互聯網政務(wù)應用(yòng)安(ān)全管理(lǐ)規定

互聯網政務(wù)應用(yòng)安(ān)全管理(lǐ)規定

（2024年2月19日中(zhōng)央網絡安(ān)全和信息化委員會辦(bàn)公(gōng)室、中(zhōng)央機構編制委員會辦(bàn)公(gōng)室、工(gōng)業和信息化部、公(gōng)安(ān)部制定 2024年5月15日發布）

第一章 總則

第一條 為(wèi)保障互聯網政務(wù)應用(yòng)安(ān)全，根據《中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法》《中(zhōng)華人民(mín)共和國(guó)數據安(ān)全法》《中(zhōng)華人民(mín)共和國(guó)個人信息保護法》《黨委（黨組）網絡安(ān)全工(gōng)作(zuò)責任制實施辦(bàn)法》等，制定本規定。

第二條 各級黨政機關和事業單位（簡稱機關事業單位）建設運行互聯網政務(wù)應用(yòng)，應當遵守本規定。

本規定所稱互聯網政務(wù)應用(yòng)，是指機關事業單位在互聯網上設立的門戶網站，通過互聯網提供公(gōng)共服務(wù)的移動應用(yòng)程序（含小(xiǎo)程序）、公(gōng)衆賬号等，以及互聯網電(diàn)子郵件系統。

第三條 建設運行互聯網政務(wù)應用(yòng)應當依照有(yǒu)關法律、行政法規的規定以及國(guó)家标準的強制性要求，落實網絡安(ān)全與互聯網政務(wù)應用(yòng)“同步規劃、同步建設、同步使用(yòng)”原則，采取技(jì )術措施和其他(tā)必要措施，防範内容篡改、攻擊緻癱、數據竊取等風險，保障互聯網政務(wù)應用(yòng)安(ān)全穩定運行和數據安(ān)全。

第二章 開辦(bàn)和建設

第四條 機關事業單位開辦(bàn)網站應當按程序完成開辦(bàn)審核和備案工(gōng)作(zuò)。一個黨政機關最多(duō)開設一個門戶網站。

中(zhōng)央機構編制管理(lǐ)部門、國(guó)務(wù)院電(diàn)信部門、國(guó)務(wù)院公(gōng)安(ān)部門加強數據共享，優化工(gōng)作(zuò)流程，減少填報材料，縮短開辦(bàn)周期。

機關事業單位開辦(bàn)網站，應當将運維和安(ān)全保障經費納入預算。

第五條 一個黨政機關網站原則上隻注冊一個中(zhōng)文(wén)域名(míng)和一個英文(wén)域名(míng)，域名(míng)應當以“.gov.cn”或“.政務(wù)”為(wèi)後綴。非黨政機關網站不得注冊使用(yòng)“.gov.cn”或“.政務(wù)”的域名(míng)。

事業單位網站的域名(míng)應當以“.cn”或“.公(gōng)益”為(wèi)後綴。

機關事業單位不得将已注冊的網站域名(míng)擅自轉讓給其他(tā)單位或個人使用(yòng)。

第六條 機關事業單位移動應用(yòng)程序應當在已備案的應用(yòng)程序分(fēn)發平台或機關事業單位網站分(fēn)發。

第七條 機構編制管理(lǐ)部門為(wèi)機關事業單位制發專屬電(diàn)子證書或紙質(zhì)證書。機關事業單位通過應用(yòng)程序分(fēn)發平台分(fēn)發移動應用(yòng)程序，應當向平台運營者提供電(diàn)子證書或紙質(zhì)證書用(yòng)于身份核驗；開辦(bàn)微博、公(gōng)衆号、視頻号、直播号等公(gōng)衆賬号，應當向平台運營者提供電(diàn)子證書或紙質(zhì)證書用(yòng)于身份核驗。

