【發(fā)布單位】中央網(wǎng)信辦等

【發(fā)布文號】-----------

【發(fā)布日期】2024-05-15

【生效日期】2024-07-01

【失效日期】-----------

【所屬類別】國家法律法規(guī)

【文件來源】中國政府網(wǎng)

互聯(lián)網(wǎng)政務應用安全管理規(guī)定

（2024年2月19日中央網(wǎng)絡安全和信息化委員會辦公室,、中央機構(gòu)編制委員會辦公室、工業(yè)和信息化部,、公安部制定,，2024年5月15日發(fā)布）

第一章總則

第一條為保障互聯(lián)網(wǎng)政務應用安全，根據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《黨委（黨組）網(wǎng)絡安全工作責任制實施辦法》等,，制定本規(guī)定,。

第二條各級黨政機關和事業(yè)單位（簡稱機關事業(yè)單位）建設運行互聯(lián)網(wǎng)政務應用，應當遵守本規(guī)定,。

本規(guī)定所稱互聯(lián)網(wǎng)政務應用,，是指機關事業(yè)單位在互聯(lián)網(wǎng)上設立的門戶網(wǎng)站，通過互聯(lián)網(wǎng)提供公共服務的移動應用程序（含小程序）,、公眾賬號等,，以及互聯(lián)網(wǎng)電子郵件系統(tǒng)。

第三條建設運行互聯(lián)網(wǎng)政務應用應當依照有關法律,、行政法規(guī)的規(guī)定以及國家標準的強制性要求,，落實網(wǎng)絡安全與互聯(lián)網(wǎng)政務應用“同步規(guī)劃,、同步建設,、同步使用”原則，采取技術(shù)措施和其他必要措施,，防范內(nèi)容篡改,、攻擊致癱、數(shù)據(jù)竊取等風險,，保障互聯(lián)網(wǎng)政務應用安全穩(wěn)定運行和數(shù)據(jù)安全,。

第二章開辦和建設

第四條機關事業(yè)單位開辦網(wǎng)站應當按程序完成開辦審核和備案工作。一個黨政機關最多開設一個門戶網(wǎng)站,。

中央機構(gòu)編制管理部門,、國務院電信部門、國務院公安部門加強數(shù)據(jù)共享,，優(yōu)化工作流程,，減少填報材料，縮短開辦周期,。

機關事業(yè)單位開辦網(wǎng)站,，應當將運維和安全保障經(jīng)費納入預算。

第五條一個黨政機關網(wǎng)站原則上只注冊一個中文域名和一個英文域名,，域名應當以“.gov.cn”或“.政務”為后綴,。非黨政機關網(wǎng)站不得注冊使用“.gov.cn”或“.政務”的域名。

事業(yè)單位網(wǎng)站的域名應當以“.cn”或“.公益”為后綴,。

機關事業(yè)單位不得將已注冊的網(wǎng)站域名擅自轉(zhuǎn)讓給其他單位或個人使用,。

第六條機關事業(yè)單位移動應用程序應當在已備案的應用程序分發(fā)平臺或機關事業(yè)單位網(wǎng)站分發(fā),。

第七條機構(gòu)編制管理部門為機關事業(yè)單位制發(fā)專屬電子證書或紙質(zhì)證書。機關事業(yè)單位通過應用程序分發(fā)平臺分發(fā)移動應用程序,，應當向平臺運營者提供電子證書或紙質(zhì)證書用于身份核驗,；開辦微博、公眾號,、視頻號,、直播號等公眾賬號，應當向平臺運營者提供電子證書或紙質(zhì)證書用于身份核驗,。

第八條互聯(lián)網(wǎng)政務應用的名稱優(yōu)先使用實體機構(gòu)名稱,、規(guī)范簡稱，使用其他名稱的,，原則上采取區(qū)域名加職責名的命名方式,，并在顯著位置標明實體機構(gòu)名稱。具體命名規(guī)范由中央機構(gòu)編制管理部門制定,。

第九條中央機構(gòu)編制管理部門為機關事業(yè)單位設置專屬網(wǎng)上標識,，非機關事業(yè)單位不得使用。

機關事業(yè)單位網(wǎng)站應當在首頁底部中間位置加注網(wǎng)上標識,。中央網(wǎng)絡安全和信息化委員會辦公室會同中央機構(gòu)編制管理部門協(xié)調(diào)應用程序分發(fā)平臺以及公眾賬號信息服務平臺,，在移動應用程序下載頁面、公眾賬號顯著位置加注網(wǎng)上標識,。

第十條各地區(qū),、各部門應當對本地區(qū)、本部門黨政機關網(wǎng)站建設進行整體規(guī)劃,，推進集約化建設,。

縣級黨政機關各部門以及鄉(xiāng)鎮(zhèn)黨政機關原則上不單獨建設網(wǎng)站，可利用上級黨政機關網(wǎng)站平臺開設網(wǎng)頁,、欄目,、發(fā)布信息。

