1、互联网政务应用安全管理规定(2024)讲解了针对各级党政机关和事业单位在互联网上建设和运行政务应用所需遵循的安全管理要求。该规定明确了互联网政务应用的定义,包括门户网站、移动应用程序、公众账号及电子邮件系统等,并强调在规划、建设和使用过程中必须同步落实网络安全措施,防范内容篡改、网络攻击、数据泄露等风险。文件从开办与建设、信息安全、网络与数据安全三个维度构建了完整的管理体系。在开办环节,要求严格执行域名注册规范,限定“”或“.政务”后缀为党政机关专用,推进集约化建站,县级以下单位原则上不得独立建站;同时明确移动应用分发需提供机构编制部门核发的电子或纸质证书进行身份认证,并加注专属网上标识以增强
2、公信力。在信息安全管理方面,建立严格的信息发布审核机制,确保内容权威准确,禁止发布违法不良信息,转载信息须标明来源并评估真实性,链接非政务资源时应设置跳转提示。在网络和数据安全部分,提出落实网络安全等级保护制度,重要系统需达到三级防护标准,每年开展安全检测评估,升级或引入新技术前须进行安全测试。访问控制策略要求对接入IP或设备进行限制,境外访问实行白名单管理。日志留存不少于一年,保障可追溯性。数据实行分类分级保护,个人信息和重要数据严禁擅自向第三方提供,收集的数据仅限于履职所需用途。所有数据中心和云服务平台必须设在境内,采购云计算服务须选用通过国家安评的平台。外包开发运维须通过合同明确安全责任
3、,最高权限由本单位在编人员掌握,对外包人员实施最小必要授权。互联网政务应用安全管理规定(2024)适用于各级党政机关、事业单位及其下属机构在建设和运营互联网政务应用过程中的安全管理实践。具体涵盖政府门户网站、政务类移动应用程序(含小程序)、官方认证的微博、微信公众号、视频号等公众账号,以及政务电子邮件系统的开发、部署、维护和信息发布活动。该规定对负责信息化建设、网络安全管理、数据保护、对外服务提供的相关部门具有强制指导作用,尤其适用于机构编制管理部门、网信部门、公安部门、通信管理部门及承担政务系统运维的技术支持单位。此外,参与政务应用开发与运维的第三方服务机构也需遵守其中关于数据使用、权限管理和安全责任的相关条款,确保在合作过程中不越权操作、不违规存储或传输敏感信息。本规定的实施有助于提升全国范围内政务系统的整体安全水平,保障公民个人信息与国家数据安全,适用于所有涉及政务服务数字化转型的公共管理与公共服务领域。
安全达人 