5月15日,中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部联合发布的《互联网政务应用安全管理规定》(简称《规定》)正式公布,并将于2024年7月1日起实施。
《规定》共计8章44条,涵盖了总则、开办和建设、信息安全、网络和数据安全、电子邮件安全、监测预警和应急处置、监督管理以及附则等内容。此《规定》为机关事业单位在门户网站、移动应用程序、公众号、电子邮件系统等方面的建设运行提供了明确指导,与数字法治政府建设的时代要求相契合。
明确互联网政务应用的基本原则
《法治政府建设实施纲要(2021—2025年)》将“智能高效”作为法治政府建设的重要目标,并提出“全面建设数字法治政府”的愿景。互联网政务应用作为数字法治政府的关键组成部分,其建设需遵循基本原则。《规定》第三条明确指出,互联网政务应用的建设运行应依照法律、行政法规和国家标准的强制性要求,落实网络安全原则,采取必要的技术措施和其他措施,防范内容篡改、攻击致瘫、数据窃取等风险,确保应用的安全稳定运行和数据安全。机关事业单位需依据网络安全、数据安全、个人信息保护等相关法律及国家标准进行互联网政务应用的建设运行。
为避免部门分割和公共行政任务碎片化,《规定》强调机关事业单位在互联网政务应用建设运行中应坚持“同步规划、同步建设、同步使用”的原则,进行整体规划、集中建设,并清理当前存在的多网站、无标识、多域名等问题,以最大化便利用户。
细化互联网政务应用的管理义务
随着数字技术的快速发展,公共行政的数字化转型成为法治政府建设的重要内容。《规定》第三章至第六章详细规定了机关事业单位在信息安全、网络和数据安全、电子邮件安全以及预警和应急方面的管理义务,以加强互联网政务应用的安全保障。
具体措施包括:
- 规范信息发布审核机制:要求健全信息发布审核制度,明确审核程序,并指定在编人员负责审核工作。机关事业单位在转载或链接非政务应用信息时,需进行严格的校对和审核。
- 强调数据分级分类治理和信息安全:要求对政务应用的相关数据进行分类分级管理,并严格保护个人信息、商业秘密等敏感数据。对于委托外包单位进行互联网应用开发和运维时,需加强监督管理和考核问责。
- 确立等级保护与安全检测评估:要求机关事业单位采取安全保密措施,对涉及国家秘密、工作秘密等进行保护。对于重要业务应用的政务网站和电子邮件等,需符合网络安全等级保护第三级要求,并委托第三方进行安全检测评估。
- 提升监测和安全事件应急处置能力:要求机关事业单位部署安全监测工具,制定安全事件应急机制,并及时处置和报告网络安全事件。同时,建立监管机制,打击假冒仿冒互联网政务应用的相关违法犯罪活动。
落实互联网政务应用的监管责任
《规定》第七章明确了互联网政务应用的监督管理职责,由中央网络安全和信息化委员会办公室负责统筹协调管理,各相关部门分别负责身份核验、名称管理、域名监督管理和安全管理工作。各地区、各部门需承担本地区、本行业机关事业单位的互联网政务应用安全管理责任,并指定负责人分管相关工作。
为严格落实监督管理责任,《规定》第四十一条明确了责任追究制度,对违反或未能正确履行《规定》相关要求的当事人和有关领导将依规依纪追究责任。各级党政机关和事业单位应建立互联网政务应用安全责任制检查考核制度,完善考核机制,并将考核结果作为对相关领导干部的综合考核评价内容。
