本文来自中国政府采购报。
近日,由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》(以下简称《规定》)印发,自2024年7月1日起施行。
随着我国“互联网+政务服务”的持续推进,互联网政务应用大量出现,越来越多的高频政务服务事项实现了“网上办、掌上办、自助办、随时办”。海量的公共数据、企业数据、个人数据汇集,使得互联网政务应用成为隐私数据泄露的高发地。机关事业单位内部存在的管理权限不清、违规操作等内部风险,也成为棘手的问题。增强互联网政务应用的安全性,防范网络攻击及公共数据、企业数据、个人数据非法获取或篡改,提高互联网政务应用的稳定性和可靠性,成为机关事业单位当前的重要挑战。相关专家表示,加强互联网政务应用安全管理,对于保障国家安全、维护社会稳定、促进经济发展和提高政务服务效率,都具有重要意义。
为此,《规定》明确,建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求,落实网络安全与互联网政务应用“同步规划、同步建设、同步使用”原则,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险,保障互联网政务应用安全稳定运行和数据安全。
关于互联网政务应用的开办和建设,《规定》明确,一个党政机关最多开设一个门户网站;互联网政务应用的名称优先使用实体机构名称、规范简称,使用其他名称的,原则上采取区域名加职责名的命名方式,并在显著位置标明实体机构名称。
《规定》强化了安全保障,对“信息安全”“网络和数据安全”“电子邮件安全”等均作出规定。在信息和数据安全方面,《规定》明确,机关事业单位应当按照国家、行业领域有关数据安全和个人信息保护的要求,对互联网政务应用数据进行分类分级管理,对重要数据、个人信息、商业秘密进行重点保护。机关事业单位通过互联网政务应用收集的个人信息、商业秘密和其他未公开资料,未经信息提供方同意不得向第三方提供或公开,不得用于履行法定职责以外的目的等。
软硬件服务是保障信息和数据安全的“基座”,在软硬件服务的采购及使用上,《规定》明确,党政机关建设互联网政务应用采购云计算服务,应当选取通过国家云计算服务安全评估的云平台,并加强对所采购云计算服务的使用管理。为互联网政务应用提供服务的数据中心、云计算服务平台等应当设在境内。机关事业单位应当合理建设或利用社会化专业灾备设施,对互联网政务应用重要数据和信息系统等进行容灾备份。互联网政务应用系统升级、新增功能以及引入新技术新应用,应当在上线前进行安全检测评估。机关事业单位应当自行或者委托具有相应资质的第三方网络安全服务机构,对互联网政务应用网络和数据安全每年至少进行一次安全检测评估。
此外,《规定》还对监测预警和应急处置作出要求,明确机关事业单位应当建立完善互联网政务应用安全监测能力,实时监测互联网政务应用运行状态和网络安全事件情况。中央网络安全和信息化委员会办公室会同国务院电信主管部门、公安部门和其他有关部门,组织对地市级以上党政机关互联网政务应用开展安全监测。