第十一條互聯(lián)網(wǎng)政務應用應當支持開放標準,，充分考慮對用戶端的兼容性,，不得要求用戶使用特定瀏覽器、辦公軟件等用戶端軟硬件系統(tǒng)訪問,。

機關事業(yè)單位通過互聯(lián)網(wǎng)提供公共服務,，不得綁定單一互聯(lián)網(wǎng)平臺，不得將用戶下載安裝,、注冊使用特定互聯(lián)網(wǎng)平臺作為獲取服務的前提條件,。

第十二條互聯(lián)網(wǎng)政務應用因機構(gòu)調(diào)整等原因需變更開辦主體的，應當及時變更域名或注冊備案信息,。不再使用的,，應當及時關閉服務,，完成數(shù)據(jù)歸檔和刪除，注銷域名和注冊備案信息,。

第三章信息安全

第十三條機關事業(yè)單位通過互聯(lián)網(wǎng)政務應用發(fā)布信息,，應當健全信息發(fā)布審核制度，明確審核程序,，指定機構(gòu)和在編人員負責審核工作,，建立審核記錄檔案；應當確保發(fā)布信息內(nèi)容的權(quán)威性,、真實性,、準確性、及時性和嚴肅性,，嚴禁發(fā)布違法和不良信息,。

第十四條機關事業(yè)單位通過互聯(lián)網(wǎng)政務應用轉(zhuǎn)載信息，應當與政務等履行職能的活動相關,，并評估內(nèi)容的真實性和客觀性,。轉(zhuǎn)載頁面上要準確清晰標注轉(zhuǎn)載來源網(wǎng)站、轉(zhuǎn)載時間,、轉(zhuǎn)載鏈接等,，充分考慮圖片、內(nèi)容等知識產(chǎn)權(quán)保護問題,。

第十五條機關事業(yè)單位發(fā)布信息內(nèi)容需要鏈接非互聯(lián)網(wǎng)政務應用的,，應當確認鏈接的資源與政務等履行職能的活動相關,，或?qū)儆诒忝穹盏姆秶?；應當定期檢查鏈接的有效性和適用性，及時處置異常鏈接,。黨政機關門戶網(wǎng)站應當采取技術(shù)措施,，做到在用戶點擊鏈接跳轉(zhuǎn)到非黨政機關網(wǎng)站時，予以明確提示,。

第十六條機關事業(yè)單位應當采取安全保密防控措施,，嚴禁發(fā)布國家秘密、工作秘密,，防范互聯(lián)網(wǎng)政務應用數(shù)據(jù)匯聚,、關聯(lián)引發(fā)的泄密風險。應當加強對互聯(lián)網(wǎng)政務應用存儲,、處理,、傳輸工作秘密的保密管理。

第四章網(wǎng)絡和數(shù)據(jù)安全

第十七條建設互聯(lián)網(wǎng)政務應用應當落實網(wǎng)絡安全等級保護制度和國家密碼應用管理要求,，按照有關標準規(guī)范開展定級備案,、等級測評工作,，落實安全建設整改加固措施，防范網(wǎng)絡和數(shù)據(jù)安全風險,。

中央和國家機關,、地市級以上地方黨政機關門戶網(wǎng)站，以及承載重要業(yè)務應用的機關事業(yè)單位網(wǎng)站,、互聯(lián)網(wǎng)電子郵件系統(tǒng)等,，應當符合網(wǎng)絡安全等級保護第三級安全保護要求。

第十八條機關事業(yè)單位應當自行或者委托具有相應資質(zhì)的第三方網(wǎng)絡安全服務機構(gòu),，對互聯(lián)網(wǎng)政務應用網(wǎng)絡和數(shù)據(jù)安全每年至少進行一次安全檢測評估,。

互聯(lián)網(wǎng)政務應用系統(tǒng)升級、新增功能以及引入新技術(shù)新應用,，應當在上線前進行安全檢測評估,。

第十九條互聯(lián)網(wǎng)政務應用應當設置訪問控制策略。對于面向機關事業(yè)單位工作人員使用的功能和互聯(lián)網(wǎng)電子郵箱系統(tǒng),，應當對接入的IP地址段或設備實施訪問限制,，確需境外訪問的，按照白名單方式開通特定時段,、特定設備或賬號的訪問權(quán)限,。

第二十條機關事業(yè)單位應當留存互聯(lián)網(wǎng)政務應用相關的防火墻、主機等設備的運行日志,，以及應用系統(tǒng)的訪問日志,、數(shù)據(jù)庫的操作日志，留存時間不少于1年,，并定期對日志進行備份,，確保日志的完整性、可用性,。

