互联网政务运用安全办理规则

　　（2024年2月19日中心网络安全和信息化委员会作业室、中心安排编制委员会作业室、工业和信息化部、公安部拟定　2024年5月15日发布）

第一章 总则

　　第一条 为保证互联网政务运用安全，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息维护法》《党委（党组）网络安全作业职责制实施办法》等，拟定本规则。第二条 各级党政机关和事业单位（简称机关事业单位）建造运转互联网政务运用，应当恪守本规则。　　本规则所称互联网政务运用，是指机关事业单位在互联网上树立的门户网站，经过互联网供给公共服务的移动运用程序（含小程序）、大众账号等，以及互联网电子邮件体系。　　第三条 建造运转互联网政务运用应当依照有关法令、行政法规的规则以及国家规范的强制性要求，履行网络安全与互联网政务运用“同步规划、同步建造、同步运用”准则，采纳技能办法和其他必要办法，防备内容篡改、进犯致瘫、数据盗取等危险，保证互联网政务运用安全安稳运转和数据安全。第二章 开办和建造　　第四条 机关事业单位开办网站应当按程序完结开办审阅和存案作业。一个党政机关最多开设一个门户网站。　　中心安排编制办理部分、国务院电信部分、国务院公安部分加强数据同享，优化作业流程，削减填写材料，缩短开办周期。　　机关事业单位开办网站，应当将运维和安全保证经费归入预算。　　第五条 一个党政机关网站准则上只注册一个中文域名和一个英文域名，域名应当以“.gov.cn”或“.政务”为后缀。非党政机关网站不得注册运用“.gov.cn”或“.政务”的域名。　　事业单位网站的域名应当以“.cn”或“.公益”为后缀。　　机关事业单位不得将已注册的网站域名私行转让给其他单位或个人运用。　　第六条 机关事业单位移动运用程序应当在已存案的运用程序分发渠道或机关事业单位网站分发。　　第七条 安排编制办理部分为机关事业单位制发专属电子证书或纸质证书。机关事业单位经过运用程序分发渠道分发移动运用程序，应当向渠道运营者供给电子证书或纸质证书用于身份核验；开办微博、大众号、视频号、直播号等大众账号，应当向渠道运营者供给电子证书或纸质证书用于身份核验。　　第八条 互联网政务运用的称号优先运用实体安排称号、规范简称，运用其他称号的，准则上采纳区域名加职责名的命名方法，并在明显方位标明实体安排称号。详细命名规范由中心安排编制办理部分拟定。　　第九条 中心安排编制办理部分为机关事业单位设置专属网上标识，非机关事业单位不得运用。　　机关事业单位网站应当在主页底部中心方位加注网上标识。中心网络安全和信息化委员会作业室会同中心安排编制办理部分和谐运用程序分发渠道以及大众账号信息服务渠道，在移动运用程序下载页面、大众账号明显方位加注网上标识。　　第十条 各区域、各部分应当对本区域、本部分党政机关网站建造进行整体规划，推动集约化建造。　　县级党政机关各部分以及城镇党政机关准则上不独自建造网站，可运用上级党政机关网站渠道开设网页、栏目、发布信息。　　第十一条 互联网政务运用应当支撑敞开规范，充分考虑对用户端的兼容性，不得要求用户运用特定浏览器、作业软件等用户端软硬件体系拜访。　　机关事业单位经过互联网供给公共服务，不得绑定单一互联网渠道，不得将用户下载安装、注册运用特定互联网渠道作为获取服务的前提条件。　　第十二条 互联网政务运用因安排调整等原因需改变开办主体的，应当及时改变域名或注册存案信息。不再运用的，应当及时封闭服务，完结数据归档和删去，刊出域名和注册存案信息。第三章 信息安全　　第十三条 机关事业单位经过互联网政务运用发布信息，应当健全信息发布审阅准则，明晰审阅程序，指定安排和在编人员担任审阅作业，树立审阅记载档案；应当保证发布信息内容的权威性、实在性、精确性、及时性和严肃性，禁止发布违法和不良信息。　　