白泽解读《互联网政务应用安全管理规定》（下）

    在上期内容中，白泽详细解读了《互联网政务应用安全管理规定》的前三章内容，为大家提供了对该规定的初步了解。在本期中，白泽将继续解读剩余章节的内容，重点探讨网络数据安全和邮件安全领域的安全准则，以及安全事件的监管与处理措施，促进数字政务生态的健康发展，提升公共服务的整体效能。

1

第四章 网络和数据安全

**Q1
**

网络安全等级保护制度在互联网政务应用中的作用是什么？

网络安全等级保护制度通过对系统进行等级划分和保护，确保不同级别的系统获得适当的安全保障，从而降低网络和数据安全风险，保护政务服务的稳定性和安全性。

**Q2
**

哪些类型的网站需要符合网络安全等级保护第三级要求？

包括中央和国家机关、地市级以上地方党政机关的门户网站，以及承载重要业务应用的机关事业单位网站和互联网电子邮件系统，都需要符合第三级安全保护要求。

**Q3
**

机关事业单位在互联网政务应用的安全检测评估方面有什么要求？

机关事业单位需每年进行至少一次安全检测评估，此外，系统升级或新增功能前也需进行安全检测，以确保新变更不会引入安全风险。

**Q4
**

访问控制策略包括哪些内容？

访问控制策略包括对接入IP地址段或设备的限制，特别是对境外访问采用白名单方式限制特定时段和设备的访问权限。

**Q5
**

机关事业单位如何管理日志？

机关事业单位需留存防火墙、主机、访问、操作和数据库日志不少于1年，并定期备份，确保日志的完整性和可用性。

**Q6
**

数据分类和保护的主要要求是什么？

机关事业单位需要根据国家和行业要求对数据进行分类分级管理，重点保护重要数据、个人信息和商业秘密，并不得未经同意公开或用于法定职责以外的目的。

**Q7
**

云计算服务采购时需注意哪些事项？

采购云计算服务时需选择通过国家安全评估的云平台，并加强对云服务的使用管理，以确保其安全性。

**Q8
**

外包开发和运维中如何保障数据安全？

在外包开发和运维中，应通过合同明确外包单位的安全责任，加强日常监督，确保外包单位不转包、不擅自访问或处理数据，并建立严格的授权机制。

**Q9
**

如何进行容灾备份？

应建设或利用社会化灾备设施，对重要数据和系统进行容灾备份，以保障业务的连续性和数据的安全。

**Q10
**

开发安全管理包括哪些方面？

开发安全管理要求对外部代码进行安全检测，并建立业务连续性计划，防范供应商服务变更等风险。

**Q11
**

使用内容分发网络（CDN）服务时需要注意什么？

应确保CDN服务商将用户域名解析地址指向境内节点，以提高访问速度和安全性，避免跨境数据传输风险。

**Q12
**

互联网政务应用如何进行身份认证？

应用应对用户进行真实身份认证，鼓励使用国家网络身份认证公共服务，并对重要应用采用多因素鉴别措施，增强安全性。

2

第五章 电子邮件安全

**Q13
**

为什么推荐机关事业单位采用统一建设和共享电子邮件系统？

通过统一建设和共享使用模式，可以降低建设和维护成本，提高安全性和管理效率。党政机关和事业单位的邮件系统分别应使用特定域名后缀，以确保身份合法性和系统可信度。

**Q14
**

机关事业单位工作人员在使用工作邮箱时有哪些规定？

工作人员不得利用工作邮箱违规存储、处理、传输、或转发国家秘密，以确保信息安全和机密性。

**Q15
**

工作邮箱账号的管理流程包括哪些内容？

机关事业单位应建立严格的流程，包括申请、发放、变更、注销等，并定期清理账号，确保账号管理的规范和安全。

**Q16
**

为什么要关闭邮件自动转发和自动下载附件功能？

关闭这些功能可以防止敏感信息被无意或恶意泄露，提升邮件系统的安全性。

**Q17
**

机关事业单位的电子邮件系统在安全防护方面有哪些要求？

系统应具备恶意邮件检测和拦截功能，同时，应支持钓鱼邮件威胁情报共享，将钓鱼邮件信息报送主管部门，并根据下发的威胁情报配置防护策略。

**Q18
**

如何保护电子邮件数据的存储安全？

鼓励机关事业单位使用商用密码技术对电子邮件数据进行加密存储，确保数据的安全性和保密性。

3

第六章 监测预警和应急处置

**Q19
**

中央网信办在互联网政务应用安全监测方面有哪些职责？

中央网信办联合相关部门，负责对地市级以上党政机关的互联网政务应用进行安全监测，确保其安全性和稳定性。

**Q20
**

各地区和部门在安全监测方面的职责是什么？

各地区和部门应对本地区、本行业的机关事业单位的互联网政务应用进行日常监测和安全检查，以及时发现和处理安全问题。

**Q21
**

机关事业单位在安全监测能力建设方面有哪些要求？

机关事业单位应建立和完善安全监测能力，实时监测互联网政务应用的运行状态和网络安全事件，确保及时发现和应对潜在威胁。

**Q22
**

发生网络安全事件时，机关事业单位需要采取哪些措施？

机关事业单位应按照相关规定向有关部门报告网络安全事件，启动应急预案，及时处置事件，消除安全隐患，防止事态扩大。

4

第七章 监督管理

**Q23
**

中央各部门在互联网政务应用安全管理中分别有哪些职责？

中央网信办负责统筹协调互联网政务应用的安全管理工作；中央机构编制管理部门负责核验开办主体身份及管理名称和标识；国务院电信主管部门负责域名监督管理和互联网信息服务（ICP）备案；国务院公安部门负责监督检查和指导网络安全等级保护工作。

**Q24
**

各地区和部门在互联网政务应用安全管理中的职责是什么？

各地区和部门应对本地区、本行业的互联网政务应用安全管理负责，指定专人分管相关工作，并加强对安全工作的组织领导。

点击阅读原文跳转《规定》原文

供稿、排版：刘智晨

审核：张琬琪、洪赓、邬梦莹

复旦白泽战队

一个有情怀的安全团队

还没有关注复旦白泽战队？

公众号、知乎、微博搜索：复旦白泽战队也能找到我们哦~