2024图解四部门《互联网政务应用安全管理规定》

炼石 CipherGateway 图解中央网络安全和信息化委员会办公室、中央机构编制委员会办公室 工业和信息化部、公安部制定 《互联网政务应用安全管理规定》 炼石网络2024年5月 四部门发布《互联网政务应用安全管理规定》将于2024年7月1日起施行Cipher烁V石 中华人民共和国国家互联网信息办公室 CRCQ, 为保障互联网政务应用安全 《中华人民共和国网络安全法》 2017年6月1日起楼行 互联网政务店用安全管理现定《中华人民共和国数据安全法》 *RRGLtr91t-1 2021年9月1日起旅行 《中华人民共和国个人信息保护法》 2021年11月1日起路行 《党委（党组）网络安全工作责任制实施办法》 2017年8月15日是范行 2024年5月15日中央网络安全和信息化委员会办公室、中央制定机构编制委员会办公室、工业和信息化部、公安部公开发布 （2024年2月19日制定）），规定自2024年7月1日起施行。《互联网政务应用安全管理规定》 《互联网政务应用安全管理规定》主要内容 炼石 ClpherGetrwo) 《管理规定》共8章44条 1.总则3.信息安全 2.开办和建4.网络和5.电子邮件6.监测预整 设数据安全安全和应急处置 7.监督管理8.附则 主要包活开办和建主要包括网络和数 据安全落实网络室主要包括电子邱件 设开办网站原则、 主要包括信息安全全等级保护制度。安全互联网电子邮主要包括监测预警 域名原则、应用分信息发布原则、信每年至少进行二次件系统、建立工作和应急处置开展安 主要包括监督管理主要包括附则列入 主要包括定目的、发、证书割发、命适用范国、基本原名规定、标识规定、 测等内容网站建设规定、政 务应用开发原则、 息转载原则、链摇要全检测评估、应邮筑账号、关团部 非互联网政务应用、当设置访问控制策分邮件功能、恶意 数 采取安全保密防控略、需确保日志光邮件检测拦载、基 措案等内客整性和可用性、于商密技术保护等 全监测、网络安全非件、重大网络安全事件应急处置、假冒仿冒应用扫描 各部门落实安全责关基安全管理工作、任、依法追究相美负贵解释单位、菌责任等内客行时间等内客 变更主体或不再使 据重点保护、公开内密监测等内客 用规定等内容原则等内容 炼石整理：《互联网政务应用安全管理规定》总结构 炼石 ClpherGetrwo) 《互联网政务应用安全管理规定》 一、总则三、开办和建设五、电子邮件安全 1.制定目的 4.数据安全管理责任 5.域名原则 6.应用分发 7.证书制发 2.适用范围 8.命名规定 9.标说规定 10.网站建设规定 工政务电用开发原则 31.互联网电子邮件系统 3.基本原则12.变更主体或不再使用规定 六、监测预警和应急处置三、信息安全 32建立工作邦箱账号 33.关闭部分邦件功量 免应用 36.开展变全监测13.信息发布原则14.信息转我原则15.群接非互联网政16.取安全保密防34.再意邦件检测烂战 37.网格安全事件四、网络和数据安全35.基于商密技术保护 38重大网络安全事件应急处置17.落实网络安全等18每年至少进行19.应当设置访问控20.需消保日志完整 级保护制膜次安全检测评估制能略性和可用性八、附则 39.假冒仿目应用扫描监测 七、监督管理 21.数据重点保护22.公开原则 25.外包单位开发和 26.进行客灾备份 23.数据中心、云计 算服务平台设在境内24.采购云计算服务42列入美基安全管理工作 27.加案开发安全28.内客分发网络 43.负质费解释单位 40各部门落实安全费任管理(CDN)服务 41做法追究相关责任29.要全连接方式访问30.真实身份信息认证44.旅行时间 各级党政机关和事业单位建设运行互联网政务应用，应当遵守本规定 炼石 ClpherGetrwo 1.总则 关键本规定所称互联网政务应用，是指机关事业单位在互联网上设立的门户网 定义站，通过互联网提供公共服务的移动应用程序（含小程序）、公众账号等， 2.