互联网政务应用安全管理规定(全文)

第二十九条 互联网政务应用应当使用安全连接方式访问，涉及的电子认证服务应当由依法设立的电子政务电子认证服务机构提供。

第三十条 互联网政务应用应当对注册用户进行真实身份信息认证。国家鼓励互联网政务应用支持用户使用国家网络身份认证公共服务进行真实身份信息注册。

对与人身财产安全、社会公共利益等相关的互联网政务应用和电子邮件系统，应当采取多因素鉴别提高安全性，采取超时退出、限制登录失败次数、账号与终端绑定等技术手段防范账号被盗用风险，鼓励采用电子证书等身份认证措施。

第五章电子邮件安全

第三十一条 鼓励各地区、各部门通过统一建设、共享使用的模式，建设机关事业单位专用互联网电子邮件系统，作为工作邮箱，为本地区、本行业机关事业单位提供电子邮件服务。党政机关自建的互联网电子邮件系统的域名应当以“.gov.cn”或“.政务”为后缀，事业单位自建的互联网电子邮件系统的域名应当以“.cn”或“.公益”为后缀。

机关事业单位工作人员不得使用工作邮箱违规存储、处理、传输、转发国家秘密。

第三十二条 机关事业单位应当建立工作邮箱账号的申请、发放、变更、注销等流程，严格账号审批登记，定期开展账号清理。

第三十三条 机关事业单位互联网电子邮件系统应当关闭邮件自动转发、自动下载附件功能。

第三十四条 机关事业单位互联网电子邮件系统应当具备恶意邮件（含本单位内部发送的邮件）检测拦截功能，对恶意邮箱账号、恶意邮件服务器IP以及恶意邮件主题、正文、链接、附件等进行检测和拦截。应当支持钓鱼邮件威胁情报共享，将发现的钓鱼邮件信息报送至主管部门和属地网信部门，按照有关部门下发的钓鱼邮件威胁情报，配置相应防护策略预置拦截钓鱼邮件。

第三十五条 鼓励机关事业单位基于商用密码技术对电子邮件数据的存储进行安全保护。

第六章 监测预警和应急处置

第三十六条 中央网络安全和信息化委员会办公室会同国务院电信主管部门、公安部门和其他有关部门，组织对地市级以上党政机关互联网政务应用开展安全监测。

各地区、各部门应当对本地区、本行业机关事业单位互联网政务应用开展日常监测和安全检查。

机关事业单位应当建立完善互联网政务应用安全监测能力，实时监测互联网政务应用运行状态和网络安全事件情况。

第三十七条 互联网政务应用发生网络安全事件时，机关事业单位应当按照有关规定向相关部门报告。

第三十八条 中央网络安全和信息化委员会办公室统筹协调重大网络安全事件的应急处置。

互联网政务应用发生或可能发生网络安全事件时，机关事业单位应当立即启动本单位网络安全应急预案，及时处置网络安全事件，消除安全隐患，防止危害扩大。