中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部联合制定的《互联网政务应用安全管理规定》(下称“规定”)于近日发布并自2024年7月1日施行。
该新规为首个聚焦互联网政务应用建设和运营安全而汇总网络与数据安全、网络信息内容安全等有关法律法规的强制性要求,同时作出细则要求的规定。本文以问答方式简明扼要梳理新规要点,帮助机关事业单位相关人员快速掌握新规的关键责任义务。
问:一、该规定出台的目的是什么?
答:根据规定第一条和第三条,规定的目的为落实有关法律、行政法规的规定以及国家标准的强制性要求,保障互联网政务应用安全稳定运行和数据安全,防范内容篡改、攻击致瘫、数据窃取等风险。
问:二、出台的依据有哪些?
答:该规定的上位法规包括《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》《网络信息内容生态治理规定》《党委(党组)网络安全工作责任制实施办法》等有关规定。规定的内容为聚焦互联网政务应用的建设和运营事宜,进一步细化上位法规细项要求。
问:三、哪些单位和事务需遵守该规定?
答:根据规定第二条,各级党政机关和事业单位(简称机关事业单位)建设运行互联网政务应用都需遵守该规定。
互联网政务应用,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号以及互联网电子邮件系统。根据规定第四十二条,列入关键信息基础设施的互联网门户网站、移动应用程序、公众账号,以及电子邮件系统的安全管理工作,参照本规定有关内容执行。
问:四、机关事业单位应落实哪些主要安全管理义务?
答:该规定一共八章节,共计四十四条规定,下文详细梳理了7大关键安全管理义务。而针对规定整体架构和每个章节的关键内容,详情见附件。
1.网络信息内容安全治理
根据规定第三章,政务应用需落实《网络信息内容生态治理规定》的相关要求,包括建立信息内容发布审核机制、强化舆情管控和信息内容安全保障以及严格控制应用转载信息的安全,确保与服务的相关和合法合规,同时采取安全保密防控措施,保障国家秘密、工作秘密。
划重点
应建立内容安全审核治理机制,对政务网站、APP、小程序、公众账号(微博、公众号、视频号、直播号)等应用落实内容安全审核、舆情合规管控。
2.网络和数据安全管控
根据规定第四章第十七条、第十八条、第二十五条,政务应用需落实《网络安全法》《数据安全法》《个人信息保护法》中依法开展定级备案、等级测评、商密测评、网络安全评估和数据安全评估等义务,同时应当落实第三方外包的安全管控。
划重点
(1) 政务应用每年至少进行1次网络安全和数据安全评估。即政务网站、APP、小程序、公众账号(微博、公众号、视频号、直播号)等应用相关的数据应当每年至少进行一次网络安全、数据安全评估。
(2) 应用系统升级、新增功能以及引入新技术新应用,应当在上线前进行安全检测评估,即政务网站、APP、小程序、公众账号(微博、公众号、视频号、直播号)等应用的升级、新增功能或者新增SDK等其他新技术,应在上线前安排网络安全、数据安全的评估。
(3) 政务应用应当落实安全建设整改加固措施,防范网络和数据安全风险。即APP、网站等应用所涉系统应相关标准规范进行等保定级和测评、密评,同时进行安全加固等防护措施。
机关事业单位应落实第三方外包的安全管理,强化关键岗位的任职限制和以及第三方外部的权限措施。
3.应用数据分类分级治理
根据规定第四章第二十一条,机关事业单位应建立数据分类分级管理机制,对重要数据、个人信息、商业秘密重点保护。
划重点
对政务应用的网站、APP、公众号、小程序的有关数据进行分类分级管理,建立数据分类分级制度、策略并确保落地。
4.应用开发安全管控
根据规定第四章第二十七条,机关事业单位应强化政务应用的安全管理,对外部代码进行安全检测并建立业务连续性计划,防范变更等变化带来的风险,以确保业务稳健和安全。
划重点
(1)建立业务连续性计划,确保业务的稳健运营;
(2)加强应用开发安全管理,对外部代码进行安全检测。
5.电子邮件系统安全管控
根据规定第五章,机关事业单位采取措施对电子邮件的全生命周期的安全管控,具体包括账号权限管控、使用规范限制、设置内外部恶意邮件检测拦截。
划重点
对仿冒、假冒政务应用的网站、APP、公众号、小程序部署扫描和检测,及时报送给机构编制部门和网信部门。
6.安全监测和安全事件应急处置能力
根据规定第六章第三十六条、第三十七条和第三十八条,机关事业单位负责互联网政务应用开展日常监测和安全检查,应建立完善互联网政务应用安全监测能力,实时监测互联网政务应用运行状态和网络安全事件情况。此外,应建立网络安全事件应急处置机制。
划重点
(1) 内部应建完善安全监测能力,采取相关安全技术措施和管理措施,对政务应用的网站、APP、公众号、小程序部署安全监测工具并落实日常的监测和检查,确保对安全威胁的有效检测、预警和处置。
(2) 制定安全事件的应急机制,包括制定应急预案并组织演练,发生或可能发生安全事件时,应启动预案,及时处置事件、消除隐患和向有关部门报告。
7.政务应用假冒仿冒监测和投诉响应机制
根据规定第六章第三十九条规定,机关事业单位采取措施对仿冒、假冒应用进行扫描和检测,同时应当建立用户投诉、举报的响应机制,对投诉和举报进行受理。
划重点
对仿冒、假冒政务应用的网站、APP、公众号、小程序部署扫描和检测,及时报送给机构编制部门和网信部门。
问:五、违反该规定的后果有哪些?