第八條 互聯網政務(wù)應用(yòng)的名(míng)稱優先使用(yòng)實體(tǐ)機構名(míng)稱、規範簡稱，使用(yòng)其他(tā)名(míng)稱的，原則上采取區(qū)域名(míng)加職責名(míng)的命名(míng)方式，并在顯著位置标明實體(tǐ)機構名(míng)稱。具(jù)體(tǐ)命名(míng)規範由中(zhōng)央機構編制管理(lǐ)部門制定。

第九條 中(zhōng)央機構編制管理(lǐ)部門為(wèi)機關事業單位設置專屬網上标識，非機關事業單位不得使用(yòng)。

機關事業單位網站應當在首頁(yè)底部中(zhōng)間位置加注網上标識。中(zhōng)央網絡安(ān)全和信息化委員會辦(bàn)公(gōng)室會同中(zhōng)央機構編制管理(lǐ)部門協調應用(yòng)程序分(fēn)發平台以及公(gōng)衆賬号信息服務(wù)平台，在移動應用(yòng)程序下載頁(yè)面、公(gōng)衆賬号顯著位置加注網上标識。

第十條 各地區(qū)、各部門應當對本地區(qū)、本部門黨政機關網站建設進行整體(tǐ)規劃，推進集約化建設。

縣級黨政機關各部門以及鄉鎮黨政機關原則上不單獨建設網站，可(kě)利用(yòng)上級黨政機關網站平台開設網頁(yè)、欄目、發布信息。

第十一條 互聯網政務(wù)應用(yòng)應當支持開放标準，充分(fēn)考慮對用(yòng)戶端的兼容性，不得要求用(yòng)戶使用(yòng)特定浏覽器、辦(bàn)公(gōng)軟件等用(yòng)戶端軟硬件系統訪問。

機關事業單位通過互聯網提供公(gōng)共服務(wù)，不得綁定單一互聯網平台，不得将用(yòng)戶下載安(ān)裝(zhuāng)、注冊使用(yòng)特定互聯網平台作(zuò)為(wèi)獲取服務(wù)的前提條件。

第十二條 互聯網政務(wù)應用(yòng)因機構調整等原因需變更開辦(bàn)主體(tǐ)的，應當及時變更域名(míng)或注冊備案信息。不再使用(yòng)的，應當及時關閉服務(wù)，完成數據歸檔和删除，注銷域名(míng)和注冊備案信息。

第三章 信息安(ān)全

第十三條 機關事業單位通過互聯網政務(wù)應用(yòng)發布信息，應當健全信息發布審核制度，明确審核程序，指定機構和在編人員負責審核工(gōng)作(zuò)，建立審核記錄檔案；應當确保發布信息内容的權威性、真實性、準确性、及時性和嚴肅性，嚴禁發布違法和不良信息。

第十四條 機關事業單位通過互聯網政務(wù)應用(yòng)轉載信息，應當與政務(wù)等履行職能(néng)的活動相關，并評估内容的真實性和客觀性。轉載頁(yè)面上要準确清晰标注轉載來源網站、轉載時間、轉載鏈接等，充分(fēn)考慮圖片、内容等知識産(chǎn)權保護問題。

第十五條 機關事業單位發布信息内容需要鏈接非互聯網政務(wù)應用(yòng)的，應當确認鏈接的資源與政務(wù)等履行職能(néng)的活動相關，或屬于便民(mín)服務(wù)的範圍；應當定期檢查鏈接的有(yǒu)效性和适用(yòng)性，及時處置異常鏈接。黨政機關門戶網站應當采取技(jì )術措施，做到在用(yòng)戶點擊鏈接跳轉到非黨政機關網站時，予以明确提示。

第十六條 機關事業單位應當采取安(ān)全保密防控措施，嚴禁發布國(guó)家秘密、工(gōng)作(zuò)秘密，防範互聯網政務(wù)應用(yòng)數據彙聚、關聯引發的洩密風險。應當加強對互聯網政務(wù)應用(yòng)存儲、處理(lǐ)、傳輸工(gōng)作(zuò)秘密的保密管理(lǐ)。