第十四条 机关事业单位经过互联网政务运用转载信息，应当与政务等实行功用的活动相关，并评价内容的实在性和客观性。转载页面上要精确明晰标示转载来历网站、转载时刻、转载链接等，充分考虑图片、内容等知识产权维护问题。　　第十五条 机关事业单位发布信息内容需求链接非互联网政务运用的，应当承认链接的资源与政务等实行功用的活动相关，或归于便民服务的规模；应当定时查看链接的有效性和适用性，及时处置反常链接。党政机关门户网站应当采纳技能办法，做到在用户点击链接跳转到非党政机关网站时，予以明晰提示。　　第十六条 机关事业单位应当采纳安全保密防控办法，禁止发布国家隐秘、作业隐秘，防备互联网政务运用数据会聚、相关引发的泄密危险。应当加强对互联网政务运用存储、处理、传输作业隐秘的保密办理。第四章 网络和数据安全　　第十七条 建造互联网政务运用应当履行网络安全等级维护准则和国家暗码运用办理要求，依照有关规范规范展开定级存案、等级测评作业，履行安全建造整改加固办法，防备网络和数据安全危险。　　中心和国家机关、地市级以上当地党政机关门户网站，以及承载重要事务运用的机关事业单位网站、互联网电子邮件体系等，应当契合网络安全等级维护第三级安全维护要求。　　第十八条 机关事业单位应当自行或许托付具有相应资质的第三方网络安全服务安排，对互联网政务运用网络和数据安全每年至少进行一次安全检测评价。　　互联网政务运用体系晋级、新增功用以及引进新技能新运用，应当在上线前进行安全检测评价。　　第十九条 互联网政务运用应当设置拜访操控战略。关于面向机关事业单位作业人员运用的功用和互联网电子邮箱体系，应当对接入的IP地址段或设备实施拜访约束，确需境外拜访的，依照白名单方法注册特定时段、特定设备或账号的拜访权限。　　第二十条 机关事业单位应当留存互联网政务运用相关的防火墙、主机等设备的运转日志，以及运用体系的拜访日志、数据库的操作日志，留存时刻不少于1年，并定时对日志进行备份，保证日志的完整性、可用性。　　第二十一条 机关事业单位应当依照国家、职业范畴有关数据安全和个人信息维护的要求，对互联网政务运用数据进行分类分级办理，对重要数据、个人信息、商业隐秘进行重点维护。　　第二十二条 机关事业单位经过互联网政务运用搜集的个人信息、商业隐秘和其他未揭露材料，未经信息供给方赞同不得向第三方供给或揭露，不得用于实行法定职责以外的意图。　　第二十三条 为互联网政务运用供给服务的数据中心、云核算服务渠道等应当设在境内。　　第二十四条 党政机关建造互联网政务运用收购云核算服务，应当选取经过国家云核算服务安全评价的云渠道，并加强对所收购云核算服务的运用办理。　　第二十五条 机关事业单位托付外包单位展开互联网政务运用开发和运维时，应当以合平等手法明晰外包单位网络和数据安全职责，并加强日常监督办理和查核问责；催促外包单位严厉依照约好运用、存储、处理数据。未经托付的机关事业单位赞同，外包单位不得转包、分包合同使命，不得拜访、修正、发表、运用、转让、毁掉数据。　　机关事业单位应当树立严厉的授权拜访机制，操作体系、数据库、机房等最高办理员权限必须由本单位在编人员专人担任，不得私行托付外包单位人员办理运用；应当依照最小必要准则对外包单位人员进行精细化授权，在授权期满后及时回收权限。　　第二十六条 机关事业单位应当合理建造或运用社会化专业灾备设备，对互联网政务运用重要数据和信息体系等进行容灾备份。　　第二十七条 机关事业单位应当加强互联网政务运用开发安全办理，运用外部代码应当经过安全检测。树立事务连续性方案，防备因供货商服务改变等对晋级改造、运维保证等带来的危险。　　第二十八条 互联网政务运用运用内容分发网络（CDN）服务的，应当要求服务商将境内用户的域名解析地址指向其境内节点，不得指向境外节点。　　第二十九条 互联网政务运用应当运用安全衔接方法拜访，触及的电子认证服务应当由依法树立的电子政务电子认证服务安排供给。　　第三十条 互联网政务运用应当对注册用户进行实在身份信息认证。