关于加强党政机关网站安全管理的通知
中网办发文【2014】1号
各省、自治区、直辖市网络安全和信息化领导小组,中央和国家机关各部委,各人民团体:
为提高党政机关网站安全防护水平,保障和促进党政机关网站建设,经中央网络安全和信息化领导小组同意,现就加强党政机关网站安全管理通知如下。
一、充分认识加强党政机关网站安全管理的重要性和紧迫性
随着信息技术的广泛深入应用,特别是电子政务的不断发展,党政机关网站作用日益突出,已经成为宣传党的路线方针政策、公开政务信息的重要窗口,成为各级党政机关履行社会管理和公共服务职能、为民办事和了解掌握社情民意的重要平台。近年来,各地区各部门按照党中央、国务院的要求,在推进党政机关网站建设的同时,认真做好网站安全管理工作,保证了党政机关网站作用的发挥。但也要看到,当前党政机关网站安全管理工作中还存在一些亟待解决的问题,主要表现为:管理制度不健全,开办审批不严格,一些不具备资格的机构注册开办党政机关网站,还有一些不法分子仿冒党政机关网站,严重影响党和政府形象,侵害公众利益;一些单位对网站安全管理重视不够,安全投入相对不足,安全防护手段滞后,安全保障能力不强,网站被攻击、内容被篡改以及重要敏感信息泄露等事件时有发生;一些网站信息发布、转载、链接管理制度不严格,信息内容缺乏严肃性,保密审查制度不落实;党政机关电子邮件安全管理要求不明确,人员安全意识不强,邮件系统被攻击利用、通过电子邮件传输国家秘密信息等问题比较严重,威胁国家网络安全。
随着党政机关网站承载的业务不断增加,涉及政务信息、商业秘密和个人信息的内容越来越多,党政机关网站及电子邮件系统日益成为不法分子和各种犯罪组织的重点攻击对象,安全管理面临更大挑战。各级党政机关要充分认识加强党政机关网站安全管理的重要性和紧迫性,保持清醒头脑,克服麻痹思想,采取有效措施,确保党政机关网站安全运行、健康发展。
二、严格党政机关网站的开办审核
明确党政机关网站开办条件和审核要求。各级党政机关以及人大、政协、法院、检察院等机关和部门,开办的党政机关网站主要任务是宣传党和国家方针政策、发布政务信息、开展网上办事。不具有行政管理职能的事业单位原则上不得开办党政机关网站,企业、个人以及其他社会组织不得开办党政机关网站。党政机关网站要使用以“.gov.cn”、“.政务.cn”或“.政务”为结尾的域名,并及时备案。规范党政机关网站域名和网站名称。各省、自治区、直辖市机构编制部门会同同级网络安全和信息化领导小组办公室负责党政机关网站开办审核工作,2015年前,要组织完成党政机关网站开办资格复核。中央机构编制委员会办公室电子政务中心、中国互联网络信息中心配合做好党政机关网站开办审核和资格复核工作,不受理未通过审核的域名注册申请,及时清理没有通过资格复核的已注册党政机关网站域名。
加强党政机关网站建设的统筹规划和资源共享。中央和国家机关各部委要统筹规划本部门及直属机构的党政机关网站建设。提倡各地区采取集约化模式建设党政机关网站,县级党政机关各部门以及乡镇党政机关可利用上级党政机关网站平台,原则上不单独建设党政机关网站。
为党政机关提供网站和邮件服务的数据中心、云计算服务平台等要设在境内。采购和使用社会力量提供的网站和电子邮件等服务时,应进行网络安全审查,加强安全监管。
三、严格党政机关网站信息发布、转载和链接管理
党政机关网站发布的信息主要是本地区本部门本系统的有关政策规定、政务信息、办事指南、便民服务信息等。各地区各部门要建立健全网站信息发布审核和保密审查制度,明确审核审查程序,指定机构和人员负责审核审查工作,建立审核审查记录档案,确保信息内容的准确性、真实性和严肃性,确保信息内容不涉及国家秘密和内部敏感信息。发布政务信息要严格执行有关规定,信息发布审查过程中,要充分考虑各种信息之间的关联性,防止由于数据汇聚泄露国家秘密或内部敏感信息。党政机关网站原则上不承担与本地区本部门本系统无关的新闻信息采集和发布义务,不得发布广告等经营性信息,严禁发布违反国家规定的信息以及低俗、庸俗、媚俗信息内容。
党政机关网站转载的信息应与政务等履行职能的活动相关,并评估内容的真实性和客观性,充分考虑知识产权保护等问题。加强网站链接管理,定期检查链接的有效性和适用性。需要链接非党政机关网站的,须经本单位分管网站安全工作的负责同志批准,链接的资源应与政务等履行职能的活动相关,或者属于便民服务的范围。采取技术措施,做到在用户点击链接离开党政机关网站时予以明确提示。
四、强化党政机关网站应用安全管理
积极利用新技术提升党政机关网站服务能力和水平,充分考虑可能带来的安全风险和隐患,有针对性地采取防范措施。网站开通前要进行安全测评,新增栏目、功能要进行安全评估。加强对网站系统软件、管理软件、应用软件的安全配置管理,做好安全防护工作,消除安全隐患。
