訊服務平台,在移動應用程式下載頁面、公眾帳號顯著位置加注網上標識。

第十條
各地區、各部門應當對本地區、本部門黨政機關網站建設進行整體規劃,推進集約化建設。
縣級黨政機關各部門以及鄉鎮黨政機關原則上不單獨建設網站,可利用上級黨政機關網站平台開設網頁、欄目、發佈資訊。

第十一條
網際網路政務應用應當支援開放標準,充分考慮對使用者端的相容性,不得要求使用者使用特定瀏覽器、辦公軟體等使用者端軟硬體系統訪問。
機關事業單位通過網際網路提供公共服務,不得繫結單一網際網路平台,不得將使用者下載安裝、註冊使用特定網際網路平台作為獲取服務的前提條件。

第十二條
網際網路政務應用因機構調整等原因需變更開辦主體的,應當及時變更域名或註冊備案資訊。不再使用的,應當及時關閉服務,完成資料歸檔和刪除,註銷域名和註冊備案資訊。

第三章 資訊安全

第十三條
機關事業單位通過網際網路政務應用發佈資訊,應當健全資訊發佈稽核制度,明確稽核程序,指定機構和在編人員負責稽核工作,建立稽核記錄檔案;應當確保發佈資訊內容的權威性、真實性、精準性、及時性和嚴肅性,嚴禁發佈違法和不良資訊。

第十四條
機關事業單位通過網際網路政務應用轉載資訊,應當與政務等履行職能的活動相關,並評估內容的真實性和客觀性。轉載頁面上要精準清晰標註轉載來源網站、轉載時間、轉載連結等,充分考慮圖片、內容等智慧保護問題。

第十五條
機關事業單位發佈資訊內容需要連結非網際網路政務應用的,應當確認連結的資源與政務等履行職能的活動相關,或屬於便民服務的範圍;應當定期檢查連結的有效性和適用性,及時處置異常連結。黨政機關入口網站應當採取技術措施,做到在使用者點選連結跳轉到非黨政機關網站時,予以明確提示。

第十六條
機關事業單位應當採取安全保密防控措施,嚴禁發佈國家秘密、工作秘密,防範網際網路政務應用資料匯聚、關聯引發的洩密風險。應當加強對網際網路政務應用儲存、處理、傳輸工作秘密的保密管理。

第四章 網路和資料安全

第十七條
建設網際網路政務應用應當落實網路安全等級保護制度和國家密碼應用管理要求,按照有關標準規範開展定級備案、等級測評工作,落實安全建設整改加固措施,防範網路和資料安全風險。
中央和國家機關、地市級以上地方黨政機關入口網站,以及承載重要業務應用的機關事業單位網站、網際網路電子郵件系統等,應當符合網路安全等級保護第三級安全保護要求。

第十八條
機關事業單位應當自行或者委託具有相應資質的第三方網路安全服務機構,對網際網路政務應用網路和資料安全每年至少進行一次安全檢測評估。
網際網路政務應用系統升級、新增功能以及引入新技術新應用,應當在上線前進行安全檢測評估。

第十九條
網際網路政務應用應當設定存取控制策略。對於面向機關事業單位工作人員使用的功能和網際網路電子信箱系統,應當對接入的IP地址段或裝置實施訪問限制,確需境外訪問的,按照白名單方式開通特定時段、特定裝置或帳號的存取權。

第二十條
機關事業單位應當留存網際網路政務應用相關的防火牆、主機等裝置的運行日誌,以及應用系統的訪問日誌、資料庫的操作日誌,留存時間不少於1年,並定期對日誌進行備份,確保日誌的完整性、可用性。

第二十一條
機關事業單位應當按照國家、行業領域有關資料安全和個人資訊保護的要求,對網際網路政務應用資料進行分類分級管理,對重要資料、個人資訊、商業秘密進行重點保護。

第二十二條
機關事業單位通過網際網路政務應用收集的個人資訊、商業秘密和其他未公開資料,未經資訊提供方同意不得向第三方提供或公開,不得用於履行法定職責以外的目的。

第二十三條
為網際網路政務應用提供服務的資料中心、雲端運算服務平台等應當設在境內。

第二十四條
黨政機關建設網際網路政務應用採購雲端運算服務,應當選取通過國家雲端運算服務安全評估的雲平台,並加強對改採購雲端運算服務的使用管理。

第二十五條
機關事業單位委託外包單位開展網際網路政務應用開發和維運時,應當以合同等手段明確外包單位網路和資料安全責任,並加強日常監督管理和考核問責;督促外包單位嚴格按照約定使用、儲存、處理資料。未經委託的機關事業單位同意,外包單位不得轉包、分包合同任務,不得訪問、修改、披露、利用、轉讓、銷毀資料。
機關事業單位應當建立嚴格的授權訪問機制,作業系統、資料庫、機房等最高管理員權限必須由本單位在編人員專人負責,不得擅自委託外包單位人員管理使用;應當按照最小必要原則對外包單位人員進行精細化授權,在授權期滿後及時收回權限。

