互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定第四章網(wǎng)絡(luò)和數(shù)據(jù)安全（國辦印發(fā)了《互聯(lián)網(wǎng)+政務(wù)服務(wù)技術(shù)體系建設(shè)指南》）

第十七條 建設(shè)互聯(lián)網(wǎng)政務(wù)應(yīng)用應(yīng)當(dāng)落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度和國家密碼應(yīng)用管理要求，按照有關(guān)標(biāo)準(zhǔn)規(guī)范開展定級備案、等級測評工作，落實(shí)安全建設(shè)整改加固措施，防范網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn)。

中央和國家機(jī)關(guān)、地市級以上地方黨政機(jī)關(guān)門戶網(wǎng)站，以及承載重要業(yè)務(wù)應(yīng)用的機(jī)關(guān)事業(yè)單位網(wǎng)站、互聯(lián)網(wǎng)電子郵件系統(tǒng)等，應(yīng)當(dāng)符合網(wǎng)絡(luò)安全等級保護(hù)第三級安全保護(hù)要求。

第十八條 機(jī)關(guān)事業(yè)單位應(yīng)當(dāng)自行或者委托具有相應(yīng)資質(zhì)的第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)，對互聯(lián)網(wǎng)政務(wù)應(yīng)用網(wǎng)絡(luò)和數(shù)據(jù)安全每年至少進(jìn)行一次安全檢測評估。

互聯(lián)網(wǎng)政務(wù)應(yīng)用系統(tǒng)升級、新增功能以及引入新技術(shù)新應(yīng)用，應(yīng)當(dāng)在上線前進(jìn)行安全檢測評估。

第十九條 互聯(lián)網(wǎng)政務(wù)應(yīng)用應(yīng)當(dāng)設(shè)置訪問控制策略。對于面向機(jī)關(guān)事業(yè)單位工作人員使用的功能和互聯(lián)網(wǎng)電子郵箱系統(tǒng)，應(yīng)當(dāng)對接入的IP地址段或設(shè)備實(shí)施訪問限制，確需境外訪問的，按照白名單方式開通特定時(shí)段、特定設(shè)備或賬號的訪問權(quán)限。

第二十條 機(jī)關(guān)事業(yè)單位應(yīng)當(dāng)留存互聯(lián)網(wǎng)政務(wù)應(yīng)用相關(guān)的防火墻、主機(jī)等設(shè)備的運(yùn)行日志，以及應(yīng)用系統(tǒng)的訪問日志、數(shù)據(jù)庫的操作日志，留存時(shí)間不少于1年，并定期對日志進(jìn)行備份，確保日志的完整性、可用性。

第二十一條 機(jī)關(guān)事業(yè)單位應(yīng)當(dāng)按照國家、行業(yè)領(lǐng)域有關(guān)數(shù)據(jù)安全和個(gè)人信息保護(hù)的要求，對互聯(lián)網(wǎng)政務(wù)應(yīng)用數(shù)據(jù)進(jìn)行分類分級管理，對重要數(shù)據(jù)、個(gè)人信息、商業(yè)秘密進(jìn)行重點(diǎn)保護(hù)。

第二十二條 機(jī)關(guān)事業(yè)單位通過互聯(lián)網(wǎng)政務(wù)應(yīng)用收集的個(gè)人信息、商業(yè)秘密和其他未公開資料，未經(jīng)信息提供方同意不得向第三方提供或公開，不得用于履行法定職責(zé)以外的目的。

第二十三條 為互聯(lián)網(wǎng)政務(wù)應(yīng)用提供服務(wù)的數(shù)據(jù)中心、云計(jì)算服務(wù)平臺等應(yīng)當(dāng)設(shè)在境內(nèi)。

第二十四條 黨政機(jī)關(guān)建設(shè)互聯(lián)網(wǎng)政務(wù)應(yīng)用采購云計(jì)算服務(wù)，應(yīng)當(dāng)選取通過國家云計(jì)算服務(wù)安全評估的云平臺，并加強(qiáng)對所采購云計(jì)算服務(wù)的使用管理。

第二十五條 機(jī)關(guān)事業(yè)單位委托外包單位開展互聯(lián)網(wǎng)政務(wù)應(yīng)用開發(fā)和運(yùn)維時(shí)，應(yīng)當(dāng)以合同等手段明確外包單位網(wǎng)絡(luò)和數(shù)據(jù)安全責(zé)任，并加強(qiáng)日常監(jiān)督管理和考核問責(zé)；督促外包單位嚴(yán)格按照約定使用、存儲、處理數(shù)據(jù)。未經(jīng)委托的機(jī)關(guān)事業(yè)單位同意，外包單位不得轉(zhuǎn)包、分包合同任務(wù)，不得訪問、修改、披露、利用、轉(zhuǎn)讓、銷毀數(shù)據(jù)。

機(jī)關(guān)事業(yè)單位應(yīng)當(dāng)建立嚴(yán)格的授權(quán)訪問機(jī)制，操作系統(tǒng)、數(shù)據(jù)庫、機(jī)房等最高管理員權(quán)限必須由本單位在編人員專人負(fù)責(zé)，不得擅自委托外包單位人員管理使用；應(yīng)當(dāng)按照最小必要原則對外包單位人員進(jìn)行精細(xì)化授權(quán)，在授權(quán)期滿后及時(shí)收回權(quán)限。

第二十六條 機(jī)關(guān)事業(yè)單位應(yīng)當(dāng)合理建設(shè)或利用社會化專業(yè)災(zāi)備設(shè)施，對互聯(lián)網(wǎng)政務(wù)應(yīng)用重要數(shù)據(jù)和信息系統(tǒng)等進(jìn)行容災(zāi)備份。

第二十七條 機(jī)關(guān)事業(yè)單位應(yīng)當(dāng)加強(qiáng)互聯(lián)網(wǎng)政務(wù)應(yīng)用開發(fā)安全管理，使用外部代碼應(yīng)當(dāng)經(jīng)過安全檢測。建立業(yè)務(wù)連續(xù)性計(jì)劃，防范因供應(yīng)商服務(wù)變更等對升級改造、運(yùn)維保障等帶來的風(fēng)險(xiǎn)。

第二十八條 互聯(lián)網(wǎng)政務(wù)應(yīng)用使用內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)服務(wù)的，應(yīng)當(dāng)要求服務(wù)商將境內(nèi)用戶的域名解析地址指向其境內(nèi)節(jié)點(diǎn)，不得指向境外節(jié)點(diǎn)。

第二十九條 互聯(lián)網(wǎng)政務(wù)應(yīng)用應(yīng)當(dāng)使用安全連接方式訪問，涉及的電子認(rèn)證服務(wù)應(yīng)當(dāng)由依法設(shè)立的電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)提供。

第三十條 互聯(lián)網(wǎng)政務(wù)應(yīng)用應(yīng)當(dāng)對注冊用戶進(jìn)行真實(shí)身份信息認(rèn)證。國家鼓勵(lì)互聯(lián)網(wǎng)政務(wù)應(yīng)用支持用戶使用國家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)進(jìn)行真實(shí)身份信息注冊。

對與人身財(cái)產(chǎn)安全、社會公共利益等相關(guān)的互聯(lián)網(wǎng)政務(wù)應(yīng)用和電子郵件系統(tǒng)，應(yīng)當(dāng)采取多因素鑒別提高安全性，采取超時(shí)退出、限制登錄失敗次數(shù)、賬號與終端綁定等技術(shù)手段防范賬號被盜用風(fēng)險(xiǎn)，鼓勵(lì)采用電子證書等身份認(rèn)證措施。