第二十一條機關事業(yè)單位應當按照國家,、行業(yè)領域有關數(shù)據(jù)安全和個人信息保護的要求，對互聯(lián)網(wǎng)政務應用數(shù)據(jù)進行分類分級管理,，對重要數(shù)據(jù),、個人信息、商業(yè)秘密進行重點保護,。

第二十二條機關事業(yè)單位通過互聯(lián)網(wǎng)政務應用收集的個人信息,、商業(yè)秘密和其他未公開資料，未經(jīng)信息提供方同意不得向第三方提供或公開,，不得用于履行法定職責以外的目的,。

第二十三條為互聯(lián)網(wǎng)政務應用提供服務的數(shù)據(jù)中心、云計算服務平臺等應當設在境內(nèi)。

第二十四條黨政機關建設互聯(lián)網(wǎng)政務應用采購云計算服務,，應當選取通過國家云計算服務安全評估的云平臺,，并加強對所采購云計算服務的使用管理。

第二十五條機關事業(yè)單位委托外包單位開展互聯(lián)網(wǎng)政務應用開發(fā)和運維時,，應當以合同等手段明確外包單位網(wǎng)絡和數(shù)據(jù)安全責任,，并加強日常監(jiān)督管理和考核問責；督促外包單位嚴格按照約定使用,、存儲,、處理數(shù)據(jù)。未經(jīng)委托的機關事業(yè)單位同意,，外包單位不得轉(zhuǎn)包,、分包合同任務，不得訪問,、修改,、披露、利用,、轉(zhuǎn)讓,、銷毀數(shù)據(jù)。

機關事業(yè)單位應當建立嚴格的授權(quán)訪問機制,，操作系統(tǒng),、數(shù)據(jù)庫、機房等最高管理員權(quán)限必須由本單位在編人員專人負責,，不得擅自委托外包單位人員管理使用,；應當按照最小必要原則對外包單位人員進行精細化授權(quán)，在授權(quán)期滿后及時收回權(quán)限,。

第二十六條機關事業(yè)單位應當合理建設或利用社會化專業(yè)災備設施,，對互聯(lián)網(wǎng)政務應用重要數(shù)據(jù)和信息系統(tǒng)等進行容災備份。

第二十七條機關事業(yè)單位應當加強互聯(lián)網(wǎng)政務應用開發(fā)安全管理,，使用外部代碼應當經(jīng)過安全檢測,。建立業(yè)務連續(xù)性計劃，防范因供應商服務變更等對升級改造,、運維保障等帶來的風險。

第二十八條互聯(lián)網(wǎng)政務應用使用內(nèi)容分發(fā)網(wǎng)絡(CDN)服務的,，應當要求服務商將境內(nèi)用戶的域名解析地址指向其境內(nèi)節(jié)點,，不得指向境外節(jié)點。

第二十九條互聯(lián)網(wǎng)政務應用應當使用安全連接方式訪問,，涉及的電子認證服務應當由依法設立的電子政務電子認證服務機構(gòu)提供,。

第三十條互聯(lián)網(wǎng)政務應用應當對注冊用戶進行真實身份信息認證。國家鼓勵互聯(lián)網(wǎng)政務應用支持用戶使用國家網(wǎng)絡身份認證公共服務進行真實身份信息注冊。

對與人身財產(chǎn)安全,、社會公共利益等相關的互聯(lián)網(wǎng)政務應用和電子郵件系統(tǒng),，應當采取多因素鑒別提高安全性，采取超時退出,、限制登錄失敗次數(shù),、賬號與終端綁定等技術(shù)手段防范賬號被盜用風險，鼓勵采用電子證書等身份認證措施,。

第五章電子郵件安全

第三十一條鼓勵各地區(qū),、各部門通過統(tǒng)一建設、共享使用的模式,，建設機關事業(yè)單位專用互聯(lián)網(wǎng)電子郵件系統(tǒng),，作為工作郵箱，為本地區(qū),、本行業(yè)機關事業(yè)單位提供電子郵件服務,。黨政機關自建的互聯(lián)網(wǎng)電子郵件系統(tǒng)的域名應當以“.gov.cn”或“.政務”為后綴，事業(yè)單位自建的互聯(lián)網(wǎng)電子郵件系統(tǒng)的域名應當以“.cn”或“.公益”為后綴,。

