有关"小狐狸钱包是去中心化的吗"网页版/手机app介绍公告 hd 15.02-凯发旗舰厅
互联网政务应用安全管理规定。
(2024年2月19日,中央网络安全与信息化委员会办公室、中央机构编制委员会办公室、工业与信息化部、公安部制定 2024年5月15日发布)。
第一章 总则。
第一条 根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《党委(党组)网络安全责任制实施办法》,制定本规定。
第二条 各级党政机关事业单位(以下简称机关事业单位)建设经营互联网政务应用,应当遵守本规定。
本规定所称互联网政府应用,是指通过互联网提供公共服务的移动应用程序(包括小程序),是指机关事业单位在互联网上设立的门户网站、公共账号等,以及互联网电子邮件系统。
第三条 互联网政府应用的建设和运行应当按照有关法律、行政法规和国家标准的强制性要求,实施网络安全和互联网政府应用“同步规划、同步建设、同步使用”的原则,采取技术措施和其他必要措施,防止内容篡改、攻击瘫痪、数据盗窃等风险,确保互联网政府应用的安全稳定运行和数据安全。
第二章 开放和建设。
第四条 机关事业单位开设网站,应当按照程序完成审核备案工作。一个党政机关最多开一个门户网站。
中央机构编制管理部门、国务院电信部门、国务院公安部门加强数据共享,优化工作流程,减少填写材料,缩短开放周期。
机关事业单位开设网站时,应当将运维和安全保障资金纳入预算。
第五条 原则上,一个党政机关网站只注册一个中文域名和一个英文域名,域名应该是“.gov.cn”或“.以政务为后缀。非党政机关网站不得注册使用“.gov.cn”或“.政务域名。
事业单位网站的域名应当以“.cn”或“.以公益为后缀。
机关事业单位不得擅自将注册的网站域名转让给其他单位或者个人使用。
第六条 机关事业单位移动应用程序应当在备案的应用程序分发平台或者机关事业单位网站上分发。
第七条 机构编制管理部门为机关事业单位颁发专属电子证书或纸质证书。机关事业单位通过应用程序分发平台分发移动应用程序,向平台运营商提供电子证书或纸质证书进行身份验证;开立微博、官方账号、视频号、直播号等官方账号,向平台运营商提供电子证书或纸质证书进行身份验证。
第八条 互联网政府应用程序的名称优先考虑实体机构的名称和规范。使用其他名称的,原则上采用区域名和责任名称的名称,并在显著位置标明实体机构的名称。具体命名规范由中央机构编制管理部门制定。
第九条 中央机关编制管理部门为机关事业单位设置专属网上标志,非机关事业单位不得使用。
机关事业单位网站应当在凯发k8官网下载客户端主页底部中间加注网上标识。中央网络安全信息委员会办公室与中央机构编制管理部门协调应用程序分发平台和公共账户信息服务平台,在移动应用程序下载页面和公共账户的显著位置添加在线标志。
第十条 各地区、各部门要统筹规划本地区、本部门党政机关网站建设,推进集约化建设。
原则上,县级党政机关各部门和乡镇党政机关不得单独建设网站,可以利用上级党政机关网站平台开设网页、栏目和发布信息。
第十一条 互联网政府应用程序应支持开放标准,充分考虑用户端的兼容性,不要求用户访问特定的浏览器、办公软件和其他用户端的软硬件系统。
政府机关事业单位通过互联网提供公共服务,不得绑定单一的互联网平台,不得下载、安装、注册特定的互联网平台作为获取服务的前提。
第十二条 因机构调整等原因需要变更互联网政务应用主体的,应当及时变更域名或者登记备案信息。不再使用的,应及时关闭服务,完成数据归档和删除,取消域名和注册信息。
第三章 信息安全。
第十三条 机关事业单位应当通过互联网政府应用发布信息,完善信息发布审计制度,明确审计程序,指定机构和编辑负责审计工作,建立审计记录档案;确保发布信息内容的权威性、真实性、准确性、及时性和严肃性,严禁发布非法和不良信息。
