（2024年2月19日中央網(wǎng)絡(luò )安全和信息化委員會(huì )辦公室、中央機構編制委員會(huì )辦公室、工業(yè)和信息化部、公安部制定　2024年5月15日發(fā)布）

第一章 總則

第一條 為保障互聯(lián)網(wǎng)政務(wù)應用安全，根據《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國數據安全法》《中華人民共和國個(gè)人信息保護法》《黨委（黨組）網(wǎng)絡(luò )安全工作責任制實(shí)施辦法》等，制定本規定。

第二條 各級黨政機關(guān)和事業(yè)單位（簡(jiǎn)稱(chēng)機關(guān)事業(yè)單位）建設運行互聯(lián)網(wǎng)政務(wù)應用，應當遵守本規定。

本規定所稱(chēng)互聯(lián)網(wǎng)政務(wù)應用，是指機關(guān)事業(yè)單位在互聯(lián)網(wǎng)上設立的門(mén)戶(hù)網(wǎng)站，通過(guò)互聯(lián)網(wǎng)提供公共服務(wù)的移動(dòng)應用程序（含小程序）、公眾賬號等，以及互聯(lián)網(wǎng)電子郵件系統。

第三條 建設運行互聯(lián)網(wǎng)政務(wù)應用應當依照有關(guān)法律、行政法規的規定以及國家標準的強制性要求，落實(shí)網(wǎng)絡(luò )安全與互聯(lián)網(wǎng)政務(wù)應用“同步規劃、同步建設、同步使用”原則，采取技術(shù)措施和其他必要措施，防范內容篡改、攻擊致癱、數據竊取等風(fēng)險，保障互聯(lián)網(wǎng)政務(wù)應用安全穩定運行和數據安全。

第二章 開(kāi)辦和建設

第四條 機關(guān)事業(yè)單位開(kāi)辦網(wǎng)站應當按程序完成開(kāi)辦審核和備案工作。一個(gè)黨政機關(guān)最多開(kāi)設一個(gè)門(mén)戶(hù)網(wǎng)站。

中央機構編制管理部門(mén)、國務(wù)院電信部門(mén)、國務(wù)院公安部門(mén)加強數據共享，優(yōu)化工作流程，減少填報材料，縮短開(kāi)辦周期。

機關(guān)事業(yè)單位開(kāi)辦網(wǎng)站，應當將運維和安全保障經(jīng)費納入預算。

第五條 一個(gè)黨政機關(guān)網(wǎng)站原則上只注冊一個(gè)中文域名和一個(gè)英文域名，域名應當以“.gov.cn”或“.政務(wù)”為后綴。非黨政機關(guān)網(wǎng)站不得注冊使用“.gov.cn”或“.政務(wù)”的域名。

事業(yè)單位網(wǎng)站的域名應當以“.cn”或“.公益”為后綴。

機關(guān)事業(yè)單位不得將已注冊的網(wǎng)站域名擅自轉讓給其他單位或個(gè)人使用。

第六條 機關(guān)事業(yè)單位移動(dòng)應用程序應當在已備案的應用程序分發(fā)平臺或機關(guān)事業(yè)單位網(wǎng)站分發(fā)。

第七條 機構編制管理部門(mén)為機關(guān)事業(yè)單位制發(fā)專(zhuān)屬電子證書(shū)或紙質(zhì)證書(shū)。機關(guān)事業(yè)單位通過(guò)應用程序分發(fā)平臺分發(fā)移動(dòng)應用程序，應當向平臺運營(yíng)者提供電子證書(shū)或紙質(zhì)證書(shū)用于身份核驗；開(kāi)辦微博、公眾號、視頻號、直播號等公眾賬號，應當向平臺運營(yíng)者提供電子證書(shū)或紙質(zhì)證書(shū)用于身份核驗。

第八條 互聯(lián)網(wǎng)政務(wù)應用的名稱(chēng)優(yōu)先使用實(shí)體機構名稱(chēng)、規范簡(jiǎn)稱(chēng)，使用其他名稱(chēng)的，原則上采取區域名加職責名的命名方式，并在顯著(zhù)位置標明實(shí)體機構名稱(chēng)。具體命名規范由中央機構編制管理部門(mén)制定。