第四章 網絡和數據安(ān)全

第十七條 建設互聯網政務(wù)應用(yòng)應當落實網絡安(ān)全等級保護制度和國(guó)家密碼應用(yòng)管理(lǐ)要求，按照有(yǒu)關标準規範開展定級備案、等級測評工(gōng)作(zuò)，落實安(ān)全建設整改加固措施，防範網絡和數據安(ān)全風險。

中(zhōng)央和國(guó)家機關、地市級以上地方黨政機關門戶網站，以及承載重要業務(wù)應用(yòng)的機關事業單位網站、互聯網電(diàn)子郵件系統等，應當符合網絡安(ān)全等級保護第三級安(ān)全保護要求。

第十八條 機關事業單位應當自行或者委托具(jù)有(yǒu)相應資質(zhì)的第三方網絡安(ān)全服務(wù)機構，對互聯網政務(wù)應用(yòng)網絡和數據安(ān)全每年至少進行一次安(ān)全檢測評估。

互聯網政務(wù)應用(yòng)系統升級、新(xīn)增功能(néng)以及引入新(xīn)技(jì )術新(xīn)應用(yòng)，應當在上線(xiàn)前進行安(ān)全檢測評估。

第十九條 互聯網政務(wù)應用(yòng)應當設置訪問控制策略。對于面向機關事業單位工(gōng)作(zuò)人員使用(yòng)的功能(néng)和互聯網電(diàn)子郵箱系統，應當對接入的IP地址段或設備實施訪問限制，确需境外訪問的，按照白名(míng)單方式開通特定時段、特定設備或賬号的訪問權限。

第二十條 機關事業單位應當留存互聯網政務(wù)應用(yòng)相關的防火牆、主機等設備的運行日志(zhì)，以及應用(yòng)系統的訪問日志(zhì)、數據庫的操作(zuò)日志(zhì)，留存時間不少于1年，并定期對日志(zhì)進行備份，确保日志(zhì)的完整性、可(kě)用(yòng)性。

第二十一條 機關事業單位應當按照國(guó)家、行業領域有(yǒu)關數據安(ān)全和個人信息保護的要求，對互聯網政務(wù)應用(yòng)數據進行分(fēn)類分(fēn)級管理(lǐ)，對重要數據、個人信息、商(shāng)業秘密進行重點保護。

第二十二條 機關事業單位通過互聯網政務(wù)應用(yòng)收集的個人信息、商(shāng)業秘密和其他(tā)未公(gōng)開資料，未經信息提供方同意不得向第三方提供或公(gōng)開，不得用(yòng)于履行法定職責以外的目的。

第二十三條 為(wèi)互聯網政務(wù)應用(yòng)提供服務(wù)的數據中(zhōng)心、雲計算服務(wù)平台等應當設在境内。

第二十四條 黨政機關建設互聯網政務(wù)應用(yòng)采購(gòu)雲計算服務(wù)，應當選取通過國(guó)家雲計算服務(wù)安(ān)全評估的雲平台，并加強對所采購(gòu)雲計算服務(wù)的使用(yòng)管理(lǐ)。

第二十五條 機關事業單位委托外包單位開展互聯網政務(wù)應用(yòng)開發和運維時，應當以合同等手段明确外包單位網絡和數據安(ān)全責任，并加強日常監督管理(lǐ)和考核問責；督促外包單位嚴格按照約定使用(yòng)、存儲、處理(lǐ)數據。未經委托的機關事業單位同意，外包單位不得轉包、分(fēn)包合同任務(wù)，不得訪問、修改、披露、利用(yòng)、轉讓、銷毀數據。

機關事業單位應當建立嚴格的授權訪問機制，操作(zuò)系統、數據庫、機房等最高管理(lǐ)員權限必須由本單位在編人員專人負責，不得擅自委托外包單位人員管理(lǐ)使用(yòng)；應當按照最小(xiǎo)必要原則對外包單位人員進行精(jīng)細化授權，在授權期滿後及時收回權限。

