第十七條 建設互聯(lián)網政務應用應當落實網絡安全等級保護制度和國家密碼應用管理要求，按照有關標準規(guī)范開展定級備案、等級測評工作，落實安全建設整改加固措施，防范網絡和數(shù)據(jù)安全風險。

中央和國家機關、地市級以上地方黨政機關門戶網站，以及承載重要業(yè)務應用的機關事業(yè)單位網站、互聯(lián)網電子郵件系統(tǒng)等，應當符合網絡安全等級保護第三級安全保護要求。

第十八條 機關事業(yè)單位應當自行或者委托具有相應資質的第三方網絡安全服務機構，對互聯(lián)網政務應用網絡和數(shù)據(jù)安全每年至少進行一次安全檢測評估。

互聯(lián)網政務應用系統(tǒng)升級、新增功能以及引入新技術新應用，應當在上線前進行安全檢測評估。

第十九條 互聯(lián)網政務應用應當設置訪問控制策略。對于面向機關事業(yè)單位工作人員使用的功能和互聯(lián)網電子郵箱系統(tǒng)，應當對接入的IP地址段或設備實施訪問限制，確需境外訪問的，按照白名單方式開通特定時段、特定設備或賬號的訪問權限。

第二十條 機關事業(yè)單位應當留存互聯(lián)網政務應用相關的防火墻、主機等設備的運行日志，以及應用系統(tǒng)的訪問日志、數(shù)據(jù)庫的操作日志，留存時間不少于1年，并定期對日志進行備份，確保日志的完整性、可用性。

第二十一條 機關事業(yè)單位應當按照國家、行業(yè)領域有關數(shù)據(jù)安全和個人信息保護的要求，對互聯(lián)網政務應用數(shù)據(jù)進行分類分級管理，對重要數(shù)據(jù)、個人信息、商業(yè)秘密進行重點保護。

第二十二條 機關事業(yè)單位通過互聯(lián)網政務應用收集的個人信息、商業(yè)秘密和其他未公開資料，未經信息提供方同意不得向第三方提供或公開，不得用于履行法定職責以外的目的。

第二十三條 為互聯(lián)網政務應用提供服務的數(shù)據(jù)中心、云計算服務平臺等應當設在境內。

第二十四條 黨政機關建設互聯(lián)網政務應用采購云計算服務，應當選取通過國家云計算服務安全評估的云平臺，并加強對所采購云計算服務的使用管理。

第二十五條 機關事業(yè)單位委托外包單位開展互聯(lián)網政務應用開發(fā)和運維時，應當以合同等手段明確外包單位網絡和數(shù)據(jù)安全責任，并加強日常監(jiān)督管理和考核問責；督促外包單位嚴格按照約定使用、存儲、處理數(shù)據(jù)。未經委托的機關事業(yè)單位同意，外包單位不得轉包、分包合同任務，不得訪問、修改、披露、利用、轉讓、銷毀數(shù)據(jù)。

機關事業(yè)單位應當建立嚴格的授權訪問機制，操作系統(tǒng)、數(shù)據(jù)庫、機房等最高管理員權限必須由本單位在編人員專人負責，不得擅自委托外包單位人員管理使用；應當按照最小必要原則對外包單位人員進行精細化授權，在授權期滿后及時收回權限。

第二十六條 機關事業(yè)單位應當合理建設或利用社會化專業(yè)災備設施，對互聯(lián)網政務應用重要數(shù)據(jù)和信息系統(tǒng)等進行容災備份。

第二十七條 機關事業(yè)單位應當加強互聯(lián)網政務應用開發(fā)安全管理，使用外部代碼應當經過安全檢測。建立業(yè)務連續(xù)性計劃，防范因供應商服務變更等對升級改造、運維保障等帶來的風險。

第二十八條 互聯(lián)網政務應用使用內容分發(fā)網絡(CDN)服務的，應當要求服務商將境內用戶的域名解析地址指向其境內節(jié)點，不得指向境外節(jié)點。

第二十九條 互聯(lián)網政務應用應當使用安全連接方式訪問，涉及的電子認證服務應當由依法設立的電子政務電子認證服務機構提供。

第三十條 互聯(lián)網政務應用應當對注冊用戶進行真實身份信息認證。國家鼓勵互聯(lián)網政務應用支持用戶使用國家網絡身份認證公共服務進行真實身份信息注冊。

對與人身財產安全、社會公共利益等相關的互聯(lián)網政務應用和電子郵件系統(tǒng)，應當采取多因素鑒別提高安全性，采取超時退出、限制登錄失敗次數(shù)、賬號與終端綁定等技術手段防范賬號被盜用風險，鼓勵采用電子證書等身份認證措施。