长亭百川云 - 文章详情

白泽解读《互联网政务应用安全管理规定》(下)

复旦白泽战队

66

2024-07-27

    在上期内容中,白泽详细解读了《互联网政务应用安全管理规定》的前三章内容,为大家提供了对该规定的初步了解。在本期中,白泽将继续解读剩余章节的内容,重点探讨网络数据安全和邮件安全领域的安全准则,以及安全事件的监管与处理措施,促进数字政务生态的健康发展,提升公共服务的整体效能。

1

第四章 网络和数据安全

**Q1
**

网络安全等级保护制度在互联网政务应用中的作用是什么?

网络安全等级保护制度通过对系统进行等级划分和保护,确保不同级别的系统获得适当的安全保障,从而降低网络和数据安全风险,保护政务服务的稳定性和安全性。

**Q2
**

哪些类型的网站需要符合网络安全等级保护第三级要求?

包括中央和国家机关、地市级以上地方党政机关的门户网站,以及承载重要业务应用的机关事业单位网站和互联网电子邮件系统,都需要符合第三级安全保护要求。

**Q3
**

机关事业单位在互联网政务应用的安全检测评估方面有什么要求?

机关事业单位需每年进行至少一次安全检测评估,此外,系统升级或新增功能前也需进行安全检测,以确保新变更不会引入安全风险。

**Q4
**

访问控制策略包括哪些内容?

访问控制策略包括对接入IP地址段或设备的限制,特别是对境外访问采用白名单方式限制特定时段和设备的访问权限。

**Q5
**

机关事业单位如何管理日志?

机关事业单位需留存防火墙、主机、访问、操作和数据库日志不少于1年,并定期备份,确保日志的完整性和可用性。

**Q6
**

数据分类和保护的主要要求是什么?

机关事业单位需要根据国家和行业要求对数据进行分类分级管理,重点保护重要数据、个人信息和商业秘密,并不得未经同意公开或用于法定职责以外的目的。

**Q7
**

云计算服务采购时需注意哪些事项?

采购云计算服务时需选择通过国家安全评估的云平台,并加强对云服务的使用管理,以确保其安全性。

**Q8
**

外包开发和运维中如何保障数据安全?

在外包开发和运维中,应通过合同明确外包单位的安全责任,加强日常监督,确保外包单位不转包、不擅自访问或处理数据,并建立严格的授权机制。

**Q9
**

如何进行容灾备份?

应建设或利用社会化灾备设施,对重要数据和系统进行容灾备份,以保障业务的连续性和数据的安全。

**Q10
**

开发安全管理包括哪些方面?

开发安全管理要求对外部代码进行安全检测,并建立业务连续性计划,防范供应商服务变更等风险。

**Q11
**

使用内容分发网络(CDN)服务时需要注意什么?

应确保CDN服务商将用户域名解析地址指向境内节点,以提高访问速度和安全性,避免跨境数据传输风险。

**Q12
**

互联网政务应用如何进行身份认证?

应用应对用户进行真实身份认证,鼓励使用国家网络身份认证公共服务,并对重要应用采用多因素鉴别措施,增强安全性。

2

第五章 电子邮件安全

**Q13
**

为什么推荐机关事业单位采用统一建设和共享电子邮件系统?

通过统一建设和共享使用模式,可以降低建设和维护成本,提高安全性和管理效率。党政机关和事业单位的邮件系统分别应使用特定域名后缀,以确保身份合法性和系统可信度。

**Q14
**

机关事业单位工作人员在使用工作邮箱时有哪些规定?

工作人员不得利用工作邮箱违规存储、处理、传输、或转发国家秘密,以确保信息安全和机密性。

**Q15
**

工作邮箱账号的管理流程包括哪些内容?

机关事业单位应建立严格的流程,包括申请、发放、变更、注销等,并定期清理账号,确保账号管理的规范和安全。

**Q16
**

为什么要关闭邮件自动转发和自动下载附件功能?

关闭这些功能可以防止敏感信息被无意或恶意泄露,提升邮件系统的安全性。

**Q17
**

机关事业单位的电子邮件系统在安全防护方面有哪些要求?

系统应具备恶意邮件检测和拦截功能,同时,应支持钓鱼邮件威胁情报共享,将钓鱼邮件信息报送主管部门,并根据下发的威胁情报配置防护策略。

**Q18
**

如何保护电子邮件数据的存储安全?

鼓励机关事业单位使用商用密码技术对电子邮件数据进行加密存储,确保数据的安全性和保密性。

3

第六章 监测预警和应急处置

**Q19
**

中央网信办在互联网政务应用安全监测方面有哪些职责?

中央网信办联合相关部门,负责对地市级以上党政机关的互联网政务应用进行安全监测,确保其安全性和稳定性。

**Q20
**

各地区和部门在安全监测方面的职责是什么?

各地区和部门应对本地区、本行业的机关事业单位的互联网政务应用进行日常监测和安全检查,以及时发现和处理安全问题。

**Q21
**

机关事业单位在安全监测能力建设方面有哪些要求?

机关事业单位应建立和完善安全监测能力,实时监测互联网政务应用的运行状态和网络安全事件,确保及时发现和应对潜在威胁。

**Q22
**

发生网络安全事件时,机关事业单位需要采取哪些措施?

机关事业单位应按照相关规定向有关部门报告网络安全事件,启动应急预案,及时处置事件,消除安全隐患,防止事态扩大。

4

第七章 监督管理

**Q23
**

中央各部门在互联网政务应用安全管理中分别有哪些职责?

中央网信办负责统筹协调互联网政务应用的安全管理工作;中央机构编制管理部门负责核验开办主体身份及管理名称和标识;国务院电信主管部门负责域名监督管理和互联网信息服务(ICP)备案;国务院公安部门负责监督检查和指导网络安全等级保护工作。

**Q24
**

各地区和部门在互联网政务应用安全管理中的职责是什么?

各地区和部门应对本地区、本行业的互联网政务应用安全管理负责,指定专人分管相关工作,并加强对安全工作的组织领导。

点击阅读原文跳转《规定》原文

供稿、排版:刘智晨

审核:张琬琪、洪赓、邬梦莹

复旦白泽战队

一个有情怀的安全团队

还没有关注复旦白泽战队?

公众号、知乎、微博搜索:复旦白泽战队也能找到我们哦~

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2