（上海市嘉定区科学技术委员会、上海市嘉定区信息化委员会2015年6月26日印发，嘉科合〔2015〕6号）

嘉定区政务网站建设管理实施细则

第一章  总则

第一条（目的）为进一步强化全区政务网站规范化建设和制度化管理，深入推进落实《嘉定区政务网站管理办法》（嘉府发[2015]29号）文件精神，特制订本实施细则。

第二条（范围）本实施细则所指政务网站即本区各级党政机关及其下属部门建设、运行和管理的，用以向社会公众提供各类服务的对外网站及其附属系统。

第二章  管理机制

第三条（管理模式）全区政务网站管理体系分为站群管理和自行管理两种模式。站群管理指纳入全区统一政务网站技术平台，作为门户网站子站、频道或专栏的区内重点政务网站，其网站主办单位重点负责信息内容管理工作，以及信息安全的配合工作。自行管理指不纳入全区统一政务网站技术平台的区内其他各类政务网站，其网站信息内容、技术安全、运维保障等工作由主办单位自行负责。

第四条（管理制度）建立健全政务网站建设管理工作各项规章制度，并确保得到有效执行。

（一）建立政务网站建设管理制度，明确网站各项管理职责，明确网站分管领导、责任部门和责任人，并将责任落实到岗、具体到人，相关人员和经费必须切实保障。除非有专业职能部门的，一般情况由各单位办公室统筹协调和具体负责本单位政务网站各项工作。

（二）纳入站群管理的政务网站主办单位，需重点完善网站信息内容管理各项规章制度。自行管理的政务网站主办单位，除规范信息内容管理制度外，还需重点强化技术安全、运行维护等方面的各项管理制度，建立一支高素质、专业化的网站及业务系统运维保障队伍。

（三）建立政务网站绩效评估和督查机制，分级分类实施考核，使之制度化、常态化。区政府门户网站管理中心按照上级有关政务网站各类绩效评估指标要求规范网站建设管理，并以此为依据加强区内各级各类政务网站建设管理的指导和考核。各单位需同步建立本单位政务网站相应考核评价机制，并在网站建设管理过程中切实加以推进落实。

（四）建立政务网站信息协调联动工作机制，加强区内各级各类政务网站间的互动协调、资源共享以及工作联动，充分发挥网站集群效应。涉及需要上网的全区重点工作和重要事项，以及涉及重大舆情处置等方面的互动回应工作，应报请区委办公室或区政府办公室统筹相关单位根据职责分工具体分解任务并督查督办。

第五条（申报审批）全区统一规划设计、建设开发、运行维护政务网站技术平台，利用平台建设子站、频道或专栏，原则上不单独开设网站；确因工作需要开办的，应由网站主办单位按《嘉定区信息化项目管理办法》向区政府门户网站管理中心提出申请；未经审批的政务网站，建设运维经费不纳入公共财政预算范围。

第六条（备案认证）政务网站必须严格按程序向区政府门户网站管理中心登记备案和实名认证，采用独立域名的政务网站同时还需向中央及市有关部门登记备案和实名认证。站群管理的政务网站由主管部门向区政府门户网站管理中心备案，自行管理的政务网站由上级主管部门向区政府门户网站管理中心年度统一备案。网站一经开办，不得随意关闭或暂停，需报区政府门户网站管理中心审核。

第三章  内容建设

第七条（栏目规范）政务网站栏目设置必须规范，符合网站电子政务功能基本属性和要求，所开设栏目必须按规定做好内容保障工作。

（一）按照全区政务网站统筹规划建设要求，合理设置本单位政务网站栏目，不得刻意回避或忽略政务网站所应具备的核心功能要素。在确保规定栏目开设的同时，可根据本单位实际情况增设其他栏目。

（二）规定开设的栏目，必须认真加以维护保障，同时根据各单位职责分工，共同履行好保障全区门户网站相关栏目和信息内容的义务，按规定及时报送和上传信息。栏目需提供相应数据接口的，应积极配合完成。

（三）栏目数据内容需统一汇总上报时，必须按相关要求如实提供，并主动配合对栏目建设管理情况的各项监督检查和考核评估，不得以任何形式隐瞒、篡改数据，或人为制造信息传递障碍。

第八条（版本规范）政务网站版本设置要以受众和业务需求为出发点，不刻意追求形式，具有实际建设价值。

（一）全区统一规划并集约化建设政务网站智能手机、平板电脑等移动终端应用平台，应主动利用平台拓展政务网站各类功能。可积极利用各类互联网新兴技术手段安全有效地传播信息内容、拓展互动渠道。