第十四条 通过互联网政务应用转载信息的机关事业单位,应当与政务等履行职能的活动有关,并对内容的真实性和客观性进行评估。转载页面应准确、清晰地标记转载源网站、转载时间、转载链接等,并充分考虑图片、内容等知识产权保护问题。
第十五条 机关事业单位发布信息内容需要链接非互联网政府应用的,应当确认链接资源与政府履行职能的活动有关,或者属于便利服务的范围;定期检查链接的有效性和适用性,及时处理异常链接。党政机关门户网站应采取技术措施,在用户点击链接跳转到非党政机关网站时给出明确提示。
第十六条 机关事业单位应当采取安全保密防控措施,严禁发布国家秘密和工作秘密,防止因互联网政府应用数据收集和关联而造成的泄露风险。加强对互联网政务应用存储、处理、传输工作秘密的保密管理。
第四章 网络和数据安全。
第十七条 互联网政府应用建设应当落实网络安全等级保护制度和国家密码应用管理要求,按照有关标准和规范进行等级记录和评价,落实安全建设整改加固措施,防范网络和数据安全风险。
中央、国家机关、地方、市级以上地方党政机关门户网站、承载重要业务应用的机关事业单位网站、互联网电子邮件系统应当满足网络安全等级保护的第三级安全保护要求。
第十八条 机关事业单位应当自行或者委托具有相应资质的第三方网络安全服务机构,每年至少对互联网政府应用网络和数据安全进行一次安全检查和评估。
互联网政府应用系统的升级、新功能和新技术新应用的引入,应在上线前进行安全检测和评估。
第十九条 访问控制策略应设置在互联网政务应用中。对于机关事业单位工作人员使用的功能和互联网电子邮件系统,应对接入的ip地址段或设备实施访问限制。如果确实需要海外访问,应根据白名单打开特定时间段、特定设备或账户的访问权限。
第二十条 机关事业单位应当保留与互联网政府应用相关的防火墙、主机等设备的运行日志,以及应用系统的访问日志和数据库的运行日志。保留时间不少于1年,并定期备份,以确保日志的完整性和可用性。
第二十一条 机关事业单位应当按照国家、行业相关数据安全和个人信息保护的要求,对互联网政府应用数据进行分类管理,重点保护重要数据、个人信息和商业秘密。
第二十二条 未经信息提供者同意,机关事业单位通过互联网政务应用收集的个人信息、商业秘密等未披露信息不得向第三方提供或披露,不得用于履行法定职责以外的目的。
第二十三条 为互联网政务应用提供服务的数据中心和云计算服务平台应设在中国。
第二十四条 党政机关建设互联网政府应用采购云计算服务,应当选择通过国家云计算服务安全评估的云平台,加强采购云计算服务的使用和管理。
第二十五条 机关事业单位委托外包单位开展互联网政务应用开发、运维时,应当明确外包单位的网络和数据安全责任,加强日常监督管理和考核问责;督促外包单位严格按照约定使用、存储和处理数据。未经委托机关事业单位同意,外包单位不得分包、分包合同任务、访问、修改、披露、使用、转让、销毁数据。
机关、事业单位应当建立严格的授权访问机制。操作系统、数据库、机房等最高管理人员的权限,不得委托外包人员管理和使用;外包人员应当按照最低必要原则进行精细授权,授权期满后及时收回。
第二十六条 机关事业单位应当合理建设或者利用社会化专业灾害设施,备份互联网政府应用的重要数据和信息系统。
第二十七条 机关事业单位应当加强互联网政务应用开发的安全管理,使用外部代码进行安全检测。建立业务连续性计划,防范供应商服务变更带来的升级改造和运维保障风险。
第二十八条 互联网政务应用内容分发网络(cdn)对于服务,服务提供商应将国内用户的域名分析地址指向其国内节点,而不是海外节点。
第二十九条 互联网政务应用应通过安全连接进行访问,涉及的电子认证服务应当由依法设立的电子政务电子认证服务机构提供。