機關事業(yè)單位工作人員不得使用工作郵箱違規(guī)存儲,、處理、傳輸,、轉(zhuǎn)發(fā)國家秘密,。

第三十二條機關事業(yè)單位應當建立工作郵箱賬號的申請、發(fā)放,、變更,、注銷等流程，嚴格賬號審批登記,，定期開展賬號清理,。

第三十三條機關事業(yè)單位互聯(lián)網(wǎng)電子郵件系統(tǒng)應當關閉郵件自動轉(zhuǎn)發(fā)、自動下載附件功能,。

第三十四條機關事業(yè)單位互聯(lián)網(wǎng)電子郵件系統(tǒng)應當具備惡意郵件（含本單位內(nèi)部發(fā)送的郵件）檢測攔截功能,，對惡意郵箱賬號、惡意郵件服務器IP以及惡意郵件主題,、正文,、鏈接、附件等進行檢測和攔截,。應當支持釣魚郵件威脅情報共享,，將發(fā)現(xiàn)的釣魚郵件信息報送至主管部門和屬地網(wǎng)信部門，按照有關部門下發(fā)的釣魚郵件威脅情報,，配置相應防護策略預置攔截釣魚郵件,。

第三十五條鼓勵機關事業(yè)單位基于商用密碼技術(shù)對電子郵件數(shù)據(jù)的存儲進行安全保護。

第六章監(jiān)測預警和應急處置

第三十六條中央網(wǎng)絡安全和信息化委員會辦公室會同國務院電信主管部門、公安部門和其他有關部門,，組織對地市級以上黨政機關互聯(lián)網(wǎng)政務應用開展安全監(jiān)測,。

各地區(qū)、各部門應當對本地區(qū),、本行業(yè)機關事業(yè)單位互聯(lián)網(wǎng)政務應用開展日常監(jiān)測和安全檢查,。

機關事業(yè)單位應當建立完善互聯(lián)網(wǎng)政務應用安全監(jiān)測能力，實時監(jiān)測互聯(lián)網(wǎng)政務應用運行狀態(tài)和網(wǎng)絡安全事件情況,。

第三十七條互聯(lián)網(wǎng)政務應用發(fā)生網(wǎng)絡安全事件時,，機關事業(yè)單位應當按照有關規(guī)定向相關部門報告。

第三十八條中央網(wǎng)絡安全和信息化委員會辦公室統(tǒng)籌協(xié)調(diào)重大網(wǎng)絡安全事件的應急處置,。

互聯(lián)網(wǎng)政務應用發(fā)生或可能發(fā)生網(wǎng)絡安全事件時,，機關事業(yè)單位應當立即啟動本單位網(wǎng)絡安全應急預案，及時處置網(wǎng)絡安全事件,，消除安全隱患,，防止危害擴大。

第三十九條機構(gòu)編制管理部門會同網(wǎng)信部門開展針對假冒仿冒互聯(lián)網(wǎng)政務應用的掃描監(jiān)測,，受理相關投訴舉報,。網(wǎng)信部門會同電信主管部門，及時對監(jiān)測發(fā)現(xiàn)或網(wǎng)民舉報的假冒仿冒互聯(lián)網(wǎng)政務應用采取停止域名解析,、阻斷互聯(lián)網(wǎng)連接和下線處理等措施,。公安部門負責打擊假冒仿冒互聯(lián)網(wǎng)政務應用相關違法犯罪活動。

第七章監(jiān)督管理

第四十條中央網(wǎng)絡安全和信息化委員會辦公室負責統(tǒng)籌協(xié)調(diào)互聯(lián)網(wǎng)政務應用安全管理工作,。中央機構(gòu)編制管理部門負責互聯(lián)網(wǎng)政務應用開辦主體身份核驗,、名稱管理和標識管理工作。國務院電信主管部門負責互聯(lián)網(wǎng)政務應用域名監(jiān)督管理和互聯(lián)網(wǎng)信息服務（ICP）備案工作,。國務院公安部門負責監(jiān)督檢查指導互聯(lián)網(wǎng)政務應用網(wǎng)絡安全等級保護和相關安全管理工作,。

各地區(qū)、各部門承擔本地區(qū),、本行業(yè)機關事業(yè)單位互聯(lián)網(wǎng)政務應用安全管理責任,，指定一名負責人分管相關工作，加強對互聯(lián)網(wǎng)政務應用安全工作的組織領導,。

第四十一條對違反或者未能正確履行本規(guī)定相關要求的,，按照《黨委（黨組）網(wǎng)絡安全工作責任制實施辦法》等文件，依規(guī)依紀追究當事人和有關領導的責任,。

第八章附則

第四十二條列入關鍵信息基礎設施的互聯(lián)網(wǎng)門戶網(wǎng)站,、移動應用程序、公眾賬號,，以及電子郵件系統(tǒng)的安全管理工作，參照本規(guī)定有關內(nèi)容執(zhí)行。

第四十三條本規(guī)定由中央網(wǎng)絡安全和信息化委員會辦公室,、中央機構(gòu)編制委員會辦公室,、工業(yè)和信息化部、公安部負責解釋,。

第四十四條本規(guī)定自2024年7月1日起施行,。