答:根据新规第四十一条,对违反或者未能正确履行本规定相关要求的,按照《党委(党组)网络安全工作责任制实施办法》等文件,依规依纪追究当事人和有关领导的责任。
根据《党委(党组)网络安全工作责任制实施办法》第八条至第十一条,责任单位或个人将面临问责追究、上级监督考核评价和审计等监督措施。(相关规定见附件2)
(1)对违反规定机关事业单位将采取按行为和按后果开展问责。
(2)实施责任追究时分清集体和个人责任。
(3)党委(党组)和纪委(纪检组)对领导班子和领导干部提出问责建议。
(4)上级强化监督考核落实网络安全责任制考核机制,将相应事宜纳入检查考核评价范畴。
(5)各级审计机关和有关部门和单位也将相应责任纳入审计范畴。
具体问责方式包括:
(1)对于对党组织的问责方式,包括检查、通报和改组。
(2)对党的领导干部的问责方式,包括通报、诫勉、组织调整或者组织处理、纪律处分。
《互联网政务应用安全管理规定》的出台,意味着机关事业单位互联网应用安全管理方面迈出了重要一步。各机关事业单位应尽快依据新规采取措施有效施行各项义务,为加强政务应用的安全和保障公民的合法权益提供保障,共同构建措施落实安全、稳定、高效的互联网政务环境。
附 件
1.规定的架构及每个章节的重点内容
2.《党委(党组)网络安全工作责任制实施办法》相关规定
《党委(党组)网络安全工作责任制实施办法》
第八条 各级党委(党组)违反或者未能正确履行本办法所列职责,按照有关规定追究其相关责任。有下列情形之一的,各级党委(党组)应当逐级倒查,追究当事人、网络安全负责人至主要负责人责任。协调监管不力的,还应当追究综合协调或监管部门负责人责任。
(一)党政机关门户网站、重点新闻网站、大型网络平台被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散,且没有及时报告和组织处置的;
(二)地市级以上党政机关门户网站或者重点新闻网站受到攻击后没有及时组织处置,且瘫痪6小时以上的;
(三)发生国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的;
(四)关键信息基础设施遭受网络攻击,没有及时处置导致大面积影响人民群众工作、生活,或者造成重大经济损失,或者造成严重不良社会影响的;
(五)封锁、瞒报网络安全事件情况,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的;
(六)阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的;
(七)发生其他严重危害网络安全行为的。
第九条 实施责任追究应当实事求是,分清集体责任和个人责任。追究集体责任时,领导班子主要负责人和主管网络安全的领导班子成员承担主要领导责任,参与相关工作决策的领导班子其他成员承担重要领导责任。对领导班子、领导干部进行问责,应当由有管理权限的党组织依据有关规定实施。各级网络安全和信息化领导机构办公室可以向实施问责的党委(党组)、纪委(纪检组)提出问责建议。
第十条 各级党委(党组)应当建立网络安全责任制检查考核制度,完善健全考核机制,明确考核内容、方法、程序,考核结果送干部主管部门,作为对领导班子和有关领导干部综合考核评价的重要内容。
第十一条 各级审计机关在有关部门和单位的审计中,应当将网络安全建设和绩效纳入审计范围。