炼石 CipherGatewoy 图解中央网络安全和信息化委员会办公室、中央机构编制委员会办公室 工业和信息化部、公安部制定 《互联网政务应用安全管理规定》 炼石网络2024年5月 四部门发布《互联网政务应用安全管理规定》将于2024年7月1日起施行Clpher炼V石 中华人民共和国国家互联网信息办公室 CACQ, 为保障互联网政务应用安全 《中华人民共和国网络安全法》 2017年6月1日起楼行 互联网政务店用安全管理规定《中华人民共和国数据安全法》 2021年9月1日起旅行 《中华人民共和国个人信息保护法》 2021年11月1日起路行 《党委(党组)网络安全工作责任制实施办法》 2017年8月15日是施行 2024年5月15日中央网络安全和信息化委员会办公室、中央制定机构编制委员会办公室、工业和信息化部、公安部公开发布 (2024年2月19日制定)),规定自2024年7月1日起施行。《互联网政务应用安全管理规定》 《互联网政务应用安全管理规定》主要内容 炼石 ClpherGelwo) 《管理规定》共8章44条 1.总则3.信息安全 2.开办和建4.网络和5.电子邮件6.监测预警 设数据安全安全和应急处置 7.监督管理8.附则 主要包括开办和建设开办网站原则、 主要包括网络和数 据安全落实网络安主要包括电子邮件 主要包括信息安全全等级保护制度、安全互联网电子邮主要包括监测预警 域名原则、应用分信息发布原则、信每年至少进行一发件系统、建立工作和应急处置开展安 主要包括监督管理主要包括附则列入 主要包括制定目的、发、证书制发、命适用范围、基本原名规定、标识规定、叫等内容网站建设规定,政 务应用开发原则、 总转靠原则、链摇安全检测评估。应邮箱账号、关闭部 非互联网政务应用、当设置访问控制策分邮件功能、恶意 采取安全保密防控略、需确保日志完郎件检测栏截、基 族等内客整性和可用性、于商密技术保护等 全监测、网络安全非件、重大网络安全事件应急处置、假冒仿冒应用扫描 各部门落实安全责关基安全管理工作、任、依法追究相美负责解择单位、蓝责任等内客行时间等内客 变更主体或不再使 用规定等内容 据重点保护、公开内密监测等内客 炼石整理:《互联网政务应用安全管理规定》总结构 炼石 ClpherGehrwo) 《互联网政务应用安全管理规定》 一、总则三、开办和建设五、电子邮件安全 1.制定目✁4.数据安全管理责任5.域名原则6.应用分发7.证书制发31.互联网电子邮件系统 2.适用范叫8.命名规定9.标识规定10.网站建设规定理务中用开发 3.基本原则12.变更主体或不再使用规定 六、监测预警和应急处置三、信息安全 36.开展安全监测13.信息发布原则14.信息转我原则15.等接非应互用联网政16.采取安全保密防 32.建立工作邮箱账号 33美团部分邮件动带 34.忍意邮件检测烂载 37.网络安全事件四、网络和数据安全35.基于商密技术保护 38.重大网络安全事件应急处置17.落实网络安全等18.每年至少进行19.应当设置访问控20.需确保日志完整 级保护制度次安全检测评估制崴略性和可用性八、附则 39.假营仿冒应用扫描直测 21.数据重点保护22.公开原则 23.致据中心、云计 算服务平台设在境内24.采购云计算服务42.列入美基安全管理工作 七、监督管理25.外包单位开发和40.各部门落实安全责任 26.进行客灾备份 27.加强开发安全28.内客分发网络 管理(CDN)服务43.负责解择单位 41.依法追究相关责任29.要全连接方式访向30.真实身份信息认证44.旅行时问 各级党政机关和事业单位建设运行互联网政务应用,应当遵守本规定 炼V石 ClpherGehrwd 1.总则 关键本规定所称互联网政务应用,是指机关事业单位在互联网上设立的门户网 定义站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等, 2.开办和建设以及互联网电子邮件系统。 3.信息安全 4.