2024年互联网政务应用安全新规发布:保障网络安全与数据保护
互联网政府应用程序安全管理法规(中央网络安全和信息技术委员会办公室,中央组织和人员配备委员会办公室,工业和信息技术部以及2024年5月15日制定的公共安全部)
第1章一般规定
第1条为了确保互联网政府事务的安全,符合“中华人民共和国的网络安全法”,“中华人民共和国的数据安全法”,“人民共和国人民共和国的个人信息保护法”中国”,“政党委员会(党派)网络安全工作责任制度的实施措施”,等等,制定了这些法规。
第2条当党,政府机构和公共机构在各个层面(以下称为政府机构和公共机构)构建和运营互联网政府事务申请时,应遵守这些法规。
这些法规中提到的互联网政府申请是指由政府机构和机构在互联网上建立的门户网站,移动应用程序(包括迷你程序),公共帐户等,这些网站通过和电子邮件系统提供公共服务。
第3条:互联网政府事务申请的建设和运营应根据相关法律,行政法规和强制性要求的规定,实施“同时计划,同步建设和同步使用”的原则。国家标准,采取技术措施和其他必要措施。防止诸如篡改内容,攻击和数据盗窃等风险的措施,并确保互联网政府应用程序和数据安全的安全和稳定运行。
第2章启动和施工
第4条:在为政府机构和机构建立网站时,应根据程序完成开幕式和申请工作。政党和政府机构最多可以在一个门户网站上开放。
中央组织和人员管理部门,州议会电信部和国务院公共安全部将加强数据共享,优化工作流程,减少材料的填充并缩短启动周期。
当政府机构和公共机构打开网站时,预算应包括运营,维护和安全担保资金。
第5条原则上,一个政党和政府机构网站仅注册一个中国域名和一个英语域名,并且该域名应带有“”。或“。政府事务”。非党派和政府风琴网站不得注册和使用“”域名。或“。政府事务”。
公共机构网站的域名应加上“ .cn”或“。慈善机构”的后缀。
政府机构和机构不得将注册的网站域名转移到未经授权的情况下使用的其他单位或个人。
第6条政府机构和公共机构的移动申请应在注册的申请分销平台或政府机构和公共机构的网站上分发。
第7条组织和人员管理部门应向政府机构和机构颁发独家电子证书或纸质证书。政府机构和机构应向平台运营商提供电子证书或纸质证书以进行身份验证;如果他们打开了公共帐户,例如微博,官方帐户,视频帐户,实时广播帐户等,则将运行到平台上。该人提供了电子证书或纸质证书以进行身份验证。
第8条:互联网政府事务申请的名称优先考虑实体组织名称和标准缩写。原则上,如果使用其他名称,则应采用区域名称加上责任名称的命名方法,并应以显着位置标记实体组织的名称。具体的命名规范由中央组织和人员配备管理部提出。
第9条中央组织和人员管理部门应为政府机构和机构建立独家在线徽标,非政府机构和机构不得使用它们。
政府机构和机构的网站应在主页底部中间添加在线徽标。中央网络安全和信息技术委员会办公室与中央组织和人员配备管理部门一起协调应用程序分发平台和公共帐户信息服务平台,并在移动应用程序下载页面和公共帐户的突出位置添加了在线徽标。
第10条所有地区和部门应制定整体计划,以建设该地区和部门的政党和政府机构的建设,并促进密集建设。
原则上,县级党,政府机构和乡镇党和政府机构的各个部门不单独构建网站,而是可以使用上级政党和政府机器人的网站平台打开网页,列和发布信息。
第11条互联网政府事务申请应支持开放标准,完全考虑与用户方的兼容性,并且不应要求用户使用特定的浏览器,办公软件以及其他用户端软件和硬件系统访问。
政府机构和机构不得绑定单个互联网平台以通过互联网提供公共服务,并且不得使用用户下载,安装,注册和使用特定的互联网平台作为获得服务的先决条件。
第12条如果由于机构调整或其他原因而需要更改互联网政府事务申请,则应及时更改域名或注册信息。如果不再使用它,则应及时关闭该服务,应完成数据档案和删除,域名和注册信息应取消。
第三章信息安全
https://img0.baidu.com/it/u=890226681,3139520404&fm=253&fmt=JPEG&app=120&f=JPEG?w=1025&h=469
第13条:当政府机构和公共机构通过互联网政府事务发布信息时,它们应改善信息发布审查系统,澄清审查程序,指定机构和在职人员,以负责审查工作,并建立审核记录文件;它们应确保发布信息的权威和真实性。严格禁止发布非法和不利信息。
