近日,为保障互联网政务应用安全,指导各级党政机关和事业单位建设运行互联网政务应用,中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《党委(党组)网络安全工作责任制实施办法》等,发布了《互联网政务应用安全管理规定》(以下简称《规定》),自 2024 年 7 月 1 日起施行。
《规定》规范机关事业单位互联网政务应用建设
《规定》提出,机关事业单位开办网站应当按程序完成开办审核和备案工作,一个党政机关最多开设一个门户网站,且机关事业单位网站应当在首页底部中间位置加注网上标识。中央网络安全和信息化委员会办公室会同中央机构编制管理部门协调应用程序分发平台以及公众账号信息服务平台,在移动应用程序下载页面、公众账号显著位置加注网上标识。
中央机构编制管理部门、国务院电信部门、国务院公安部门加强数据共享,优化工作流程,减少填报材料,缩短开办周期。为简化流程,提高效率,一个党政机关网站原则上只注册一个中文域名和一个英文域名,域名应当以“.gov.cn”或“.政务”为后缀,非党政机关网站不得注册使用“.gov.cn”或“.政务”的域名,事业单位网站的域名应当以“.cn”或“.公益”为后缀。
《规定》指出,互联网政务应用应当支持开放标准,充分考虑对用户端的兼容性,不得要求用户使用特定浏览器、办公软件等用户端软硬件系统访问。机关事业单位通过互联网提供公共服务,不得绑定单一互联网平台,不得将用户下载安装、注册使用特定互联网平台作为获取服务的前提条件。
《规定》要求机关事业单位确保网络和数据安全
《规定》要求,建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求,按照有关标准规范开展定级备案、等级测评工作,落实安全建设整改加固措施,防范网络和数据安全风险。中央和国家机关、地市级以上地方党政机关门户网站,以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等,应当符合网络安全等级保护第三级安全保护要求。
此外,机关事业单位应当自行或者委托具有相应资质的第三方网络安全服务机构,对互联网政务应用网络和数据安全每年至少进行一次安全检测评估。互联网政务应用系统升级、新增功能以及引入新技术新应用,应当在上线前进行安全检测评估。
对于数据管理方面,《规定》提出,机关事业单位应当按照国家、行业领域有关数据安全和个人信息保护的要求,对互联网政务应用数据进行分类分级管理,对重要数据、个人信息、商业秘密进行重点保护,并且通过互联网政务应用收集的个人信息、商业秘密和其他未公开资料,未经信息提供方同意不得向第三方提供或公开,不得用于履行法定职责以外的目的。
《规定》同样对访问权限问题做出了指示,要求机关事业单位应当建立严格的授权访问机制,操作系统、数据库、机房等最高管理员权限必须由本单位在编人员专人负责,不得擅自委托外包单位人员管理使用;应当按照最小必要原则对外包单位人员进行精细化授权,在授权期满后及时收回权限。
《规定》完善应急处置措施,划定监督职责
《规定》强调,中央网络安全和信息化委员会办公室会同国务院电信主管部门、公安部门和其他有关部门,组织对地市级以上党政机关互联网政务应用开展安全监测,各地区、各部门应当对本地区、本行业机关事业单位互联网政务应用开展日常监测和安全检查。机关事业单位应当建立完善互联网政务应用安全监测能力,实时监测互联网政务应用运行状态和网络安全事件情况。
《规定》还划定了监督职责,提出中央网络安全和信息化委员会办公室负责统筹协调互联网政务应用安全管理工作。中央机构编制管理部门负责互联网政务应用开办主体身份核验、名称管理和标识管理工作。国务院电信主管部门负责互联网政务应用域名监督管理和互联网信息服务(ICP)备案工作。国务院公安部门负责监督检查指导互联网政务应用网络安全等级保护和相关安全管理工作。各地区、各部门承担本地区、本行业机关事业单位互联网政务应用安全管理责任,指定一名负责人分管相关工作,加强对互联网政务应用安全工作的组织领导。
对违反或者未能正确履行本规定相关要求的,按照《党委(党组)网络安全工作责任制实施办法》等文件,依规依纪追究当事人和有关领导的责任。
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022