第一條  爲保障互聯網政務應用(yòng)安全，根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《黨委（黨組）網絡安全工作責任制實施辦法》等，制定本規定。

第二條  各級黨政機關和事(shì)業單位（簡稱機關事(shì)業單位）建設運行(háng / xíng)互聯網政務應用(yòng)，應當遵守本規定。

本規定所(suǒ)稱互聯網政務應用(yòng)，是指機關事(shì)業單位在互聯網上設立的門戶網站，通過(guò)互聯網提供公共服務的移動應用(yòng)程序（含小程序）、公衆賬号等，以及互聯網電子郵件系統。

第三條  建設運行(háng / xíng)互聯網政務應用(yòng)應當依照有關法律、行(háng / xíng)政法規的規定以及國家(jiā)标準的強制性要(yào / yāo)求，落實網絡安全與互聯網政務應用(yòng)“同步規劃、同步建設、同步使用(yòng)”原則，采取技術措施和其(qí)他必要(yào / yāo)措施，防範内容篡改、攻擊緻癱、數據竊取等風險，保障互聯網政務應用(yòng)安全穩定運行(háng / xíng)和數據安全。

第四條  機關事(shì)業單位開辦網站應當按程序完成開辦審核和備案工作。一個黨政機關*多開設一個門戶網站。

中央機構編制管理部門、國務院電信部門、國務院公安部門加強數據共享，優化工作流程，減少填報材料，縮短開辦周期。

機關事(shì)業單位開辦網站，應當将運維和安全保障經費納入預算。

第五條  一個黨政機關網站原則上隻注冊一個中文域名和一個英文域名，域名應當以“.gov.cn”或“.政務”爲後(hòu)綴。非黨政機關網站不得(dé / de / děi)注冊使用(yòng)“.gov.cn”或“.政務”的域名。

事(shì)業單位網站的域名應當以“.cn”或“.公益”爲後(hòu)綴。

機關事(shì)業單位不得(dé / de / děi)将已注冊的網站域名擅自(zì)轉讓給其(qí)他單位或個人使用(yòng)。

第六條  機關事(shì)業單位移動應用(yòng)程序應當在已備案的應用(yòng)程序分發(fā／fà)平台或機關事(shì)業單位網站分發(fā／fà)。

第七條  機構編制管理部門爲機關事(shì)業單位制發(fā／fà)專屬電子證書或紙質證書。機關事(shì)業單位通過(guò)應用(yòng)程序分發(fā／fà)平台分發(fā／fà)移動應用(yòng)程序，應當向平台運營者提供電子證書或紙質證書用(yòng)于(yú)身份核驗；開辦微博、公衆号、視頻号、直播号等公衆賬号，應當向平台運營者提供電子證書或紙質證書用(yòng)于(yú)身份核驗。

第八條  互聯網政務應用(yòng)的名稱優先使用(yòng)實體機構名稱、規範簡稱，使用(yòng)其(qí)他名稱的，原則上采取區域名加職責名的命名方式，并在顯著位置标明實體機構名稱。具體命名規範由中央機構編制管理部門制定。

第九條  中央機構編制管理部門爲機關事(shì)業單位設置專屬網上标識，非機關事(shì)業單位不得(dé / de / děi)使用(yòng)。

機關事(shì)業單位網站應當在首頁底部中間位置加注網上标識。中央網絡安全和信息化委員會(huì)辦公室會(huì)同中央機構編制管理部門協調應用(yòng)程序分發(fā／fà)平台以及公衆賬号信息服務平台，在移動應用(yòng)程序下(xià)載頁面、公衆賬号顯著位置加注網上标識。

第十(shí)條  各地區、各部門應當對(duì)本地區、本部門黨政機關網站建設進行(háng / xíng)整體規劃，推進集約化建設。

縣級黨政機關各部門以及鄉鎮黨政機關原則上不單獨建設網站，可(kě)利用(yòng)上級黨政機關網站平台開設網頁、欄目、發(fā／fà)布信息。

第十(shí)一條  互聯網政務應用(yòng)應當支持開放标準，充分考慮對(duì)用(yòng)戶端的兼容性，不得(dé / de / děi)要(yào / yāo)求用(yòng)戶使用(yòng)特定浏覽器、辦公軟件等用(yòng)戶端軟硬件系統訪問。