第14条通过互联网政府事务重印信息时,它们应与政府事务和其他活动有关,以执行其职能,并评估内容的真实性和客观性。重印页面应通过网站,重印时间,重印链接等准确标记,并完全考虑图片和内容等知识产权的保护问题。
第15条如果机构或公共机构发布信息,则有必要链接非互联网政府事务申请,它应确认链接资源与政府事务和其他活动有关,以执行职能,或属于便利服务的范围;链接的有效性和适用性应定期检查。及时处理异常链接。当用户点击链接并跳到非党派和政府机构网站时,政党和政府机构的门户网站应采取技术措施,以提供明确的提示。
第16条政府机构和机构应采取安全性和保密性预防和控制措施,并严格禁止释放国家机密和工作秘密,以防止因互联网政府申请数据的汇总和相关性引起的泄漏风险。应加强对互联网政府应用程序存储,处理和传输的秘密的机密管理。
第4章网络和数据安全
第17条应实施互联网政府事务,网络安全级别保护系统和国家密码应用程序管理要求,并应按照相关标准和规格以及整流和加强措施进行评分注册和评分评估应实施以防止网络和数据安全风险。
市中心和州机关,市政机构的门户网站,市政级别或更高的网站,以及携带重要业务应用程序,互联网电子邮件系统等的政府机构和机构的网站,应遵守第三名网络安全级别保护的级别安全保护要求。
第18条政府机构和机构应自己或委托第三方网络安全服务机构具有相应的资格,每年至少一次对政府应用程序网络和数据安全进行安全检查和评估。
升级时,应在上网之前进行安全检查和评估,添加新功能并引入互联网政府应用程序系统的新技术和新应用程序。
第19条互联网政府事务申请应制定访问控制政策。对于政府机构和机构员工使用的功能和互联网电子邮件系统,应在访问的IP地址细分市场或设备上施加访问限制。如果有必要进入海外,则应根据白名单方法激活特定的设备或帐户。权限。
第20条:政府机构和机构应保留与互联网政府申请有关的防火墙,主机和其他设备的操作日志,以及应用系统和数据库的运营日志的访问日志,并应存储不少于1年,并且应定期备份。确保日志的完整性和可用性。
第21条政府机构和机构应根据国家和行业相关的数据安全和个人信息保护的要求对政府应用程序进行分类和分类,并专注于保护重要的数据,个人信息和商业秘密。
第22条:政府机构和机构通过互联网政府事务收集的个人信息,商业秘密和其他未公开的材料,未经信息提供商的同意,不得向第三方提供或披露。法定职责。
第23条的数据中心,为互联网政府应用程序提供服务的数据中心,云计算服务平台等。
第24条当政党和政府机构构建互联网政府以购买云计算服务的应用程序时,他们应选择通过国家云计算服务安全评估的云平台,并加强对购买的云计算服务的使用和管理。
第25条当政府机构和机构委托外包单位进行互联网政府的申请开发以及运营和维护时,他们应使用合同和其他手段来澄清外包单位的网络和数据安全责任,并加强日常监督,管理,评估,评估和问责制;敦促外包单位严格遵循合同以使用,存储和处理数据。未经委托政府机构和机构的同意,外包单位不得分包或分包合同任务,也不应访问,修改,披露,利用,转移或破坏数据。
政府机构和机构应建立严格的授权访问机制,并且最高的管理人员机构,例如操作系统,数据库,计算机室等无授权;外包单位人员应按照最低必要性的原则进行。优化授权并在授权期到期后立即收回权限。
第26条政府机构和机构应合理地建立或利用社会专业灾难恢复设施,以为互联网政府事务申请进行重要数据和信息系统进行灾难恢复备份。
第27条政府机构和机构应加强互联网政府应用程序开发的安全管理,外部法规的使用应进行安全检查。制定业务连续性计划,以防止供应商服务的变化带来的风险,例如升级,转型,操作和维护保证等。
第28条如果互联网政府应用程序使用内容分销网络(CDN)服务,则应要求服务提供商将国内用户的域名分辨率地址指向其国内节点,并且不得指向海外节点。
第29条应使用安全的连接方法访问互联网政府申请,并且应由根据法律建立的电子政府电子认证服务机构提供所涉及的电子认证服务。
第30条互联网政府事务申请应通过真实身份信息为注册用户进行身份验证。国家鼓励互联网政府的应用程序支持用户使用国家网络身份身份验证公共服务注册真实身份信息。
