本文简介:本文主要为大家整理了 “《互联网政务应用安全管理规定》” 相关的内容,主要有 《互联网政务应用安全管理规定》网络和数据安全篇, 等内容,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。
1、《互联网政务应用安全管理规定》网络和数据安全篇
《互联网政务应用安全管理规定》网络和数据安全篇
2024年5月15日,中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部联合发布了《互联网政务应用安全管理规定》,自7月1日起正式施行。
《规定》全文共八章,为保障我国互联网应用安全、规范政务应用管理、保障国家安全提供了重要依据。
下面,小编将带您一起学习《互联网政务应用安全管理规定》中信息安全、网络和数据安全、电子邮件安全、监测预警和应急处置等关于“安全”的重点章节和知识点。
一、互联网应用的范围
互联网政务应用是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。
二、建设和运行互联网政务应用的总体要求是什么?
各级党政机关和事业单位(简称机关事业单位)建设运行互联网政务应用,应当依照有关法律、行政法规的规定以及国家标准的强制性要求,落实网络安全与互联网政务应用“同步规划、同步建设、同步使用”原则,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险,保障互联网政务应用安全稳定运行和数据安全。
关于网络和数据安全《规定》提出了哪些要求?
1、机关事业单位建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求,按照有关标准规范开展定级备案、等级测评工作,落实安全建设整改加固措施,防范网络和数据安全风险。
2、中央和国家机关、地市级以上地方党政机关门户网站,以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等,应当符合网络安全等级保护第三级安全保护要求。
3、机关事业单位应当自行或者委托具有相应资质的第三方网络安全服务机构,对互联网政务应用网络和数据安全每年至少进行一次安全检测评估。
4、互联网政务应用系统升级、新增功能以及引入新技术新应用,应当在上线前进行安全检测评估。
5、互联网政务应用应当设置访问控制策略。对于面向机关事业单位工作人员使用的功能和互联网电子邮箱系统,应当对接入的P地址段或设备实施访问限制,确需境外访问的,按照白名单方式开通特定时段、特定设备或账号的访问权限。
6、机关事业单位应当留存互联网政务应用相关的防火墙、主机等设备的运行日志,以及应用系统的访问日志、数据库的操作日志,留存时间不少于1年,并定期对日志进行备份,确保日志的完整性、可用性。
7、机关事业单位应当按照国家、行业领域有关数据安全和个人信息保护的要求,对互联网政务应用数据进行分类分级管理,对重要数据、个人信息、商业秘密进行重点保护。
8、机关事业单位通过互联网政务应用收集的个人信息、商业秘密和其他未公开资料,未经信息提供方同意不得向第三方提供或公开,不得用于履行法定职责以外的目的。
9、为互联网政务应用提供服务的数据中心、云计算服务平台等应当设在境内。
10、党政机关建设互联网政务应用采购云计算服务,应当选取通过国家云计算服务安全评估的云平台,并加强对所采购云计算服务的使用管理。
11、机关事业单位委托外包单位开展互联网政务应用开发和运维时,应当以合同等手段明确外包单位网络和数据安全责任,并加强日常监督管理和考核问责。
12、机关事业单位督促外包单位严格按照约定使用、存储、处理数据。未经委托的机关事业单位同意,外包单位不得转包、分包合同任务,不得访问、修改、披露、利用、转让、销毁数据。
13、机关事业单位应当建立严格的授权访问机制,操作系统、数据库、机房等最高管理员权限必须由本单位在编人员专人负责,不得擅自委托外包单位人员管理使用。
14、机关事业单位应当按照最小必要原则对外包单位人员进行精细化授权,在授权期满后及时收回权限。
15、机关事业单位应当合理建设或利用社会化专业灾备设施,对互联网政务应用重要数据和信息系统等进行容灾备份。
16、机关事业单位应当加强互联网政务应用开发安全管理,使用外部代码应当经过安全检测。建立业务连续性计划,防范因供应商服务变更等对升级改造、运维保障等带来的风险。
17、互联网政务应用使用内容分发网络(CDN)服务的,应当要求服务商将境内用户的域名解析地址指向其境内节点,不得指向境外节点。
18、互联网政务应用应当使用安全连接方式访问,涉及的电子认证服务应当由依法设立的电子政务电子认证服务机构提供。
19、互联网政务应用应当对注册用户进行真实身份信息认证。国家鼓励互联网政务应用支持用户使用国家网络身份认证公共服务进行真实身份信息注册。
20、对与人身财产安全、社会公共利益等相关的互联网政务应用和电子邮件系统,应当采取多因素鉴别提高安全性,采取超时退出、限制登录失败次数、账号与终端绑定等技术手段防范账号被盗用风险,鼓励采用电子证书等身份认证措施。