第四章。网络和数据安全第十七条,建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求,按照有关标准规范开展定级备案、等级测评工作.落实安全建设整改加固措施、防范网络和数据安全风险、中央和国家机关,地市级以上地方党政机关门户网站。以及承载重要业务应用的机关事业单位网站 互联网电子邮件系统等、应当符合网络安全等级保护第三级安全保护要求,第十八条、机关事业单位应当自行或者委托具有相应资质的第三方网络安全服务机构.对互联网政务应用网络和数据安全每年至少进行一次安全检测评估,互联网政务应用系统升级,新增功能以及引入新技术新应用,应当在上线前进行安全检测评估.第十九条,互联网政务应用应当设置访问控制策略,对于面向机关事业单位工作人员使用的功能和互联网电子邮箱系统,应当对接入的IP地址段或设备实施访问限制.确需境外访问的,按照白名单方式开通特定时段,特定设备或账号的访问权限 第二十条、机关事业单位应当留存互联网政务应用相关的防火墙,主机等设备的运行日志,以及应用系统的访问日志.数据库的操作日志、留存时间不少于1年。并定期对日志进行备份 确保日志的完整性。可用性.第二十一条。机关事业单位应当按照国家,行业领域有关数据安全和个人信息保护的要求.对互联网政务应用数据进行分类分级管理,对重要数据 个人信息。商业秘密进行重点保护、第二十二条,机关事业单位通过互联网政务应用收集的个人信息。商业秘密和其他未公开资料。未经信息提供方同意不得向第三方提供或公开。不得用于履行法定职责以外的目的、第二十三条,为互联网政务应用提供服务的数据中心。云计算服务平台等应当设在境内 第二十四条,党政机关建设互联网政务应用采购云计算服务。应当选取通过国家云计算服务安全评估的云平台 并加强对所采购云计算服务的使用管理、第二十五条、机关事业单位委托外包单位开展互联网政务应用开发和运维时。应当以合同等手段明确外包单位网络和数据安全责任.并加强日常监督管理和考核问责,督促外包单位严格按照约定使用,存储、处理数据 未经委托的机关事业单位同意、外包单位不得转包,分包合同任务 不得访问,修改.披露、利用、转让,销毁数据,机关事业单位应当建立严格的授权访问机制。操作系统,数据库 机房等最高管理员权限必须由本单位在编人员专人负责.不得擅自委托外包单位人员管理使用、应当按照最小必要原则对外包单位人员进行精细化授权.在授权期满后及时收回权限,第二十六条,机关事业单位应当合理建设或利用社会化专业灾备设施。对互联网政务应用重要数据和信息系统等进行容灾备份,第二十七条。机关事业单位应当加强互联网政务应用开发安全管理、使用外部代码应当经过安全检测、建立业务连续性计划,防范因供应商服务变更等对升级改造,运维保障等带来的风险.第二十八条,互联网政务应用使用内容分发网络。CDN,服务的,应当要求服务商将境内用户的域名解析地址指向其境内节点.不得指向境外节点 第二十九条.互联网政务应用应当使用安全连接方式访问。涉及的电子认证服务应当由依法设立的电子政务电子认证服务机构提供,第三十条.互联网政务应用应当对注册用户进行真实身份信息认证,国家鼓励互联网政务应用支持用户使用国家网络身份认证公共服务进行真实身份信息注册,对与人身财产安全、社会公共利益等相关的互联网政务应用和电子邮件系统、应当采取多因素鉴别提高安全性,采取超时退出 限制登录失败次数 账号与终端绑定等技术手段防范账号被盗用风险 鼓励采用电子证书等身份认证措施.