网络和数据安全 适用范围遵循法规落实原则技术防护保障安全 5.电子邮件安全 各级党政机关和建设运行互联网事业单位(简称政务应用应当依 6.监测预督和应急机关事业单位)照有关法律、行 7.监督管理 建设运行互联网 政务应用,应当 政法规的规定以及国家标准的强 8.附则 遵守本规定。 制性要求 处置 落实网络安全与 采取技术措施和 互联网政务应用 其他必要措施, 保障互联网政务 “同步规划、同 防范内容募改、 应用安全稳定运 步建设、同步使 攻击致斑、改据 行和数据安全 用原则窃取等风险 各地区、各部门应当对本地区、本部门党政机关网站建设进行整体规划,推进集约化建设 1.总则开办和建设规定规定详情 机关事业单位开办网站应当按程序完成开办市核和备案工作。一个党政机关最多开设一个门户网站 网站开办 中央机构编制管理部门、国务院电信部门、国务院公安部门加强数居共享,优化工作流程,减少填报材料,缩短开办周期。 政的名 2.开办和建设机关事业单位开办网站,应当将运性和安全保障经费纳入预 个党政机关网站愿则上只注册一个中文城名和一个英文域名,域名应当以“gov.cn”或“政务”为后照,非业政机关网站 感名注用 不得注用使用“pov.cn"或 事业单位网站的战名应当以“cn”或“公为后照。 3.信息安全机美事业单位不得将已注册的网站域名喜自转让给其他单位或个人使用。 应用分发机关事业单位移动应用程序应当在已备案的应用程序分发平台或机关非业单位网站分发。 4.网络和数据安全 证书制发 机构编制管理部门为机关主业单位制发专民电子证节或纸质证书,机关事业单位通过应用程序分发平台分发移动应用程序,皮当向平台运营者提供电子证书或纸质证书用于身份梭验;开办微博、公众号、视频号、直招号等公众账号,应当向平台运营者提供电子证书或纸质证书用于身份核验, 5.电子邮件安全命名规范著位置标明实体机构名称。具体命名规范由中央机构编制管理部门制定。 中央机构端制管理留门为机关事业单位设置专民网上标识,非机关事业单位不得使用。 6.监测预警和应急 处置 标识设置 网站建设 机关事业单位网站应当在首页底部中间位置加注网上标识。中央网络安全和信息化壶员会办公室会同中央机构编制管理部门协 调应用程序分发平台以及公众账号信息服务平台,在移动虚用程序下载页面、公众联号显著位置加注网上标识。 各地区、各部门应当对本地区、本部门党政机关网站建设进行整体规划,推进集约化建设 且级党政机关各部门以及多镇党政机关原则上不单独建设网站,可利用上级党政机关网站平台开设网页、栏目、发布信息。 应用开发系统访间 7.监督管理互联网政务应用应当支持开放标准,充分考点对用户端的兼容性,不得要求用户使用特定划遗器,办公软件等用户端软硬性机关事业单位通过互联网提供公共服务,不得那定单一互联网平台,不得将用户下载安装、注用使用特定互联网平台作为获取服务的前提条件。 8.附则主体变更互联网政务应用因机构调整等原因需变更开办主体的,应当及时变更域名或注册备案信息。不再使用的,应当及时关闭服务, 机关事业单位应当采取安全保密防控措施 烁石 ClpherGehrwo) 1.总则 三种情形下的安全规定 情形不同情形的信息安全要求 2.开办和建设机关事业单位通过互联网政务应用发布信息,应当健全信息发布审核制度,明确审信息发布核程序,指定机构和在缩人员负责审核工作,建立审核记录档案:应当确保发布信息内容的权威性、真实性、准确性、及时性和严肃性,严禁发布违法和不良信息。 3.信息安全机关事业单位通过互联网政务应用转载信息,应当与政务等履行职能的活动相关, 信息转载并评估内容的真实性和客观性。转载页面上要准确清晰标注转载来源网站、转载时 4.网络和数据安全间、转载链接等,充分考虑图片、内容等知识产权保护问题。 机关事业单位发布信息内容需要链接非互联网政务应用的,应当确认链接的资源与 链接非互联网政政务等履行职能的活动相关,或属于便民服务的范围;应当定期检查链接的有效性 5.