第三十条 互联网政务应用程序应认证注册用户的真实身份信息。国家鼓励互联网政府应用程序支持用户使用国家网络身份认证公共服务注册真实身份信息。
对于与人身财产安全、社会公共利益相关的互联网政府应用和电子邮件系统,应采取多因素识别,提高安全性,采取加班退出、限制登录失败、账户和终端绑定等技术手段,防止账户被盗风险,鼓励采取电子证书等身份认证措施。
第五章 电子邮件安全。
第三十一条 鼓励各地区、各部门建设专用互联网电子邮件系统作为工作邮箱,通过统一建设、共享使用的模式,为本地区、本行业的机关、事业单位提供电子邮件服务。党政机关自建的互联网电子邮件系统域名应当以“.gov.cn”或“.以政务为后缀,事业单位自建的互联网电子邮件系统域名应以“.cn”或“.以“公益”为后缀。
机关事业单位工作人员不得使用工作邮箱非法存储、处理、传输、转发国家秘密。
第三十二条 机关事业单位应当建立申请、发放、变更、注销工作邮箱账户的流程,严格审批登记账户,定期清理账户。
第三十三条 互联网电子邮件系统应关闭电子邮件自动转发和下载附件功能。
第三十四条 机关事业单位的互联网电子邮件系统应当具有检测和拦截恶意邮件(包括本单位发送的邮件)的功能,检测和拦截恶意邮件账户、恶意邮件服务器ip、恶意邮件主题、文本、链接、附件等。支持共享钓鱼邮件威胁信息,向主管部门和当地网络信息部门提交发现的钓鱼邮件信息,并根据相关部门发布的钓鱼邮件威胁信息配置相应的防护策略,预置和拦截钓鱼邮件。
第三十五条 鼓励机关事业单位基于商业密码技术安全保护电子邮件数据的存储。
第六章 监测预警和应急处置。
第三十六条 中央网络安全与信息化委员会办公室会同国务院电信主管部门、公安部门等有关部门,组织对市级以上党政机关互联网政府的应用进行安全监测。
各地区、各部门应当对本地区、本行业机关、事业单位的互联网政务应用进行日常监测和安全检查。
机关事业单位应当建立健全互联网政务应用安全监测能力,实时监测互联网政务应用运行状态和网络安全事件。
第三十七条 网络政务应用发生网络安全事件时,机关事业单位应当按照有关规定向有关部门报告。
第三十八条 中央网络安全与信息化委员会办公室协调应急处置重大网络安全事件。
机关事业单位在发生互联网政务应用或者可能发生网络安全事件时,应当立即启动本单位网络安全应急预案,及时处理网络安全事件,消除安全隐患,防止危害扩大。
第三十九条 机构编制管理部门会同网络信息部门对假冒伪劣互联网政府应用进行扫描监控,接受相关投诉和报告。网络和信息化部门会同电信主管部门,及时采取措施停止域名分析,阻断互联网连接和离线处理,监控发现或网民报告的假冒伪劣互联网政府应用。公安部门负责打击假冒伪劣互联网政务应用相关违法犯罪活动。
第七章 监督管理。
第四十条 中央网络安全与信息化委员会办公室负责互联网政务应用安全管理的协调。中央机构编制管理部门负责互联网政务应用主体的身份验证、名称管理和标识管理。负责互联网政府应用域名的监督管理和互联网信息服务的国务院电信主管部门(icp)备案工作。国务院公安部门负责对互联网政务应用网络安全等级的保护和相关安全管理进行监督检查和指导。
各地区、部门承担本地区、行业机关、事业单位互联网政府应用安全管理责任,指定负责人负责相关工作,加强对互联网政府应用安全工作的组织领导。
第四十一条 违反或者未能正确履行本规定有关要求的,按照《党委(党领导小组)网络安全责任制实施办法》等文件追究当事人和有关领导的责任。
第八章 附则。
第四十二条 互联网门户网站、移动应用程序、公共账户和电子邮件系统的安全管理,包括关键信息基础设施,参照本规定的相关内容执行。
第四十三条 本规定由中央网络安全与信息化委员会办公室、中央机构编制委员会办公室、工业与信息化部、公安部解释。
第四十四条 本规定自2024年7月1日起生效。
来源:网信中国。