开办和建设以及互联网电子邮件系统。 3.信息安全 4.网络和数据安全 适用范围遵循法规落实原则技术防护保障安全 各级党政机关和建设运行互联网 5.电子邮件安全落实网络安全与采取技术措施和 事业单位（简称政务应用应当依 6.监测预督和应急机关事业单位）照有关法律、行 互联网政务应用其他必要措施，保障互联网政务 建设运行互联网 政法规的规定以 7.监督管理 政务应用，应当遵守本规定。 及国家标准的强 制性要求 8.附则 处置同步规划、同防范内容募改、应用安全稳定运 步建设同步使攻击致斑、致据行和数据安全 用原则窃取等风险 互互 各地区、各部门应当对本地区、本部门党政机关网站建设进行整体规划，推进集约化建设。烁石 1.总则 开办和建设规定规定详情 机关事业单位开办网站应当按程序完成开办市核和备案工作。一个觉政机关最多开设一个门户网站 网站开办 中央机构编制管理部门、国务院电信部门、国务院公安部门加强数留共享，优化工作流程，减少填报材料，缩短开办周期。 2.开办和建设机关事业单位开办网站，应当特运维和安全保障经营纳入预享 城名注册 个党政机关网站愿则上只注册一个中文城名和一个英文城名，城名应当以“gov.cn”或一政务”为后照，非党政机关网站不得注期使用“PoVCn或“政务”的域名 非业单位网站的哦名应当以一cn，或公量”为后照。 3.信息安全机美事业单位不得将已注开的网站域名薯自转让给其他单位或个人使用。 应用分发机关事业单位移动应用程序应当在已备案的应用程序分发平台或机关事业单位网站分发。 4.网络和数据安全 证书制发 机构编制管理留门为机关非业单位制发专民电子证书或纸质证书，机关事业单位通过应用程序分发平台分发移动应用税序，皮当尚平台运营者现供电字证书或纸质证书用手身份核验：开办微博、公众号、视频号、直插号等公众账号，应当尚平台运营者提供电子证书或纸质证书用于身份核验， 5.电子邮件安全命名规范著位置标明实体机构名移。具体命名规范由中央机构编管理部门别定。 中央机构端制管理留门为机关事业单位设置专民两上标识，非机关车业单位不得使用。 6.监测预督和应急 标识设置机关事业单位网站应当在百页底部中间位置加注网上标识。中央网络安全和信息化委员会办公室会同中央机构编制管理部门协 调应用程序分发平台以及公众联号信息服务平台，在移动虚用程序下数责面、公众账号显着位置加注网上标识。 处置 网站建设 客地区、各部门应当对本地区、本部门党政机关网站建设进行整体规划，推进集约化建设。 且级党政机关各部门以及多销党政机关原则上不单转建设网站，可利用上级党政机关网站平台开设网页、栏目、发布信息， 系统访间 7.监督管理互联网政务应用应当支持开放标准，充分考虑对用户端的莱容性，不得变求用户使用特定测费器，办公软件用户端软硬性应用开发 服务的前提条件。 8.附则主体变更互联网政务应用因固机构调整等原因需变更开办主体的，应当及时变更城名或注册备案信息。不再使用的，应当及时关闭服务， 机关事业单位应当采取安全保密防控措施 烁石 ClpherGetrwo) 1.总则 三种情形下的安全规定 情形不同情形的信息安全要求 2.开办和建设机关事业单位通过互联网政务应用发布信息，应当健全信息发布审核制度，明确审信息发布核程序，指定机构和在细人员负责审核工作，建立审核记录档案：应当确保发布信息内容的权威性、真实性、准确性、及时性和严肃性，严禁发布违法和不良信息。 3.信息安全机关事业单位通过互联网政务应用转载信息，应当与政务等履行职能的活动相关， 信息转载并评估内容的真实性和客观性。转载页面上要准确清晰标注转载来源网站、转载时 4.网络和数据安全间、转载链接等，充分考虑图片、内容等知识产权保护问题。 机关事业单位发布信息内容需要链接非互联网政务应用的，应当确认链接的资源与 链接非互联网政政务等展行职能的活动相关，或属于便民服务的范用；应当定期检查链接的有效性 5.电子邮件安全务应用和适用性，及时处置异常链接。