（二）网站使用界面必须贴近用户需求，尽可能做到人性化，要充分考虑残障人士的浏览，可根据实际条件逐步开设无障碍版，引入各类读网功能，提升残障群体访问的有效性和便捷性。

（三）开设外语版要有专业合格的支持能力，用专业的翻译队伍保障内容，确保语言文字规范，符合外国受众文化和接受习惯。除外事、招商、旅游等职能部门及街镇外，其余政务网站原则上不开设外语版。

（四）网站语言文字使用必须符合国家要求，不得随意使用繁体字、异体字、不规范简化字。区政府门户网站可根据境外用户实际需求设置统一的汉字繁体版。除招商、旅游、文化等职能部门及街镇外，其余政务网站原则上不开设繁体版。

第九条（信息编审）按照“谁发布谁审核、谁发布谁负责”的文责自负原则，由发布单位对上网信息内容的安全性、真实性、完整性和严肃性负责。信息发布必须建立严格的编审管理制度，明确专门机构和人员具体负责，确立职责要求，规范发布流程，落实签发责任。同时，建立编审记录档案，内容编辑、内容审核、内容发布等操作程序必须依据职责要求分配权限，并切实按规定操作实施，相关记录做到有存可查。因信息编审制度执行不严而造成信息发布过失的，要追究责任。对于存在问题的已发布信息，区政府门户网站管理中心应及时通报发布单位并有权先行撤换。

第十条（时效要求）政务网站内容更新维护必须保证时效，不得超出中央或市、区有关法律、法规或文件规定的时间范围。

（一）建立政务网站信息内容更新保障机制，提高发布时效，尤其要重点确保政务公开、政府信息公开等栏目中信息在国务院《政府信息公开条例》规定时间内发布，发布内容严格遵照市政府、区政府年度信息公开工作要点执行。

（二）建立政务网站互动受理回应保障机制，严守答复时效，尤其要重点保障领导信箱、网上信访，以及投诉举报、建议咨询等栏目中的信件在《国务院信访条例》、《上海市信访条例》规定时间内予以回复。

（三）建立政务网站网上办事办理保障机制，切实按照办理规定时间开展业务受理，规范和简化办事流程，提高行政效能，确保网上办事时效不低于网下办事时间。

（四）强化对各政务网站栏目内容更新情况监测，区政府门户网站管理中心依据政务网站建设管理考核评价要求，对在一定时间内没有及时更新的政务网站栏目，可实施必要的归并和关闭。

第十一条（转载原则）政务网站信息转载必须规范、有效，确保内容符合权威性、真实性、准确性、安全性等要求。

（一）发布在全区统一政务网站技术平台的各类信息，版权归属区委、区政府所有，门户网站及其子站、频道、专栏有权利共享资源，相关单位可下载或转发于本单位政务网站有关栏目，但不得用于商业用途。

（二）转载自其它单位政务网站的信息，需标注信息来源。未经信息发布单位许可，不得随意改写其主要内容或业务数据。产生信息错误的，由转载单位负责。除文本信息外，转载图片、音频、视频等数据资料的，也需标注来源，不得有意忽略。

（三）将两个以上政务网站同类信息整合编辑为一篇信息的，视同为重新编写，信息内容由编发单位负责。文中所采用的重要数据及所引用的图表照片等资料需标明来源。

（四）转载自互联网上的信息，除必须严格标注来源外，转发单位还需对信息内容的各项要素进行审查核对，不得随意转发，上传发布后对该信息负责。

第十二条（保密审查）严控涉密信息上网，切实按照保密工作相关流程进行审查和编发，确保信息内容不涉及国家秘密。在审查发布过程中，需充分考虑各类信息之间的关联性，有效防止因数据汇集而造成的国家秘密泄露。必须切实按照职责分工设置用户功能权限，严禁将网站登录账户和密码泄露给他人使用，并规范人员离岗制度，做好网站保密义务承诺、资料退还、系统口令更换等必要的安全工作。禁止政务类信息编辑业务服务外包，禁止信息内容的最终审核发布业务服务外包。