機關事(shì)業單位通過(guò)互聯網提供公共服務，不得(dé / de / děi)綁定單一互聯網平台，不得(dé / de / děi)将用(yòng)戶下(xià)載安裝、注冊使用(yòng)特定互聯網平台作爲獲取服務的前提條件。

第十(shí)二條  互聯網政務應用(yòng)因機構調整等原因需變更開辦主體的，應當及時變更域名或注冊備案信息。不再使用(yòng)的，應當及時關閉服務，完成數據歸檔和删除，注銷域名和注冊備案信息。

第十(shí)三條  機關事(shì)業單位通過(guò)互聯網政務應用(yòng)發(fā／fà)布信息，應當健全信息發(fā／fà)布審核制度，明确審核程序，指定機構和在編人員負責審核工作，建立審核記錄檔案；應當确保發(fā／fà)布信息内容的權威性、真實性、準确性、及時性和嚴肅性，嚴禁發(fā／fà)布違法和不良信息。

第十(shí)四條  機關事(shì)業單位通過(guò)互聯網政務應用(yòng)轉載信息，應當與政務等履行(háng / xíng)職能(néng)的活動相關，并評估内容的真實性和客觀性。轉載頁面上要(yào / yāo)準确清晰标注轉載來源網站、轉載時間、轉載鏈接等，充分考慮圖片、内容等知識産權保護問題。

第十(shí)五條  機關事(shì)業單位發(fā／fà)布信息内容需要(yào / yāo)鏈接非互聯網政務應用(yòng)的，應當确認鏈接的資源與政務等履行(háng / xíng)職能(néng)的活動相關，或屬于(yú)便民服務的範圍；應當定期檢查鏈接的有效性和适用(yòng)性，及時處置異常鏈接。黨政機關門戶網站應當采取技術措施，做到在用(yòng)戶點擊鏈接跳轉到非黨政機關網站時，予以明确提示。

第十(shí)六條  機關事(shì)業單位應當采取安全保密防控措施，嚴禁發(fā／fà)布國家(jiā)秘密、工作秘密，防範互聯網政務應用(yòng)數據彙聚、關聯引發(fā／fà)的洩密風險。應當加強對(duì)互聯網政務應用(yòng)存儲、處理、傳輸工作秘密的保密管理。

第十(shí)七條  建設互聯網政務應用(yòng)應當落實網絡安全等級保護制度和國家(jiā)密碼應用(yòng)管理要(yào / yāo)求，按照有關标準規範開展定級備案、等級測評工作，落實安全建設整改加固措施，防範網絡和數據安全風險。

中央和國家(jiā)機關、地市級以上地方黨政機關門戶網站，以及承載重要(yào / yāo)業務應用(yòng)的機關事(shì)業單位網站、互聯網電子郵件系統等，應當符合網絡安全等級保護第三級安全保護要(yào / yāo)求。

第十(shí)八條  機關事(shì)業單位應當自(zì)行(háng / xíng)或者委托具有相應資質的第三方網絡安全服務機構，對(duì)互聯網政務應用(yòng)網絡和數據安全每年(nián)至少進行(háng / xíng)一次安全檢測評估。

互聯網政務應用(yòng)系統升級、新增功能(néng)以及引入新技術新應用(yòng)，應當在上線前進行(háng / xíng)安全檢測評估。

第十(shí)九條  互聯網政務應用(yòng)應當設置訪問控制策略。對(duì)于(yú)面向機關事(shì)業單位工作人員使用(yòng)的功能(néng)和互聯網電子郵箱系統，應當對(duì)接入的IP地址段或設備實施訪問限制，确需境外訪問的，按照白名單方式開通特定時段、特定設備或賬号的訪問權限。

第二十(shí)條  機關事(shì)業單位應當留存互聯網政務應用(yòng)相關的防火牆、主機等設備的運行(háng / xíng)日志，以及應用(yòng)系統的訪問日志、數據庫的操作日志，留存時間不少于(yú)1年(nián)，并定期對(duì)日志進行(háng / xíng)備份，确保日志的完整性、可(kě)用(yòng)性。

第二十(shí)一條  機關事(shì)業單位應當按照國家(jiā)、行(háng / xíng)業領域有關數據安全和個人信息保護的要(yào / yāo)求，對(duì)互聯網政務應用(yòng)數據進行(háng / xíng)分類分級管理，對(duì)重要(yào / yāo)數據、個人信息、商業秘密進行(háng / xíng)重點保護。