国家鼓舞互联网政务运用支撑用户运用国家网络身份认证公共服务进行实在身份信息注册。　　对与人身产业安全、社会公共利益等相关的互联网政务运用和电子邮件体系，应当采纳多要素辨别进步安全性，采纳超时退出、约束登录失利次数、账号与终端绑定等技能手法防备账号被盗用危险，鼓舞选用电子证书等身份认证办法。第五章 电子邮件安全　　第三十一条 鼓舞各区域、各部分经过一致建造、同享运用的形式，建造机关事业单位专用互联网电子邮件体系，作为作业邮箱，为本区域、本职业机关事业单位供给电子邮件服务。党政机关自建的互联网电子邮件体系的域名应当以“.gov.cn”或“.政务”为后缀，事业单位自建的互联网电子邮件体系的域名应当以“.cn”或“.公益”为后缀。　　机关事业单位作业人员不得运用作业邮箱违规存储、处理、传输、转发国家隐秘。　　第三十二条 机关事业单位应当树立作业邮箱账号的请求、发放、改变、刊出等流程，严厉账号批阅挂号，定时展开账号整理。　　第三十三条 机关事业单位互联网电子邮件体系应当封闭邮件主动转发、主动下载附件功用。　　第三十四条 机关事业单位互联网电子邮件体系应当具有歹意邮件（含本单位内部发送的邮件）检测阻拦功用，对歹意邮箱账号、歹意邮件服务器IP以及歹意邮件主题、正文、链接、附件等进行检测和阻拦。应当支撑垂钓邮件要挟情报同享，将发现的垂钓邮件信息报送至主管部分和属地网信部分，依照有关部分下发的垂钓邮件要挟情报，装备相应防护战略预置阻拦垂钓邮件。　　第三十五条 鼓舞机关事业单位根据商用暗码技能对电子邮件数据的存储进行安全维护。第六章 监测预警和应急处置　　第三十六条 中心网络安全和信息化委员会作业室会同国务院电信主管部分、公安部分和其他有关部分，安排对地市级以上党政机关互联网政务运用展开安全监测。　　各区域、各部分应当对本区域、本职业机关事业单位互联网政务运用展开日常监测和安全查看。　　机关事业单位应当树立完善互联网政务运用安全监测才能，实时监测互联网政务运用运转状况和网络安全事情状况。　　第三十七条 互联网政务运用产生网络安全事情时，机关事业单位应当依照有关规则向相关部分陈述。　　第三十八条 中心网络安全和信息化委员会作业室统筹和谐严重网络安全事情的应急处置。　　互联网政务运用产生或可能产生网络安全事情时，机关事业单位应当当即发动本单位网络安全应急预案，及时处置网络安全事情，消除安全隐患，避免损害扩展。　　第三十九条 安排编制办理部分会同网信部分展开针对冒充仿冒互联网政务运用的扫描监测，受理相关投诉告发。网信部分会同电信主管部分，及时对监测发现或网民告发的冒充仿冒互联网政务运用采纳中止域名解析、阻断互联网衔接和下线处理等办法。公安部分担任冲击冒充仿冒互联网政务运用相关违法犯罪活动。第七章 监督办理　　第四十条 中心网络安全和信息化委员会作业室担任统筹和谐互联网政务运用安全办理作业。中心安排编制办理部分担任互联网政务运用开办主体身份核验、称号办理和标识办理作业。国务院电信主管部分担任互联网政务运用域名监督办理和互联网信息服务（ICP）存案作业。国务院公安部分担任监督查看指导互联网政务运用网络安全等级维护和相关安全办理作业。　　各区域、各部分承当本区域、本职业机关事业单位互联网政务运用安全办理职责，指定一名担任人分担相关作业，加强对互联网政务运用安全作业的安排领导。　　第四十一条 对违背或许未能正确实行本规则相关要求的，依照《党委（党组）网络安全作业职责制实施办法》等文件，依规依纪追查当事人和有关领导的职责。第八章 附则　　第四十二条 列入要害信息基础设备的互联网门户网站、移动运用程序、大众账号，以及电子邮件体系的安全办理作业，参照本规则有关内容履行。　　第四十三条 本规则由中心网络安全和信息化委员会作业室、中心安排编制委员会作业室、工业和信息化部、公安部担任解说。　　第四十四条 本规则自2024年7月1日起实施。