第九條 中央機構編制管理部門(mén)為機關(guān)事業(yè)單位設置專(zhuān)屬網(wǎng)上標識，非機關(guān)事業(yè)單位不得使用。

機關(guān)事業(yè)單位網(wǎng)站應當在首頁(yè)底部中間位置加注網(wǎng)上標識。中央網(wǎng)絡(luò )安全和信息化委員會(huì )辦公室會(huì )同中央機構編制管理部門(mén)協(xié)調應用程序分發(fā)平臺以及公眾賬號信息服務(wù)平臺，在移動(dòng)應用程序下載頁(yè)面、公眾賬號顯著(zhù)位置加注網(wǎng)上標識。

第十條 各地區、各部門(mén)應當對本地區、本部門(mén)黨政機關(guān)網(wǎng)站建設進(jìn)行整體規劃，推進(jìn)集約化建設。

縣級黨政機關(guān)各部門(mén)以及鄉鎮黨政機關(guān)原則上不單獨建設網(wǎng)站，可利用上級黨政機關(guān)網(wǎng)站平臺開(kāi)設網(wǎng)頁(yè)、欄目、發(fā)布信息。

第十一條 互聯(lián)網(wǎng)政務(wù)應用應當支持開(kāi)放標準，充分考慮對用戶(hù)端的兼容性，不得要求用戶(hù)使用特定瀏覽器、辦公軟件等用戶(hù)端軟硬件系統訪(fǎng)問(wèn)。

機關(guān)事業(yè)單位通過(guò)互聯(lián)網(wǎng)提供公共服務(wù)，不得綁定單一互聯(lián)網(wǎng)平臺，不得將用戶(hù)下載安裝、注冊使用特定互聯(lián)網(wǎng)平臺作為獲取服務(wù)的前提條件。

第十二條 互聯(lián)網(wǎng)政務(wù)應用因機構調整等原因需變更開(kāi)辦主體的，應當及時(shí)變更域名或注冊備案信息。不再使用的，應當及時(shí)關(guān)閉服務(wù)，完成數據歸檔和刪除，注銷(xiāo)域名和注冊備案信息。

第三章 信息安全

第十三條 機關(guān)事業(yè)單位通過(guò)互聯(lián)網(wǎng)政務(wù)應用發(fā)布信息，應當健全信息發(fā)布審核制度，明確審核程序，指定機構和在編人員負責審核工作，建立審核記錄檔案；應當確保發(fā)布信息內容的權威性、真實(shí)性、準確性、及時(shí)性和嚴肅性，嚴禁發(fā)布違法和不良信息。

第十四條 機關(guān)事業(yè)單位通過(guò)互聯(lián)網(wǎng)政務(wù)應用轉載信息，應當與政務(wù)等履行職能的活動(dòng)相關(guān)，并評估內容的真實(shí)性和客觀(guān)性。轉載頁(yè)面上要準確清晰標注轉載來(lái)源網(wǎng)站、轉載時(shí)間、轉載鏈接等，充分考慮圖片、內容等知識產(chǎn)權保護問(wèn)題。

第十五條 機關(guān)事業(yè)單位發(fā)布信息內容需要鏈接非互聯(lián)網(wǎng)政務(wù)應用的，應當確認鏈接的資源與政務(wù)等履行職能的活動(dòng)相關(guān)，或屬于便民服務(wù)的范圍；應當定期檢查鏈接的有效性和適用性，及時(shí)處置異常鏈接。黨政機關(guān)門(mén)戶(hù)網(wǎng)站應當采取技術(shù)措施，做到在用戶(hù)點(diǎn)擊鏈接跳轉到非黨政機關(guān)網(wǎng)站時(shí)，予以明確提示。

第十六條 機關(guān)事業(yè)單位應當采取安全保密防控措施，嚴禁發(fā)布國家秘密、工作秘密，防范互聯(lián)網(wǎng)政務(wù)應用數據匯聚、關(guān)聯(lián)引發(fā)的泄密風(fēng)險。應當加強對互聯(lián)網(wǎng)政務(wù)應用存儲、處理、傳輸工作秘密的保密管理。