第二十六條 機關事業單位應當合理(lǐ)建設或利用(yòng)社會化專業災備設施，對互聯網政務(wù)應用(yòng)重要數據和信息系統等進行容災備份。

第二十七條 機關事業單位應當加強互聯網政務(wù)應用(yòng)開發安(ān)全管理(lǐ)，使用(yòng)外部代碼應當經過安(ān)全檢測。建立業務(wù)連續性計劃，防範因供應商(shāng)服務(wù)變更等對升級改造、運維保障等帶來的風險。

第二十八條 互聯網政務(wù)應用(yòng)使用(yòng)内容分(fēn)發網絡(CDN)服務(wù)的，應當要求服務(wù)商(shāng)将境内用(yòng)戶的域名(míng)解析地址指向其境内節點，不得指向境外節點。

第二十九條 互聯網政務(wù)應用(yòng)應當使用(yòng)安(ān)全連接方式訪問，涉及的電(diàn)子認證服務(wù)應當由依法設立的電(diàn)子政務(wù)電(diàn)子認證服務(wù)機構提供。

第三十條 互聯網政務(wù)應用(yòng)應當對注冊用(yòng)戶進行真實身份信息認證。國(guó)家鼓勵互聯網政務(wù)應用(yòng)支持用(yòng)戶使用(yòng)國(guó)家網絡身份認證公(gōng)共服務(wù)進行真實身份信息注冊。

對與人身财産(chǎn)安(ān)全、社會公(gōng)共利益等相關的互聯網政務(wù)應用(yòng)和電(diàn)子郵件系統，應當采取多(duō)因素鑒别提高安(ān)全性，采取超時退出、限制登錄失敗次數、賬号與終端綁定等技(jì )術手段防範賬号被盜用(yòng)風險，鼓勵采用(yòng)電(diàn)子證書等身份認證措施。

第五章 電(diàn)子郵件安(ān)全

第三十一條 鼓勵各地區(qū)、各部門通過統一建設、共享使用(yòng)的模式，建設機關事業單位專用(yòng)互聯網電(diàn)子郵件系統，作(zuò)為(wèi)工(gōng)作(zuò)郵箱，為(wèi)本地區(qū)、本行業機關事業單位提供電(diàn)子郵件服務(wù)。黨政機關自建的互聯網電(diàn)子郵件系統的域名(míng)應當以“.gov.cn”或“.政務(wù)”為(wèi)後綴，事業單位自建的互聯網電(diàn)子郵件系統的域名(míng)應當以“.cn”或“.公(gōng)益”為(wèi)後綴。

機關事業單位工(gōng)作(zuò)人員不得使用(yòng)工(gōng)作(zuò)郵箱違規存儲、處理(lǐ)、傳輸、轉發國(guó)家秘密。

第三十二條 機關事業單位應當建立工(gōng)作(zuò)郵箱賬号的申請、發放、變更、注銷等流程，嚴格賬号審批登記，定期開展賬号清理(lǐ)。

第三十三條 機關事業單位互聯網電(diàn)子郵件系統應當關閉郵件自動轉發、自動下載附件功能(néng)。

第三十四條 機關事業單位互聯網電(diàn)子郵件系統應當具(jù)備惡意郵件（含本單位内部發送的郵件）檢測攔截功能(néng)，對惡意郵箱賬号、惡意郵件服務(wù)器IP以及惡意郵件主題、正文(wén)、鏈接、附件等進行檢測和攔截。應當支持釣魚郵件威脅情報共享，将發現的釣魚郵件信息報送至主管部門和屬地網信部門，按照有(yǒu)關部門下發的釣魚郵件威脅情報，配置相應防護策略預置攔截釣魚郵件。

第三十五條 鼓勵機關事業單位基于商(shāng)用(yòng)密碼技(jì )術對電(diàn)子郵件數據的存儲進行安(ān)全保護。

第六章 監測預警和應急處置

第三十六條 中(zhōng)央網絡安(ān)全和信息化委員會辦(bàn)公(gōng)室會同國(guó)務(wù)院電(diàn)信主管部門、公(gōng)安(ān)部門和其他(tā)有(yǒu)關部門，組織對地市級以上黨政機關互聯網政務(wù)應用(yòng)開展安(ān)全監測。