党政机关门户网站应当采取技术措施，做到在用户 点击链接跳转到非党政机关网站时，予以明确提示。 6.监测预督和应急.................................................................... 处置关键词详情 信息安全 保密防控机关事业单位应当采取安全保密防控措施 7.监督管理 注意事项严禁发布严禁发布国家秘密、工作秘密 防范泄密防范互联网政务应用数据汇聚、关联引发的泄密风险 8.附则保密管理应当加强对互联网政务应用存储、处理、传输工作秘密的保密管理 建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求 烁石 CphirGotreg 1.总则 互联网政务保护网络和数据安全应从等级保护、安全评估、访问控制、日志备份、数据保护等维 度展开，具体如下表所示： 关键词详细内容 2.开办和建设 建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求，按照有关标准 等级保护规范开展定级备案、等级测评工作，落实安全建设整改加固措施，防范网络和数据安全风险， 3.信息安全中央和国家机关、地市级以上地方党政机关门户网站，以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等，应当符合网络安全等级保护第三级安全保护要求。 机关事业单位应当自行或者委托具有相应资质的第三方网络安全服务机构，对互联网政务应用 4.网络和数据安全安全评估网络和数据安全每年至少进行一次安全检测评估 互联网政务应用系统升级、新增功能以及引入新技术新应用，应当在上线前进行安全检测评估。 5.电子邮件安全 6.监测预警和应急 访问控制 互联网政务应用应当设置访问控制策略。对于面向机关事业单位工作人员使用的功能和互联网电子邮箱系统，应当对接入的IP地址段或设备实施访问限制，确需境外访问的，接照百名单方式开通特定时段、特定设备或账号的访问权限。 机关事业单位应当留存互联网政务应用相关的防火墙、主机等设备的运行日志，以及应用系统 处置日志备份的访问日志、数据库的操作日志，留存时间不少于1年，并定期对日志进行备份，确保日志的完整性、可用性。 数据保护 7.监督管理机关事业单位应当按照国家、行业领域有关数据安全和个人信息保护的要求，对互联网政务应用数据进行分类分级管理，对重要数据、个人信息、商业秘密进行重点保护。 8.附则数据公开 机关事业单位通过互联网政务应用收集的个人信息、商业秘密和其他未公开资料，未经信息提供方同意不得向第三方提供或公开，不得用于握行法定职责以外的目的。 Clphe 境内云计算服务使用和管理烁V石 1.总则 2.开办和建设 设在境内 为互联网政务应用提供服务的数据中心、云计算服务平台等应当设在境 3.信息安全内。 4.网络和数据安全 5.电子邮件安全党政机关建设互联网政务应用采购云计算服务 6.监测预督和应急 处置应当选取通过国家云计算服务安全评估的云平台，并加强对所采购云 计算服务的使用管理。 7.监督管理 8.附则 机关事业单位互联网政务应用开发安全要求炼石 回 1.总则回 2.开办和建设 3.信息安全 外包单位安全要求容灾备份开发安全管理 机关手业单位委托外包单位开展互联网政务机关事业单位应当合理建机关事业单位应当加强互联 应用开发和运维时，应当以合同等手段明确设或利用社会化专业灾备网政务应用开发安全管理， 4.网络和数据安全外包单位网络和数据安全责任，并加强日常设施，对互联网政务应用使用外部代码应当经过安全 监暨管理和考核问责；暂促外包单位严格按重要数据和信息系统等进检测。建立业务连续性计划， 5.电子邮件安全照约定使用、存储、处理数据。未经委托的行容灾备份。 机关事业单位同意，外包单位不得转包、分 6.监测预督和应急包合同任务，不得访问、修改、披露、利用、 防范因供应商服务变更等对升级改造、运维保障等带来 的风险。 处置转让、销