加强党政机关网站中留言评论等互动栏目管理,按照信息发布审核和保密审查的要求,对拟发布内容进行审核审查。严格对博客、微博等服务的管理,博客、微博申请注册人员原则上应限于本单位工作人员,信息发布要署实名,内容应与所从事的工作相关。党政机关网站原则上不开办对社会开放的论坛等服务,确需开办的要严格报批并加强管理。
严格遵守相关规定、标准和协议要求,加强党政机关网站中重要政务信息、商业秘密和个人信息的保护,防止未经授权使用、修改和泄露。
五、建立党政机关网站标识制度
建立和规范党政机关网站标识,有助于公众识别、区分党政机关网站和非党政机关网站,发现和打击仿冒党政机关网站,有助于保证党政机关网站的权威性、严肃性。中央机构编制委员会办公室会同有关部门抓紧设计党政机关网站统一标识,组织制定党政机关网站标识使用规范。党政机关网站标识应按要求放置,非党政机关网站不得使用。
加大对仿冒党政机关网站行为的监测力度。科技部、工业和信息化部要组织研制专门技术工具,自动监测发现盗用党政机关网站标识行为和仿冒的党政机关网站。国家互联网信息办公室要组织网络等媒体加强宣传教育,提高公众识别真假党政机关网站的能力。违法和不良信息举报中心受理仿冒党政机关网站举报并组织处置,各单位发现仿冒党政机关网站以及攻击破坏党政机关网站的行为要及时报告;涉嫌违法犯罪的,由公安机关依法处理。
六、加强党政机关电子邮件安全管理
党政机关工作人员要利用本单位网站邮箱等专用电子邮件系统处理业务工作。严格党政机关专用电子邮件系统注册审批与登记,各单位网站邮箱原则上只限于本单位工作人员注册使用,人员离职后应注销电子邮件账号。各地方可通过统一建设、共享使用的模式,建设党政机关专用电子邮件系统,为本地区党政机关提供电子邮件服务。
加强电子邮件系统安全防护,综合运用管理和技术措施保障邮件安全。严格电子邮件使用管理,明确电子邮件账号、密码管理要求,不得使用简单密码或长期不更换密码,有条件的单位,应使用数字证书等手段提高邮件账户安全性,防止电子邮件账号被攻击盗用。严禁通过互联网电子邮箱办理涉密业务,存储、处理、转发国家秘密信息和重要敏感信息。
七、加强党政机关网站技术防护体系建设
各地区各部门在规划建设党政机关网站时,应按照同步规划、同步建设、同步运行的要求,参照国家有关标准规范,从业务需求出发,建立以网页防篡改、域名防劫持、网站防攻击以及密码技术、身份认证、访问控制、安全审计等为主要措施的网站安全防护体系。切实落实信息安全等级保护等制度要求,做好党政机关网站定级、备案、建设、整改和管理工作,加强党政机关网站移动应用安全管理,提高网站防篡改、防病毒、防攻击、防瘫痪、防泄密能力。
制定完善党政机关网站安全应急预案,明确应急处置流程、处置权限,落实应急技术支撑队伍,强化技能训练,开展网站应急演练,提高应急处置能力。合理建设或利用社会专业灾备设施,做好党政机关网站灾备工作。采取有效措施提高党政机关网站域名解析安全保障能力。统筹组织专业技术力量对中央和国家机关网站开展日常安全监测,各省、自治区、直辖市网络安全和信息化领导小组办公室要结合本地实际,组织开展对本地区重点党政机关网站的安全监测。工业和信息化部指导电信运营企业为党政机关网站安全运行提供通信保障。公安机关要加大对攻击破坏党政机关网站等违法犯罪行为的依法打击力度。国家标准委要加快制定完善有关网站、电子邮件的国家信息安全技术和管理标准。
八、加强对党政机关网站安全管理工作的组织领导
进一步明确和落实安全管理责任。各地区各部门要按照谁主管谁负责、谁运行谁负责的原则,切实承担起本地区本部门党政机关网站安全管理责任,指定一名负责同志分管相关工作,加强对网站安全的领导,明确负责网站的信息审核、保密审查、运行维护、应用管理等业务的机构和人员。加强对领导干部和工作人员的教育培训,提高安全利用网站和电子邮件的意识和技能。中央和地方网络安全和信息化领导小组办事机构要做好党政机关网站安全工作的协调、指导和督促检查。各级财政部门,立足现有经费渠道,对党政机关网站安全管理相关工作给予保障。
加大党政机关网站、电子邮件系统的安全检查力度,中央和国家机关各部门网站和省市两级党政机关门户网站、电子邮件系统等每半年进行一次全面的安全检查和风险评估。各级保密行政管理部门要加强对党政机关网站和电子邮件系统信息涉密情况的检查监管。对违反制度规定、有章不循、有禁不止,造成泄密和安全事件的要依法依纪追究当事人和有关领导的责任。
军队网站和电子邮件安全管理工作,由军队有关部门根据本通知精神另行规定。
中央网络安全和信息化委员会办公室
2014年5月9日