《政务APP安全管理规范(试行)》.docxVIP

《政务APP安全管理规范(试行)》

政务APP安全管理责任主体为各级政务部门，应建立健全安全管理体系，明确主要负责人为第一责任人，分管负责人为直接责任人，指定专门机构或岗位承担具体安全管理职责。责任主体需制定覆盖开发、测试、上线、运行、下线全生命周期的安全管理制度，包括但不限于安全策略制定、风险评估、事件响应、人员管理等内容，并定期更新完善。

政务APP开发需遵循国家网络安全相关标准及政务信息化建设要求，采用符合国家密码管理规定的加密技术和产品，数据传输应使用传输层安全协议（TLS1.2及以上）或国密算法（如SM2、SM3、SM4），关键数据（如身份证号、银行账户信息等）存储时须进行加密处理且密钥需与数据分离存储。身份认证环节应采用多因素认证（MFA），禁止使用弱口令或单一静态密码认证方式，登录超时自动退出时间不得超过30分钟。

数据安全管理实行分类分级保护，根据数据敏感程度和影响范围划分为核心数据、重要数据和一般数据三级。核心数据包括涉及国家秘密、公民个人敏感信息（如生物识别信息、健康医疗信息）及关键政务业务的原始数据；重要数据包括公民个人一般信息（如姓名、联系方式）及政务业务关联的衍生数据；一般数据为非敏感的政务服务记录或统计信息。数据收集须遵循“最小必要”原则，明确告知用户收集目的、方式、范围及使用期限，不得通过诱导、捆绑等方式强制收集与服务无关的数据，用户拒绝提供非必要数据