第四章 網(wǎng)絡(luò )和數據安全

第十七條 建設互聯(lián)網(wǎng)政務(wù)應用應當落實(shí)網(wǎng)絡(luò )安全等級保護制度和國家密碼應用管理要求，按照有關(guān)標準規范開(kāi)展定級備案、等級測評工作，落實(shí)安全建設整改加固措施，防范網(wǎng)絡(luò )和數據安全風(fēng)險。

中央和國家機關(guān)、地市級以上地方黨政機關(guān)門(mén)戶(hù)網(wǎng)站，以及承載重要業(yè)務(wù)應用的機關(guān)事業(yè)單位網(wǎng)站、互聯(lián)網(wǎng)電子郵件系統等，應當符合網(wǎng)絡(luò )安全等級保護第三級安全保護要求。

第十八條 機關(guān)事業(yè)單位應當自行或者委托具有相應資質(zhì)的第三方網(wǎng)絡(luò )安全服務(wù)機構，對互聯(lián)網(wǎng)政務(wù)應用網(wǎng)絡(luò )和數據安全每年至少進(jìn)行一次安全檢測評估。

互聯(lián)網(wǎng)政務(wù)應用系統升級、新增功能以及引入新技術(shù)新應用，應當在上線(xiàn)前進(jìn)行安全檢測評估。

第十九條 互聯(lián)網(wǎng)政務(wù)應用應當設置訪(fǎng)問(wèn)控制策略。對于面向機關(guān)事業(yè)單位工作人員使用的功能和互聯(lián)網(wǎng)電子郵箱系統，應當對接入的IP地址段或設備實(shí)施訪(fǎng)問(wèn)限制，確需境外訪(fǎng)問(wèn)的，按照白名單方式開(kāi)通特定時(shí)段、特定設備或賬號的訪(fǎng)問(wèn)權限。

第二十條 機關(guān)事業(yè)單位應當留存互聯(lián)網(wǎng)政務(wù)應用相關(guān)的防火墻、主機等設備的運行日志，以及應用系統的訪(fǎng)問(wèn)日志、數據庫的操作日志，留存時(shí)間不少于1年，并定期對日志進(jìn)行備份，確保日志的完整性、可用性。

第二十一條 機關(guān)事業(yè)單位應當按照國家、行業(yè)領(lǐng)域有關(guān)數據安全和個(gè)人信息保護的要求，對互聯(lián)網(wǎng)政務(wù)應用數據進(jìn)行分類(lèi)分級管理，對重要數據、個(gè)人信息、商業(yè)秘密進(jìn)行重點(diǎn)保護。

第二十二條 機關(guān)事業(yè)單位通過(guò)互聯(lián)網(wǎng)政務(wù)應用收集的個(gè)人信息、商業(yè)秘密和其他未公開(kāi)資料，未經(jīng)信息提供方同意不得向第三方提供或公開(kāi)，不得用于履行法定職責以外的目的。

第二十三條 為互聯(lián)網(wǎng)政務(wù)應用提供服務(wù)的數據中心、云計算服務(wù)平臺等應當設在境內。

第二十四條 黨政機關(guān)建設互聯(lián)網(wǎng)政務(wù)應用采購云計算服務(wù)，應當選取通過(guò)國家云計算服務(wù)安全評估的云平臺，并加強對所采購云計算服務(wù)的使用管理。

第二十五條 機關(guān)事業(yè)單位委托外包單位開(kāi)展互聯(lián)網(wǎng)政務(wù)應用開(kāi)發(fā)和運維時(shí)，應當以合同等手段明確外包單位網(wǎng)絡(luò )和數據安全責任，并加強日常監督管理和考核問(wèn)責；督促外包單位嚴格按照約定使用、存儲、處理數據。未經(jīng)委托的機關(guān)事業(yè)單位同意，外包單位不得轉包、分包合同任務(wù)，不得訪(fǎng)問(wèn)、修改、披露、利用、轉讓、銷(xiāo)毀數據。

機關(guān)事業(yè)單位應當建立嚴格的授權訪(fǎng)問(wèn)機制，操作系統、數據庫、機房等最高管理員權限必須由本單位在編人員專(zhuān)人負責，不得擅自委托外包單位人員管理使用；應當按照最小必要原則對外包單位人員進(jìn)行精細化授權，在授權期滿(mǎn)后及時(shí)收回權限。