对于与个人和财产安全,社会公共利益等相关的互联网政府应用程序和电子邮件系统,应使用多种因素来识别和改善安全性以及诸如超时注销,限制登录失败的数量和约束帐户之类的技术措施使用终端应采用以防止盗窃帐户。鼓励风险,使用身份认证措施(例如电子证书)。
第5章电子邮件安全
https://img1.baidu.com/it/u=1180136065,781547759&fm=253&fmt=JPEG&app=120&f=JPEG?w=500&h=707
鼓励所有地区和部门通过统一的建筑和共享使用模型,为政府机构和机构建立专门的互联网电子邮件系统,作为工作电子邮件地址,以向该地区和该地区的政府机构和机构提供电子邮件服务行业。政党和政府机构构建的互联网电子邮件系统的域名应带有“”。或“。政府事务”,以及由公共机构构建的互联网电子邮件系统的域名以“ .cn”或“ . ”的后缀。
政府机构和机构的工作人员不得使用工作电子邮件地址来存储,处理,传输或远期国家机密,以违反法规。
第32条政府机构和机构应建立程序,例如申请,发行,更改和取消工作电子邮件帐户,严格执行帐户批准和注册,并定期进行帐户清洁。
第33条政府机构和机构的互联网电子邮件系统应关闭附件的自动转发和自动下载。
第34条:政府机构和机构的互联网电子邮件系统应具有检测和拦截恶意电子邮件(包括单位中发送的电子邮件)的功能,并应进行恶意电子邮件帐户,恶意电子邮件服务器IPS,恶意电子邮件主题,文本,文本,链接,链接,附件等。检测和拦截。应支持网络钓鱼电子邮件威胁情报共享,发现的网络钓鱼电子邮件信息应提交主管部门和当地的互联网信息部。根据相关部门发布的网络钓鱼电子邮件威胁情报,应配置相应的保护策略以预先配置网络钓鱼电子邮件截距。
第35条:鼓励政府机构和机构根据商业密码技术保护电子邮件数据的存储。
第6章监视和预警和紧急响应
第36条中央网络安全和信息技术委员会办公室以及国务院的电信部门,公共安全部门和其他相关部门,组织了安全监控市政政党和政府机构在市政级别上的申请。
所有地区和部门均应对互联网政府在其地区和行业的政府机构申请互联网申请进行日常监控和安全检查。
政府机构和机构应建立和改善互联网政府事务申请的安全监控功能,并实时监控互联网政府事务和网络安全事件的运营状态。
第37条在互联网政府事务中发生网络安全事件时,政府机构和机构应按照相关法规向相关部门报告。
第38条中央网络安全和信息技术委员会的办公室应协调对重大网络安全事件的紧急响应。
当互联网政府事务申请发生或可能发生网络安全事件时,政府机构和机构应立即激活其网络安全紧急计划,迅速处理网络安全事件,消除安全风险并防止危险扩大。
第39条组织和人员管理部门应与互联网信息部合作,对伪造互联网政府事务申请进行扫描和监视,并接受相关的投诉和报告。互联网信息部以及电信部门将立即采取措施,例如停止域名分辨率,阻止互联网连接和网上处理网络处理,用于伪造互联网政府的应用程序,该应用程序被网民发现或报告。公共安全部门负责打击与伪造互联网政府事务有关的非法和犯罪活动。
第7章监督和管理
第40条中央网络安全和信息技术委员会的办公室负责协调互联网政府应用程序的安全管理。中央组织和人员配备管理部门负责互联网政府应用程序主体的身份验证,名称管理和识别管理。州议会电信部负责互联网政府应用程序的域名和互联网信息服务(ICP)的域名监督和管理。国务院公共安全部门负责监督,检查和指导网络安全级别保护以及互联网政府应用程序的相关安全管理。
所有地区和部门均应承担政府机构和机构在其地区和行业中的互联网政府事务申请的安全管理的责任,指定负责相关工作的负责人,并加强互联网政府事务申请安全的组织领导工作。
第41条如果当事方违反或未能正确执行这些法规的相关要求,则应根据法规和学科对当事方和相关领导人进行责任党委员会(党组组)和其他文件的工作。
第8章附件
第42条应根据这些法规的相关内容进行关键信息基础架构中的门户网站,移动应用程序,公共帐户和电子邮件系统的安全管理。
第43条:这些规定应由中央网络安全和信息技术委员会,中央组织和人员委员会办公室,工业和信息技术部以及公共安全部解释。
第44条这些规定应于2024年7月1日生效。
页:
[1]