第十三条（后续管理）政务网站信息发布后，必须强化后续监测监管工作，发现问题及时纠正。

（一）加强上网信息后续监测工作，发现内容或数据有误的，要第一时间采取措施进行纠错，全面复查核信息内容要素，重新进入信息编审流程，尤其对涉及党和国家相关政策、法律法规的文字类错误，容易引起网民误解误读或恶搞的表述性错误，政务类信息中的主要内容和数据错误要重点监测。

（二）加强图文信息内容准确性监管工作，杜绝信息中涉及政治性、政策性、敏感性内容的文字错误；尽可能减少信息中字形类、音译类、成语类错字和别字的发生，以及人名、地名的错误；一经发现，要立即纠正。政务类信息中的照片，不得使用任何软件技术对人物、会标等要素进行添加、拼接或篡改。

（三）加强网站可用性和网页链接日常检测工作，确保网站正常访问，以及网站页面链接的有效性和适用性，并定期开展断链扫描和错链人工检查。

第四章  运维安全

第十四条（保障制度）政务网站应根据本单位实际情况，建立相应的网站安全运维管理制度及保障策略，明晰权责，确保制度有效执行同时持续修订完善。

（一）必须按照全区政务网站安全保障工作整体要求，接受统一部署和业务指导，如实提供相应的数据接口，主动配合各项检测监测工作，不得以任何方式隐瞒、篡改有关数据，人为制造安全保障工作死角。

（二）重点政务网站及其附属应用系统，运行环境原则上必须托管在区政府门户网站管理中心机房，按规范要求操作实施，并做好相应的申报及登记备案工作。因情况特殊无法托管的，主管单位必须说明自管原因，交由区政府门户网站管理中心备案。市属条线部门可按上级业务主管部门要求进行办理。

（三）区政府门户网站管理中心有权对区内政务网站运行安全情况实施监测，并根据监测结果向存在安全隐患的网站主管单位发布预警信息和整改通知。逾期未整改处置险情或造成事件影响的，网站主管单位承担全部责任。信息内容安全事件处置时间不超过1小时（信息涉密事件处置时间不超过10分钟），运行安全事件处置时间不超过5个工作日，潜在风险修复时间不超过10个工作日。

（四）实施政务网站运维管理人员登记制度。政务网站主办单位必须按要求及时将本单位政务网站运维保障工作相关人员名单上报区政府门户网站管理中心，人员发生变更的，需及时联系区政府门户网站管理中心予以调整。

第十五条（安全措施）政务网站应采取安全监控、监测、审计等各类有效措施，强化对网站的安全防护。

（一）切实加强安全监控，建立本地或远程监控平台，设定监控频度和状态阀值，监控网站的安全性和可用性，对异常情况及时报警，并定期对历史监控数据进行分析归档。安全性监控包含页面篡改、网站挂马、域名劫持、关键词等；可用性监控包含网站连通、业务功能、系统资源、响应时间、下载速度等。

（二）保证落实安全检测，通过本地安全检查，确保安全设备、服务器操作系统、网站系统平台的配置安全。在网站正式运行前或应用程序变更后，及时进行网站源代码安全扫描。定期进行网站安全扫描，至少包含网站服务器操作系统、网站系统平台、网站页面漏洞等方面的扫描。定期进行网站渗透性测试，在扫描和测试前，对数据库和源代码进行备份；扫描和测试后，及时进行安全加固，对漏洞可能已造成的入侵进行确认和修复。

（三）有效开展安全审计，重点是网络设备、安全设备、服务器操作系统、网站访问日志、网站系统管理操作行为的安全审计，原则上每月对审计记录进行统计分析，生成报表，并对审计记录进行保存防护，要保证可通过对网站访问日志中攻击事件的审计分析，确认攻击危害性并作出相应的控制措施。

第十六条（安全测评）政务网站应按规定开展安全测评工作。依据《上海市公共信息系统安全测评管理办法》和《信息系统安全等级保护基本要求》，区政府门户网站信息安全等级原则上不低于三级，区内其他各类政务网站信息安全等级原则上不低于二级；三级网站每年测评一次，二级网站每两年测评一次。在测评过程中发现的各类信息安全隐患，应及时有效进行整改，并复测至符合标准。

第十七条（应急管理）政务网站应制订安全保障应急预案。针对网站各类安全事件，明确事件级别和启动条件，以及应急处置和系统恢复的流程、时限及权限等，并确保有足够的资源保障。在发生网站瘫痪、网页遭篡改或挂马、分布式拒绝服务攻击、域名劫持、信息泄漏等事件时，应立即启动应急预案，并在24小时内报告网站上级主管单位、区政府门户网站管理中心。应定期开展网站应急演练活动，或参加全区统一组织的网站应急演练活动，并在演练或安全事件处置结束后，及时修订完善应急预案。