电子邮件安全务应用和适用性,及时处置异常链接。党政机关门户网站应当采取技术措施,做到在用户 点击链接跳转到非党政机关网站时,予以明确提示。 6.监测预督和应急.................................................................... 处置关键词详情 信息安全 保密防控机关事业单位应当采取安全保密防控措施 7.监督管理 注意事项严禁发布严禁发布国家秘密、工作秘密 防范泄密防范互联网政务应用数据汇聚、关联引发的泄密风险 8.附则保密管理应当加强对互联网政务应用存储、处理、传输工作秘密的保密管理 建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求 V石 CphirGohreg 1.总则 互联网政务保护网络和数据安全应从等级保护、安全评估、访问控制、日志备份、数据保护等维 度展开,具体如下表所示: 关键词详细内容 2.开办和建设 建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求,按照有关标准 等级保护规范开展定级备案、等级测评工作,落实安全建设整改加固措施,防范网络和数据安全风险, 3.信息安全中央和国家机关、地市级以上地方党政机关门户网站,以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等,应当符合网络安全等级保护第三级安全保护要求。 机关事业单位应当自行或者委托具有相应资质的第三方网络安全服务机构,对互联网政务应用 4.网络和数据安全安全评估网络和数据安全每年至少进行一次安全检测评估 互联网政务应用系统升级、新增功能以及引入新技术新应用,应当在上线前进行安全检测评估。 5.电子邮件安全 6.监测预警和应急 访问控制 互联网政务应用应当设置访问控制策略。对于面尚机关事业单位工作人员使用的功能和互联网电子邮箱系统,应当对接入的IP地址段或设备实施访问限制,确需境外访问的,按照百名单方式开通特定时段、特定设备或账号的访问权限。 机关事业单位应当留存互联网政务应用相关的防火墙、主机等设备的运行日志,以及应用系统 处置日志备份的访问日志、数据库的操作日志,留存时间不少于1年,并定期对日志进行备份,确保日志的完整性、可用性。 数据保护 7.监督管理机关事业单位应当按照国家,行业领域有关数据安全和个人信息保护的要求,对互联网政务应用数据进行分类分级管理,对重要数据、个人信息、商业秘密进行重点保护。 8.附则数据公开 机关事业单位通过互联网政务应用收集的个人信息、商业秘密和其他未公开资料,未经信息提供方同意不得向第三方提供或公开,不得用于履行法定职责以外的目的。 Clphet 境内云计算服务使用和管理炼V石 1.总则 2.开办和建设 设在境内 为互联网政务应用提供服务的数据中心、云计算服务平台等应当设在境 3.信息安全内。 4.网络和数据安全 5.电子邮件安全党政机关建设互联网政务应用采购云计算服务 6.监测预督和应急 处置应当选取通过国家云计算服务安全评估的云平台,并加强对所采购云 计算服务的使用管理。 7.监督管理 8.附则 机关事业单位互联网政务应用开发安全要求炼石 1.总则回 2.开办和建设 3.信息安全 外包单位安全要求容灾备份开发安全管理 机关事业单位委托外包单位开展互联网政务机关事业单位应当合理建机关事业单位应当加强互联 应用开发和运维时,应当以合同等手段明确设或利用社会化专业灾备网政务应用开发安全管理, 4.网络和数据安全外包单位网络和数据安全责任,并加强日常设施,对互联网政务应用使用外部代码应当经过安全 监督管理和考核问责;督促外包单位严格按重要数据和信总系统等进检测。建立业务连续性计划, 5.电子邮件安全照约定使用、存储、处理数据。未经委托的行容灾备份。 机关事业单位同意,外包单位不得转包、分 6.监测预督和应急包合同任务,不得访问、修改、披露、利用、 防范因供应商服务变更等对