第二十(shí)二條  機關事(shì)業單位通過(guò)互聯網政務應用(yòng)收集的個人信息、商業秘密和其(qí)他未公開資料，未經信息提供方同意不得(dé / de / děi)向第三方提供或公開，不得(dé / de / děi)用(yòng)于(yú)履行(háng / xíng)法定職責以外的目的。

第二十(shí)三條  爲互聯網政務應用(yòng)提供服務的數據中心、雲計算服務平台等應當設在境内。

第二十(shí)四條  黨政機關建設互聯網政務應用(yòng)采購雲計算服務，應當選取通過(guò)國家(jiā)雲計算服務安全評估的雲平台，并加強對(duì)所(suǒ)采購雲計算服務的使用(yòng)管理。

第二十(shí)五條  機關事(shì)業單位委托外包單位開展互聯網政務應用(yòng)開發(fā／fà)和運維時，應當以合同等手段明确外包單位網絡和數據安全責任，并加強日常監督管理和考核問責；督促外包單位嚴格按照約定使用(yòng)、存儲、處理數據。未經委托的機關事(shì)業單位同意，外包單位不得(dé / de / děi)轉包、分包合同任務，不得(dé / de / děi)訪問、修改、披露、利用(yòng)、轉讓、銷毀數據。

機關事(shì)業單位應當建立嚴格的授權訪問機制，操作系統、數據庫、機房等*高管理員權限必須由本單位在編人員專人負責，不得(dé / de / děi)擅自(zì)委托外包單位人員管理使用(yòng)；應當按照*小必要(yào / yāo)原則對(duì)外包單位人員進行(háng / xíng)精細化授權，在授權期滿後(hòu)及時收回權限。

第二十(shí)六條  機關事(shì)業單位應當合理建設或利用(yòng)社會(huì)化專業災備設施，對(duì)互聯網政務應用(yòng)重要(yào / yāo)數據和信息系統等進行(háng / xíng)容災備份。

第二十(shí)七條  機關事(shì)業單位應當加強互聯網政務應用(yòng)開發(fā／fà)安全管理，使用(yòng)外部代碼應當經過(guò)安全檢測。建立業務連續性計劃，防範因供應商服務變更等對(duì)升級改造、運維保障等帶來的風險。

第二十(shí)八條  互聯網政務應用(yòng)使用(yòng)内容分發(fā／fà)網絡（CDN）服務的，應當要(yào / yāo)求服務商将境内用(yòng)戶的域名解析地址指向其(qí)境内節點，不得(dé / de / děi)指向境外節點。

第二十(shí)九條  互聯網政務應用(yòng)應當使用(yòng)安全連接方式訪問，涉及的電子認證服務應當由依法設立的電子政務電子認證服務機構提供。

第三十(shí)條  互聯網政務應用(yòng)應當對(duì)注冊用(yòng)戶進行(háng / xíng)真實身份信息認證。國家(jiā)鼓勵互聯網政務應用(yòng)支持用(yòng)戶使用(yòng)國家(jiā)網絡身份認證公共服務進行(háng / xíng)真實身份信息注冊。

對(duì)與人身财産安全、社會(huì)公共利益等相關的互聯網政務應用(yòng)和電子郵件系統，應當采取多因素鑒别提高安全性，采取超時退出、限制登錄失敗次數、賬号與終端綁定等技術手段防範賬号被盜用(yòng)風險，鼓勵采用(yòng)電子證書等身份認證措施。

第三十(shí)一條  鼓勵各地區、各部門通過(guò)統一建設、共享使用(yòng)的模式，建設機關事(shì)業單位專用(yòng)互聯網電子郵件系統，作爲工作郵箱，爲本地區、本行(háng / xíng)業機關事(shì)業單位提供電子郵件服務。黨政機關自(zì)建的互聯網電子郵件系統的域名應當以“.gov.cn”或“.政務”爲後(hòu)綴，事(shì)業單位自(zì)建的互聯網電子郵件系統的域名應當以“.cn”或“.公益”爲後(hòu)綴。

