第四】章 网络和数据安全！ ， ： 第十七《条 建设互联网【政务应用应当—落实网络安全等级】保护制？度和国家密码应【用管理要求》按照有关标准—规范开展定级备【案、等级测评工作落！。实安全建设整改加固！。措施防范网》络和数据安全—。风险：     中央】和国家机关》。。、地市级《以上地？方党政机《关门户网站以及承】载，重要业务应用的机关！事，业单位网站、互【联网电子邮》件系统？。等应当符合网—络安全等级保护第】。三级安全保护要求 ！ 第十八条 机关】事业单位应当自【行或者？委托：具有相应资质的第】三方网络安全服【务机构对互联—网政务？应用网络和数—据安全每年》至少进行一次安全】检测评？估   》  互联网政务应用！系统升级、》新增功能以及引入新！技术新？。应用：。应当在上《线，前进行安全检测评估！ ：第十九条 互联【网政务？应用应当设置访问】控制：策略对于面》向机关事业单位工作！人员使？用的：功能和互联》网电子邮箱系—统，应当对接入》的IP地址》段或设？备实：施访：问限制确需境外访】。问的按照白名单方】式开通？特定：时段、特定》设备或账号》的访问权限 第】。二十条 《机关事业单位应【当留存互联》网政务应用相—关的防火墙、主机等！设备的运行》日志以及应用—系统的访问日志、】数，据库的操《作日志留《存时间不少于1年并！定期对日《志进行备份确保【日志的完整性—、可：用性 第二—十一条 机关事业】单位应当按照国家、！行业领域有关数【据安全和个人信息保！护的要求《。对互联网政务应用】数据进行分类分级管！理对：重要数？据、个？人信息、商》业秘密进行重点保护！ ， 第二十二条 【。机，关，事业：单位通过互联网【政务应用收集—的个人信息、—。商业秘密和》其他未公开资料【未经信息《提供方同意不得向】第三方提供或公开】不得用？于履行法《定职：责以：外，的目的 第—二十三条 为互【联网政务应用—。。提供服务的数据中心！、云计算服务—平台等应当设在【境内 第二—十四条 党政机【关建：设互联？网政：务，应用采？购云计算服务应【当选取通过国家云】计算：服务安全评估—的云平？台并加强《对所采购云计算服务！的使：用管理 第二十五！条 ：机关：。事，。业单位委托》外包单位开展互【联，网，政务应用《开发：和运维？时，。应，当，以合同等手》。段明确外包单位网络！和数据安全责任并】加强日常监督管理】和，考核问责；》督促：外包单位严》。格按照约《定使：用、存储、处—理数据未经委托的】机关事业单位同【意外包单位不—得转包、分》包合同任务不—得访问、修改、【披露、利用、转【让、销毁数据  ！   机关》事业单位应当—。建立严格的授权访问！。机制：操作系统、数据库】、机房等最高管理员！权限必须由本单位在！编人员专人》负责不得擅自委托】。外包单位《人员管理使用；应】当按照？。最小必？要，原，则对外包单位人【员进行精细化授【权在授权期满—后及时收回权限 ！。第二十六条》 机关事业》单位：应当合理建设或【利用社会化》专业灾备设施对互】联网政务《应用：重要数？据，。和信息？系统等进行容灾备】份 第二十七条 ！机关事业单位应【当加强互联网政务】应用开发安全管【理使：用外部代码应—当经过安全》检测建立业务—连，续，性计划防范因供应商！服务变？更等对升级改—造、：运维保障等》带来的风险 —。 ，第二十八条 互联】网政务应用使用【。内容分？发网络(C》DN)服务的应当要！。求服务？。商，将境内用户》的域名解析地—址指向？其境内节点不得【指向境外节点 第！二，十九条 《互联网政《务应：。用应当使用》。安全连接《方式访问《涉及的电《子认证？服务应？当由依？法设立的电子政务电！子认证服务机—构提供 第三十条！ 互联网政务—应用应？当对注册用户进行真！实身：份信息认证国—家鼓励互联网政务】应用支持用》户，使用国家网络身份认！证公共服务进—行真实身份信息注】册   》  对？。与人身财《产安全、社会公共】利益：等相关的《互联网政《务应用和电子邮件】系，统应当采《取多因素鉴别提高安！全性采取超时—退出、限制登录失】败次数？、账号与终》端绑定等技术手段防！范账：号被盗用风险—鼓励采用电子证【书等身份《认证措施《 ， ，