在上期内容中,白泽详细解读了《互联网政务应用安全管理规定》的前三章内容,为大家提供了对该规定的初步了解。在本期中,白泽将继续解读剩余章节的内容,重点探讨网络数据安全和邮件安全领域的安全准则,以及安全事件的监管与处理措施,促进数字政务生态的健康发展,提升公共服务的整体效能。
1
第四章 网络和数据安全
Q1
网络安全等级保护制度在互联网政务应用中的作用是什么?
网络安全等级保护制度通过对系统进行等级划分和保护,确保不同级别的系统获得适当的安全保障,从而降低网络和数据安全风险,保护政务服务的稳定性和安全性。
Q2
哪些类型的网站需要符合网络安全等级保护第三级要求?
包括中央和国家机关、地市级以上地方党政机关的门户网站,以及承载重要业务应用的机关事业单位网站和互联网电子邮件系统,都需要符合第三级安全保护要求。
Q3
机关事业单位在互联网政务应用的安全检测评估方面有什么要求?
机关事业单位需每年进行至少一次安全检测评估,此外,系统升级或新增功能前也需进行安全检测,以确保新变更不会引入安全风险。
Q4
访问控制策略包括哪些内容?
访问控制策略包括对接入IP地址段或设备的限制,特别是对境外访问采用白名单方式限制特定时段和设备的访问权限。
Q5
机关事业单位如何管理日志?
机关事业单位需留存防火墙、主机、访问、操作和数据库日志不少于1年,并定期备份,确保日志的完整性和可用性。
Q6
数据分类和保护的主要要求是什么?
机关事业单位需要根据国家和行业要求对数据进行分类分级管理,重点保护重要数据、个人信息和商业秘密,并不得未经同意公开或用于法定职责以外的目的。
Q7
云计算服务采购时需注意哪些事项?
采购云计算服务时需选择通过国家安全评估的云平台,并加强对云服务的使用管理,以确保其安全性。
Q8
外包开发和运维中如何保障数据安全?
在外包开发和运维中,应通过合同明确外包单位的安全责任,加强日常监督,确保外包单位不转包、不擅自访问或处理数据,并建立严格的授权机制。
Q9
如何进行容灾备份?
应建设或利用社会化灾备设施,对重要数据和系统进行容灾备份,以保障业务的连续性和数据的安全。
Q10
开发安全管理包括哪些方面?
开发安全管理要求对外部代码进行安全检测,并建立业务连续性计划,防范供应商服务变更等风险。
Q11
使用内容分发网络(CDN)服务时需要注意什么?
应确保CDN服务商将用户域名解析地址指向境内节点,以提高访问速度和安全性,避免跨境数据传输风险。
Q12
互联网政务应用如何进行身份认证?
应用应对用户进行真实身份认证,鼓励使用国家网络身份认证公共服务,并对重要应用采用多因素鉴别措施,增强安全性。
2
第五章 电子邮件安全
Q13
为什么推荐机关事业单位采用统一建设和共享电子邮件系统?
通过统一建设和共享使用模式,可以降低建设和维护成本,提高安全性和管理效率。党政机关和事业单位的邮件系统分别应使用特定域名后缀,以确保身份合法性和系统可信度。
Q14
机关事业单位工作人员在使用工作邮箱时有哪些规定?
工作人员不得利用工作邮箱违规存储、处理、传输、或转发国家秘密,以确保信息安全和机密性。
Q15
工作邮箱账号的管理流程包括哪些内容?
机关事业单位应建立严格的流程,包括申请、发放、变更、注销等,并定期清理账号,确保账号管理的规范和安全。
Q16
为什么要关闭邮件自动转发和自动下载附件功能?
关闭这些功能可以防止敏感信息被无意或恶意泄露,提升邮件系统的安全性。
Q17
机关事业单位的电子邮件系统在安全防护方面有哪些要求?
系统应具备恶意邮件检测和拦截功能,同时,应支持钓鱼邮件威胁情报共享,将钓鱼邮件信息报送主管部门,并根据下发的威胁情报配置防护策略。
Q18
如何保护电子邮件数据的存储安全?
鼓励机关事业单位使用商用密码技术对电子邮件数据进行加密存储,确保数据的安全性和保密性。
3
第六章 监测预警和应急处置
Q19
中央网信办在互联网政务应用安全监测方面有哪些职责?
中央网信办联合相关部门,负责对地市级以上党政机关的互联网政务应用进行安全监测,确保其安全性和稳定性。
Q20
各地区和部门在安全监测方面的职责是什么?
各地区和部门应对本地区、本行业的机关事业单位的互联网政务应用进行日常监测和安全检查,以及时发现和处理安全问题。
Q21
机关事业单位在安全监测能力建设方面有哪些要求?
机关事业单位应建立和完善安全监测能力,实时监测互联网政务应用的运行状态和网络安全事件,确保及时发现和应对潜在威胁。
Q22
发生网络安全事件时,机关事业单位需要采取哪些措施?
机关事业单位应按照相关规定向有关部门报告网络安全事件,启动应急预案,及时处置事件,消除安全隐患,防止事态扩大。
4
第七章 监督管理
Q23
中央各部门在互联网政务应用安全管理中分别有哪些职责?
中央网信办负责统筹协调互联网政务应用的安全管理工作;中央机构编制管理部门负责核验开办主体身份及管理名称和标识;国务院电信主管部门负责域名监督管理和互联网信息服务(ICP)备案;国务院公安部门负责监督检查和指导网络安全等级保护工作。
Q24
各地区和部门在互联网政务应用安全管理中的职责是什么?
各地区和部门应对本地区、本行业的互联网政务应用安全管理负责,指定专人分管相关工作,并加强对安全工作的组织领导。
点击阅读原文跳转《规定》原文
供稿、排版:刘智晨
审核:张琬琪、洪赓、邬梦莹
复旦白泽战队
一个有情怀的安全团队
还没有关注复旦白泽战队?
公众号、知乎、微博搜索:复旦白泽战队也能找到我们哦~