各地區(qū)、各部門應當對本地區(qū)、本行業機關事業單位互聯網政務(wù)應用(yòng)開展日常監測和安(ān)全檢查。

機關事業單位應當建立完善互聯網政務(wù)應用(yòng)安(ān)全監測能(néng)力，實時監測互聯網政務(wù)應用(yòng)運行狀态和網絡安(ān)全事件情況。

第三十七條 互聯網政務(wù)應用(yòng)發生網絡安(ān)全事件時，機關事業單位應當按照有(yǒu)關規定向相關部門報告。

第三十八條 中(zhōng)央網絡安(ān)全和信息化委員會辦(bàn)公(gōng)室統籌協調重大網絡安(ān)全事件的應急處置。

互聯網政務(wù)應用(yòng)發生或可(kě)能(néng)發生網絡安(ān)全事件時，機關事業單位應當立即啓動本單位網絡安(ān)全應急預案，及時處置網絡安(ān)全事件，消除安(ān)全隐患，防止危害擴大。

第三十九條 機構編制管理(lǐ)部門會同網信部門開展針對假冒仿冒互聯網政務(wù)應用(yòng)的掃描監測，受理(lǐ)相關投訴舉報。網信部門會同電(diàn)信主管部門，及時對監測發現或網民(mín)舉報的假冒仿冒互聯網政務(wù)應用(yòng)采取停止域名(míng)解析、阻斷互聯網連接和下線(xiàn)處理(lǐ)等措施。公(gōng)安(ān)部門負責打擊假冒仿冒互聯網政務(wù)應用(yòng)相關違法犯罪活動。

第七章 監督管理(lǐ)

第四十條 中(zhōng)央網絡安(ān)全和信息化委員會辦(bàn)公(gōng)室負責統籌協調互聯網政務(wù)應用(yòng)安(ān)全管理(lǐ)工(gōng)作(zuò)。中(zhōng)央機構編制管理(lǐ)部門負責互聯網政務(wù)應用(yòng)開辦(bàn)主體(tǐ)身份核驗、名(míng)稱管理(lǐ)和标識管理(lǐ)工(gōng)作(zuò)。國(guó)務(wù)院電(diàn)信主管部門負責互聯網政務(wù)應用(yòng)域名(míng)監督管理(lǐ)和互聯網信息服務(wù)（ICP）備案工(gōng)作(zuò)。國(guó)務(wù)院公(gōng)安(ān)部門負責監督檢查指導互聯網政務(wù)應用(yòng)網絡安(ān)全等級保護和相關安(ān)全管理(lǐ)工(gōng)作(zuò)。

各地區(qū)、各部門承擔本地區(qū)、本行業機關事業單位互聯網政務(wù)應用(yòng)安(ān)全管理(lǐ)責任，指定一名(míng)負責人分(fēn)管相關工(gōng)作(zuò)，加強對互聯網政務(wù)應用(yòng)安(ān)全工(gōng)作(zuò)的組織領導。

第四十一條 對違反或者未能(néng)正确履行本規定相關要求的，按照《黨委（黨組）網絡安(ān)全工(gōng)作(zuò)責任制實施辦(bàn)法》等文(wén)件，依規依紀追究當事人和有(yǒu)關領導的責任。

第八章 附則

第四十二條 列入關鍵信息基礎設施的互聯網門戶網站、移動應用(yòng)程序、公(gōng)衆賬号，以及電(diàn)子郵件系統的安(ān)全管理(lǐ)工(gōng)作(zuò)，參照本規定有(yǒu)關内容執行。

第四十三條 本規定由中(zhōng)央網絡安(ān)全和信息化委員會辦(bàn)公(gōng)室、中(zhōng)央機構編制委員會辦(bàn)公(gōng)室、工(gōng)業和信息化部、公(gōng)安(ān)部負責解釋。

第四十四條 本規定自2024年7月1日起施行。