第二十六條 機關(guān)事業(yè)單位應當合理建設或利用社會(huì )化專(zhuān)業(yè)災備設施，對互聯(lián)網(wǎng)政務(wù)應用重要數據和信息系統等進(jìn)行容災備份。

第二十七條 機關(guān)事業(yè)單位應當加強互聯(lián)網(wǎng)政務(wù)應用開(kāi)發(fā)安全管理，使用外部代碼應當經(jīng)過(guò)安全檢測。建立業(yè)務(wù)連續性計劃，防范因供應商服務(wù)變更等對升級改造、運維保障等帶來(lái)的風(fēng)險。

第二十八條 互聯(lián)網(wǎng)政務(wù)應用使用內容分發(fā)網(wǎng)絡(luò )(CDN)服務(wù)的，應當要求服務(wù)商將境內用戶(hù)的域名解析地址指向其境內節點(diǎn)，不得指向境外節點(diǎn)。

第二十九條 互聯(lián)網(wǎng)政務(wù)應用應當使用安全連接方式訪(fǎng)問(wèn)，涉及的電子認證服務(wù)應當由依法設立的電子政務(wù)電子認證服務(wù)機構提供。

第三十條 互聯(lián)網(wǎng)政務(wù)應用應當對注冊用戶(hù)進(jìn)行真實(shí)身份信息認證。國家鼓勵互聯(lián)網(wǎng)政務(wù)應用支持用戶(hù)使用國家網(wǎng)絡(luò )身份認證公共服務(wù)進(jìn)行真實(shí)身份信息注冊。

對與人身財產(chǎn)安全、社會(huì )公共利益等相關(guān)的互聯(lián)網(wǎng)政務(wù)應用和電子郵件系統，應當采取多因素鑒別提高安全性，采取超時(shí)退出、限制登錄失敗次數、賬號與終端綁定等技術(shù)手段防范賬號被盜用風(fēng)險，鼓勵采用電子證書(shū)等身份認證措施。

第五章 電子郵件安全

第三十一條 鼓勵各地區、各部門(mén)通過(guò)統一建設、共享使用的模式，建設機關(guān)事業(yè)單位專(zhuān)用互聯(lián)網(wǎng)電子郵件系統，作為工作郵箱，為本地區、本行業(yè)機關(guān)事業(yè)單位提供電子郵件服務(wù)。黨政機關(guān)自建的互聯(lián)網(wǎng)電子郵件系統的域名應當以“.gov.cn”或“.政務(wù)”為后綴，事業(yè)單位自建的互聯(lián)網(wǎng)電子郵件系統的域名應當以“.cn”或“.公益”為后綴。

機關(guān)事業(yè)單位工作人員不得使用工作郵箱違規存儲、處理、傳輸、轉發(fā)國家秘密。

第三十二條 機關(guān)事業(yè)單位應當建立工作郵箱賬號的申請、發(fā)放、變更、注銷(xiāo)等流程，嚴格賬號審批登記，定期開(kāi)展賬號清理。

第三十三條 機關(guān)事業(yè)單位互聯(lián)網(wǎng)電子郵件系統應當關(guān)閉郵件自動(dòng)轉發(fā)、自動(dòng)下載附件功能。

第三十四條 機關(guān)事業(yè)單位互聯(lián)網(wǎng)電子郵件系統應當具備惡意郵件（含本單位內部發(fā)送的郵件）檢測攔截功能，對惡意郵箱賬號、惡意郵件服務(wù)器IP以及惡意郵件主題、正文、鏈接、附件等進(jìn)行檢測和攔截。應當支持釣魚(yú)郵件威脅情報共享，將發(fā)現的釣魚(yú)郵件信息報送至主管部門(mén)和屬地網(wǎng)信部門(mén)，按照有關(guān)部門(mén)下發(fā)的釣魚(yú)郵件威脅情報，配置相應防護策略預置攔截釣魚(yú)郵件。

第三十五條 鼓勵機關(guān)事業(yè)單位基于商用密碼技術(shù)對電子郵件數據的存儲進(jìn)行安全保護。

第六章 監測預警和應急處置

第三十六條 中央網(wǎng)絡(luò )安全和信息化委員會(huì )辦公室會(huì )同國務(wù)院電信主管部門(mén)、公安部門(mén)和其他有關(guān)部門(mén)，組織對地市級以上黨政機關(guān)互聯(lián)網(wǎng)政務(wù)應用開(kāi)展安全監測。