第十八条（外包管理）对需要技术服务外包的政务网站，应选择具备相应资质的服务提供商，并签订服务合同和保密协议。服务合同中应明确安全责任、服务内容、服务方式和服务级别等。对需要进行主机托管(含虚拟主机)的政务网站，应选择政府集中建设的数据中心或具备相应资质的互联网数据中心(IDC)，并明确各相关方的安全责任。对技术服务外包业务中所涉及的人员、流程、工具等要素应进行严格管控。

第五章  防护要求

第十九条（防护体系）政务网站应建立安全的运行架构体系，并采取有效措施，提升网站防篡改、防病毒、防攻击、防瘫痪、防泄密等能力。

（一）建立安全的政务网站架构体系：网站基础设施，包括网络架构与边界、服务器、网站系统平台(应用服务、数据库、中间件等)；网站应用系统，包括网站管理平台、应用程序(源代码)；网站数据，包括网站业务数据和系统数据。

（二）依据政务网站相关服务器功能划分不同的安全区域，并采用虚拟局域网(VLAN)划分、访问控制列表(ACL)控制、防火墙技术等隔离措施。操作系统和网站系统平台部署应遵循最小安装原则，禁用不必要的服务组件、应用插件、注册表项等，并保证网站相关系统补丁及时更新。

（三）配备网页防篡改软件或设备，对网站所有静态、动态页面进行监控和保护。针对拒绝服务攻击，可调整系统配置，配备防拒绝服务攻击安全设备，通过基础电信运营商服务等进行流量清洗。必须保证足够的带宽支持网站访问，可采用出口链路冗余等技术进行保障。

第二十条（身份鉴别）政务网站应建立服务器操作系统、网站系统平台、网站管理平台各层面的身份鉴别机制，设置操作员、管理员、审核员三类网站管理角色，及时修改操作系统默认管理员的账户名和口令，及时删除多余和过期账户。在远程维护管理时，应使用具有加密协议的登录控制模块，并及时删除多余和过期的远程维护账户。

第二十一条（访问控制）政务网站应对网络边界应通过设置防火墙等设备的安全策略，限制可访问的端口和相应的网络协议。对服务器操作系统应设置安全策略，以控制资源的访问，并根据用户的角色分配权限，关闭不必要的服务端口。对网站系统平台应启用安全策略，以限制用户访问网站配置文件和数据库等重要文件。对访问网站相关服务器的管理终端，应限制其IP地址及访问权限。可通过防火墙或网站系统平台配置，限制访问网站的单个IP最大流量及连接数。

第二十二条（入侵防范）政务网站应加强对病毒、木马、网页内嵌恶意代码等入侵行为以及恶意代码的防护、检测和报警。网络边界应部署防火墙，可进一步选用入侵防护网关、入侵检测网关、恶意木马监测网关、防病毒网关等安全设备。网站服务器应部署防病毒、防木马等软件，并制定系统安全策略。针对网站应用程序漏洞，应优先考虑修改源代码，可选用WEB应用防火墙硬件或软件进行防护。

第二十三条（备份机制）政务网站应建立数据备份机制，定期开展各项检测，确保数据安全性。

（一）应确保备份数据库文件的可用性，每年至少进行一次数据库备份恢复测试，每周至少对数据库进行一次全备份，每天进行一次差异备份。

（二）应确保日志备份的连续完整性，每天对网站访问日志进行一次备份，每月对其他系统日志进行一次备份，并合理设置日志文件存放空间和存放期限。

（三）应对网站基础设施和应用系统层面相关的配置文件、审计记录等系统数据，每季度及在配置发生变更时进行一次备份。

（四）应利用市电子政务灾备中心或区电子政务灾备设备进行异地备份，或在不同区域间互为备份。如采用本地备份机制，还应保证备份介质的场外安全存放。

第六章  附则

第二十四条（参照）本实施细则适用于嘉定区政府门户网站、各部委办局政务网站、街镇政务网站的建设管理工作。区内其他具有行政管理、公共服务职能的组织所开办的政务网站，参照适用本实施细则。

第二十五条（解释）本实施细则由区政府门户网站管理中心负责解释。

第二十六条（执行）本实施细则自正式发布之日起实施。