機關事(shì)業單位工作人員不得(dé / de / děi)使用(yòng)工作郵箱違規存儲、處理、傳輸、轉發(fā／fà)國家(jiā)秘密。

第三十(shí)二條  機關事(shì)業單位應當建立工作郵箱賬号的申請、發(fā／fà)放、變更、注銷等流程，嚴格賬号審批登記，定期開展賬号清理。

第三十(shí)三條  機關事(shì)業單位互聯網電子郵件系統應當關閉郵件自(zì)動轉發(fā／fà)、自(zì)動下(xià)載附件功能(néng)。

第三十(shí)四條  機關事(shì)業單位互聯網電子郵件系統應當具備惡意郵件（含本單位内部發(fā／fà)送的郵件）檢測攔截功能(néng)，對(duì)惡意郵箱賬号、惡意郵件服務器IP以及惡意郵件主題、正文、鏈接、附件等進行(háng / xíng)檢測和攔截。應當支持釣魚郵件威脅情報共享，将發(fā／fà)現的釣魚郵件信息報送至主管部門和屬地網信部門，按照有關部門下(xià)發(fā／fà)的釣魚郵件威脅情報，配置相應防護策略預置攔截釣魚郵件。

第三十(shí)五條  鼓勵機關事(shì)業單位基于(yú)商用(yòng)密碼技術對(duì)電子郵件數據的存儲進行(háng / xíng)安全保護。

第三十(shí)六條  中央網絡安全和信息化委員會(huì)辦公室會(huì)同國務院電信主管部門、公安部門和其(qí)他有關部門，組織對(duì)地市級以上黨政機關互聯網政務應用(yòng)開展安全監測。

各地區、各部門應當對(duì)本地區、本行(háng / xíng)業機關事(shì)業單位互聯網政務應用(yòng)開展日常監測和安全檢查。

機關事(shì)業單位應當建立完善互聯網政務應用(yòng)安全監測能(néng)力，實時監測互聯網政務應用(yòng)運行(háng / xíng)狀态和網絡安全事(shì)件情況。

第三十(shí)七條  互聯網政務應用(yòng)發(fā／fà)生(shēng)網絡安全事(shì)件時，機關事(shì)業單位應當按照有關規定向相關部門報告。

第三十(shí)八條  中央網絡安全和信息化委員會(huì)辦公室統籌協調重大網絡安全事(shì)件的應急處置。

互聯網政務應用(yòng)發(fā／fà)生(shēng)或可(kě)能(néng)發(fā／fà)生(shēng)網絡安全事(shì)件時，機關事(shì)業單位應當立即啓動本單位網絡安全應急預案，及時處置網絡安全事(shì)件，*安全隐患，防止危害擴大。

第三十(shí)九條  機構編制管理部門會(huì)同網信部門開展針對(duì)假冒仿冒互聯網政務應用(yòng)的掃描監測，受理相關投訴舉報。網信部門會(huì)同電信主管部門，及時對(duì)監測發(fā／fà)現或網民舉報的假冒仿冒互聯網政務應用(yòng)采取停止域名解析、阻斷互聯網連接和下(xià)線處理等措施。公安部門負責打擊假冒仿冒互聯網政務應用(yòng)相關違法犯罪活動。

第四十(shí)條  中央網絡安全和信息化委員會(huì)辦公室負責統籌協調互聯網政務應用(yòng)安全管理工作。中央機構編制管理部門負責互聯網政務應用(yòng)開辦主體身份核驗、名稱管理和标識管理工作。國務院電信主管部門負責互聯網政務應用(yòng)域名監督管理和互聯網信息服務（ICP）備案工作。國務院公安部門負責監督檢查指導互聯網政務應用(yòng)網絡安全等級保護和相關安全管理工作。

各地區、各部門承擔本地區、本行(háng / xíng)業機關事(shì)業單位互聯網政務應用(yòng)安全管理責任，指定一名負責人分管相關工作，加強對(duì)互聯網政務應用(yòng)安全工作的組織領導。

第四十(shí)一條  對(duì)違反或者未能(néng)正确履行(háng / xíng)本規定相關要(yào / yāo)求的，按照《黨委（黨組）網絡安全工作責任制實施辦法》等文件，依規依紀追究當事(shì)人和有關領導的責任。

第四十(shí)二條  列入關鍵信息基礎設施的互聯網門戶網站、移動應用(yòng)程序、公衆賬号，以及電子郵件系統的安全管理工作，參照本規定有關内容執行(háng / xíng)。

第四十(shí)三條  本規定由中央網絡安全和信息化委員會(huì)辦公室、中央機構編制委員會(huì)辦公室、工業和信息化部、公安部負責解釋。

第四十(shí)四條  本規定自(zì)2024年(nián)7月1日起施行(háng / xíng)。