各地區、各部門(mén)應當對本地區、本行業(yè)機關(guān)事業(yè)單位互聯(lián)網(wǎng)政務(wù)應用開(kāi)展日常監測和安全檢查。

機關(guān)事業(yè)單位應當建立完善互聯(lián)網(wǎng)政務(wù)應用安全監測能力，實(shí)時(shí)監測互聯(lián)網(wǎng)政務(wù)應用運行狀態(tài)和網(wǎng)絡(luò )安全事件情況。

第三十七條 互聯(lián)網(wǎng)政務(wù)應用發(fā)生網(wǎng)絡(luò )安全事件時(shí)，機關(guān)事業(yè)單位應當按照有關(guān)規定向相關(guān)部門(mén)報告。

第三十八條 中央網(wǎng)絡(luò )安全和信息化委員會(huì )辦公室統籌協(xié)調重大網(wǎng)絡(luò )安全事件的應急處置。

互聯(lián)網(wǎng)政務(wù)應用發(fā)生或可能發(fā)生網(wǎng)絡(luò )安全事件時(shí)，機關(guān)事業(yè)單位應當立即啟動(dòng)本單位網(wǎng)絡(luò )安全應急預案，及時(shí)處置網(wǎng)絡(luò )安全事件，消除安全隱患，防止危害擴大。

第三十九條 機構編制管理部門(mén)會(huì )同網(wǎng)信部門(mén)開(kāi)展針對假冒仿冒互聯(lián)網(wǎng)政務(wù)應用的掃描監測，受理相關(guān)投訴舉報。網(wǎng)信部門(mén)會(huì )同電信主管部門(mén)，及時(shí)對監測發(fā)現或網(wǎng)民舉報的假冒仿冒互聯(lián)網(wǎng)政務(wù)應用采取停止域名解析、阻斷互聯(lián)網(wǎng)連接和下線(xiàn)處理等措施。公安部門(mén)負責打擊假冒仿冒互聯(lián)網(wǎng)政務(wù)應用相關(guān)違法犯罪活動(dòng)。

第七章 監督管理

第四十條 中央網(wǎng)絡(luò )安全和信息化委員會(huì )辦公室負責統籌協(xié)調互聯(lián)網(wǎng)政務(wù)應用安全管理工作。中央機構編制管理部門(mén)負責互聯(lián)網(wǎng)政務(wù)應用開(kāi)辦主體身份核驗、名稱(chēng)管理和標識管理工作。國務(wù)院電信主管部門(mén)負責互聯(lián)網(wǎng)政務(wù)應用域名監督管理和互聯(lián)網(wǎng)信息服務(wù)（ICP）備案工作。國務(wù)院公安部門(mén)負責監督檢查指導互聯(lián)網(wǎng)政務(wù)應用網(wǎng)絡(luò )安全等級保護和相關(guān)安全管理工作。

各地區、各部門(mén)承擔本地區、本行業(yè)機關(guān)事業(yè)單位互聯(lián)網(wǎng)政務(wù)應用安全管理責任，指定一名負責人分管相關(guān)工作，加強對互聯(lián)網(wǎng)政務(wù)應用安全工作的組織領(lǐng)導。

第四十一條 對違反或者未能正確履行本規定相關(guān)要求的，按照《黨委（黨組）網(wǎng)絡(luò )安全工作責任制實(shí)施辦法》等文件，依規依紀追究當事人和有關(guān)領(lǐng)導的責任。

第八章 附則

第四十二條 列入關(guān)鍵信息基礎設施的互聯(lián)網(wǎng)門(mén)戶(hù)網(wǎng)站、移動(dòng)應用程序、公眾賬號，以及電子郵件系統的安全管理工作，參照本規定有關(guān)內容執行。

第四十三條 本規定由中央網(wǎng)絡(luò )安全和信息化委員會(huì )辦公室、中央機構編制委員會(huì )辦公室、工業(yè)和信息化部、公安部負責解釋。

第四十四條 本規定自2024年7月1日起施行。