第二十六條
機關事業單位應當合理建設或利用社會化專業災備設施,對網際網路政務應用重要資料和資訊系統等進行容災備份。

第二十七條
機關事業單位應當加強網際網路政務應用開發安全管理,使用外部程式碼應當經過安全檢測。建立業務連續性計畫,防範因供應商服務變更等對升級改造、維運保障等帶來的風險。

第二十八條
網際網路政務應用使用內容分發網路(CDN)服務的,應當要求服務商將境內使用者的域名解析地址指向其境內節點,不得指向境外節點。

第二十九條
網際網路政務應用應當使用安全連接方式訪問,涉及的電子認證服務應當由依法設立的電子政務電子認證服務機構提供。

第三十條
網際網路政務應用應當對註冊使用者進行真實身份資訊認證。國家鼓勵網際網路政務應用支援使用者使用國家網路身份認證公共服務進行真實身份資訊註冊。
對與人身財產安全、社會公共利益等相關的網際網路政務應用和電子郵件系統,應當採取多因素鑑別提高安全性,採取超時退出、限制登錄失敗次數、帳號與終端繫結等技術手段防範帳號被盜用風險,鼓勵採用電子證書等身份認證措施。

第五章 電子郵件安全

第三十一條
鼓勵各地區、各部門通過統一建設、共享使用的模式,建設機關事業單位專用網際網路電子郵件系統,作為工作信箱,為本地區、本行業機關事業單位提供電子郵件服務。黨政機關自建的網際網路電子郵件系統的域名應當以“.gov.cn”或“.政務”為後綴,事業單位自建的網際網路電子郵件系統的域名應當以“.cn”或“.公益”為後綴。
機關事業單位工作人員不得使用工作信箱違規儲存、處理、傳輸、轉發國家秘密。

第三十二條
機關事業單位應當建立工作信箱帳號的申請、發放、變更、註銷等流程,嚴格帳號審批登記,定期開展帳號清理。

第三十三條
機關事業單位網際網路電子郵件系統應當關閉郵件自動轉發、自動下載附件功能。

第三十四條
機關事業單位網際網路電子郵件系統應當具備惡意郵件(含本單位內部傳送的郵件)檢測攔截功能,對惡意信箱帳號、惡意郵件伺服器IP以及惡意郵件主題、正文、連結、附件等進行檢測和攔截。應當支援釣魚郵件威脅情報共享,將發現的釣魚郵件資訊報送至主管部門和屬地網信部門,按照有關部門下發的釣魚郵件威脅情報,組態相應防護策略預置攔截釣魚郵件。

第三十五條
鼓勵機關事業單位基於商用密碼技術對電子郵件資料的儲存進行安全保護。

第六章 監測預警和應急處置

第三十六條
中央網路安全和資訊化委員會辦公室會同國務院電信主管部門、公安部門和其他有關部門,組織對地市級以上黨政機關網際網路政務應用開展安全監測。
各地區、各部門應當對本地區、本行業機關事業單位網際網路政務應用開展日常監測和安全檢查。
機關事業單位應當建立完善網際網路政務應用安全監測能力,即時監測網際網路政務應用運行狀態和網路安全事件情況。

第三十七條
網際網路政務應用發生網路安全事件時,機關事業單位應當按照有關規定向相關部門報告。

第三十八條
中央網路安全和資訊化委員會辦公室統籌協調重大網路安全事件的應急處置。
網際網路政務應用發生或可能發生網路安全事件時,機關事業單位應當立即啟動本單位網路安全應急預案,及時處置網路安全事件,消除安全隱患,防止危害擴大。

第三十九條
機構編制管理部門會同網信部門開展針對假冒網際網路政務應用的掃描監測,受理相關投訴舉報。網信部門會同電信主管部門,及時對監測發現或網民舉報的假冒仿冒網際網路政務應用採取停止域名解析、阻斷網際網路連接和下線處理等措施。公安部門負責打擊假冒仿冒網際網路政務應用相關違法犯罪活動。

第七章 監督管理

第四十條
中央網路安全和資訊化委員會辦公室負責統籌協調網際網路政務應用安全管理工作。中央機構編制管理部門負責網際網路政務應用開辦主體身份核驗、名稱管理和標識管理工作。國務院電信主管部門負責網際網路政務應用域名監督管理和網際網路資訊服務(ICP)備案工作。國務院公安部門負責監督檢查指導網際網路政務應用網路安全等級保護和相關安全管理工作。
各地區、各部門承擔本地區、本行業機關事業單位網際網路政務應用安全管理責任,指定一名負責人分管相關工作,加強對網際網路政務應用安全工作的組織領導。

第四十一條
對違反或者未能正確履行本規定相關要求的,按照《黨委(黨組)網路安全工作責任制實施辦法》等檔案,依規依紀追究當事人和有關領導的責任。

第八章 附則

第四十二條
列入關鍵資訊基礎設施的網際網路入口網站、移動應用程式、公眾帳號,以及電子郵件系統的安全管理工作,參照本規定有關內容執行。

第四十三條
本規定由中央網路安全和資訊化委員會辦公室、中央機構編制委員會辦公室、工業和資訊化部、公安部負責解釋。

第四十四條
本規定自2024年7月1日起施行。

https://www.cac.gov.cn/2024-05/22/c_1718054910848581.htm




分享出去: