从《互联网政务应用安全管理规定》洞见“政务数据”安全管理要点

近日，中央网络安全和信息化委员会办公室会同中央机构编制委员会办公室、工业和信息化部、公安部等共四部门联合制定印发《互联网政务应用安全管理规定》，围绕互联网政务应用的定义与范围、信息安全、网络和数据安全等方面的管理要求、监管和应急处置举措等方面作出了有关规定，该法规即将于7月1日正式施行。本文重点对以上政策法规涉及政务数据相关内容进行解读。

党中央、国务院围绕“政务服务”“政务应用”等议题相继印发了《关于进一步优化政务服务提升行政效能推动“高效办成一件事”的指导意见》《互联网政务应用安全管理规定》（以下简称为《规定》）等一系列政策法规，一方面，强调以数字化手段提升政府行政效能，谋划推进优化政务服务、提升办事效率的重点事项清单；另一方面，正在着力破除因过度数字化而引发的过度留痕、强制使用等“指尖上的形式主义”突出问题。政务数据作为数字政务发展过程中的重要价值载体，是赋能数字政府建设发展的核心资源，贯穿在系统建设和运行保障的各流程各环节。现将《规定》中涉及政务数据相关内容要点总结提炼如下。

一、推进关键数据统筹管理

互联网政务应用是支撑政务服务的重要技术形态，具备权威性高、辐射范围广、影响力深入等特点，对机关事业单位建设使用的官方网站、移动应用程序（含小程序）、公众账号的认定工作，因涉及到主体身份、ICP备案等关键政务数据，由中央国家机关统一管理运营。关键数据包括：

• 身份管理类数据：由机构编制管理部门统筹制定互联网政务应用的命名规范、设置专属网上标识，并为机关事业单位制发专属电子证书或纸质证书，以用于身份确认与核验。

• 服务备案类数据：由工业和信息化部负责互联网政务应用域名监督管理和互联网信息服务（ICP）备案工作。

• 用户认证类数据：由机关事业单位主体对注册用户的真实身份信息进行认证和管理。

二、强化安全风险管理意识

互联网政务应用是推动政策文件发布、开展社会主义意识形态建设工作的重要“窗口“，其后端作为推进数据汇聚、开展关联分析的关键信息系统，是信息开放流动过程中的重要风险点，易引发“开源风险”。立足于的事前“发布审核”、事中“安全监测”和事后“应急处置”，文件均作出了相应规定。

• 发布审核：由机关事业单位主体保障发布内容的权威性、真实性、准确性、及时性和严肃性，并建立审核记录档案。

• 安全监测：由中央网信办、工业和信息化部、公安部和有关部门组织开展地市级以上党政机关互联网政务应用安全监测；由各地区、各部门对本地区、本行业机关事业单位互联网政务应用开展日常监测和安全检查；机关事业单位主体应当具备与互联网政务应用相配套的安全监测能力。

• 应急处置：机关事业单位主体应当制定应急预案，在发生或可能发生网络安全事件时可通过应急预案及时处置网络安全事件。

三、压实数据安全管理责任

互联网政务应用（如网站、电子邮件系统等）承载了大量本部门、本地区的业务数据，易成为不法分子的重点攻击对象，亟需在网络层面、基础设施层面、数据安全层面制定有效的安全防护措施，文件通过建立规范化管理制度、定期推进检测评估、强化技术管控等要求，压实互联网政务应用主体责任，保障业务系统安全稳定运行。

• 管理制度：一是促进组织治理规范化，机关事业单位应推进互联网政务应用中数据的分类分级管理，不得将收集到的个人信息、商业秘密和其他未公开资料用于履行法定职责以外的目的；二是推进服务采购标准化，应使用设置在境内的数据中心、云计算服务平台，选取采购通过“国家云计算服务安全评估”的云计算服务；三是压实外部安全管理责任，机关事业单位应当以合同等手段明确外包单位网络和数据安全责任，按照最小必要原则对外包单位人员进行精细化授权，严令禁止转包、分包合同任务及访问、修改、披露、利用、转让、销毁数据行为。四是加强开发安全管理，对外部代码开展安全检测，建立业务连续性计划，降低由于外部变更给升级改造、运维保障方面带来的风险。

• 检测评估：一是常态化推进等保、密评工作，建设互联网政务应用按照有关标准规范开展定级备案、等级测评工作，中央和国家机关、地市级以上地方党政机关门户网站，以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等，应当符合等保三级要求。二是定期推进网络和数据安全检测工作，每年至少进行一次安全检测评估，并应在系统升级、新增功能以及引入新技术新应用后重新开展安全检测评估。

• 技术管控：一是强化访问控制，互联网政务应用应设置访问控制策略，对境外IP接入应采用白名单方式开通特定时段、特定设备或账号的访问权限；二是推进容灾备份，对互联网政务应用重要数据和信息系统等进行容灾备份；三是促进安全应用，选用依法设立的电子政务电子认证服务机构提供电子认证服务，促进信息安全交互；采取多因素鉴别、超时退出、限制登录失败次数、账号与终端绑定等技术手段等方式保障应用安全性。

声明：本文来自大数据技术标准推进委员会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。