第四章 网络和数据安全

网络安全等级保护制度通过对系统进行等级划分和保护，确保不同级别的系统获得适当的安全保障，从而降低网络和数据安全风险，保护政务服务的稳定性和安全性。

包括中央和国家机关、地市级以上地方党政机关的门户网站，以及承载重要业务应用的机关事业单位网站和互联网电子邮件系统，都需要符合第三级安全保护要求。

机关事业单位需每年进行至少一次安全检测评估，此外，系统升级或新增功能前也需进行安全检测，以确保新变更不会引入安全风险。

访问控制策略包括对接入IP地址段或设备的限制，特别是对境外访问采用白名单方式限制特定时段和设备的访问权限。

机关事业单位需留存防火墙、主机、访问、操作和数据库日志不少于1年，并定期备份，确保日志的完整性和可用性。

机关事业单位需要根据国家和行业要求对数据进行分类分级管理，重点保护重要数据、个人信息和商业秘密，并不得未经同意公开或用于法定职责以外的目的。

采购云计算服务时需选择通过国家安全评估的云平台，并加强对云服务的使用管理，以确保其安全性。

在外包开发和运维中，应通过合同明确外包单位的安全责任，加强日常监督，确保外包单位不转包、不擅自访问或处理数据，并建立严格的授权机制。

应建设或利用社会化灾备设施，对重要数据和系统进行容灾备份，以保障业务的连续性和数据的安全。

开发安全管理要求对外部代码进行安全检测，并建立业务连续性计划，防范供应商服务变更等风险。

应确保CDN服务商将用户域名解析地址指向境内节点，以提高访问速度和安全性，避免跨境数据传输风险。

应用应对用户进行真实身份认证，鼓励使用国家网络身份认证公共服务，并对重要应用采用多因素鉴别措施，增强安全性。

第五章 电子邮件安全

通过统一建设和共享使用模式，可以降低建设和维护成本，提高安全性和管理效率。党政机关和事业单位的邮件系统分别应使用特定域名后缀，以确保身份合法性和系统可信度。

工作人员不得利用工作邮箱违规存储、处理、传输、或转发国家秘密，以确保信息安全和机密性。

机关事业单位应建立严格的流程，包括申请、发放、变更、注销等，并定期清理账号，确保账号管理的规范和安全。

关闭这些功能可以防止敏感信息被无意或恶意泄露，提升邮件系统的安全性。

系统应具备恶意邮件检测和拦截功能，同时，应支持钓鱼邮件威胁情报共享，将钓鱼邮件信息报送主管部门，并根据下发的威胁情报配置防护策略。

鼓励机关事业单位使用商用密码技术对电子邮件数据进行加密存储，确保数据的安全性和保密性。

第六章 监测预警和应急处置

中央网信办联合相关部门，负责对地市级以上党政机关的互联网政务应用进行安全监测，确保其安全性和稳定性。

各地区和部门应对本地区、本行业的机关事业单位的互联网政务应用进行日常监测和安全检查，以及时发现和处理安全问题。

机关事业单位应建立和完善安全监测能力，实时监测互联网政务应用的运行状态和网络安全事件，确保及时发现和应对潜在威胁。

机关事业单位应按照相关规定向有关部门报告网络安全事件，启动应急预案，及时处置事件，消除安全隐患，防止事态扩大。

第七章 监督管理

中央网信办负责统筹协调互联网政务应用的安全管理工作；中央机构编制管理部门负责核验开办主体身份及管理名称和标识；国务院电信主管部门负责域名监督管理和互联网信息服务（ICP）备案；国务院公安部门负责监督检查和指导网络安全等级保护工作。

各地区和部门应对本地区、本行业的互联网政务应用安全管理负责，指定专人分管相关工作，并加强对安全工作的组织领导。