为提高党政机关、事业单位和国有企业互联网电子邮件系统的安全防护水平，防范和打击境内外不法分子利用邮件系统实施网络攻击窃密活动，保障党政机关，事业单位和国有企业工作人员使用电子邮件安全，公安部，工信部，国家保密局决定，自2017年8月至2018年12月，在全国范围内开展党政机关、事业单位和国有企业互联网电子邮件系统安全专项整治行动。现将《党政机关、事业单位和国有企业互联网电子邮件系统安全专项整治行动》印发给你们，请认真贯彻落实。

公安部                 工业和信息化部                    国家保密局

2017年  月  日

党政机关、事业单位和国有企业互联网电子邮件系统安全专项整治行动方案

随着电子政务的应用和普及，互联网电子邮件系统已经成为党政机关，事业单位和国有企业工作人员进行办公联系和业务交流的主要手段。近年来，各级党政机关，事业单位和国有企业主要使用自建或购买企业级邮件系统，虽然系统具备一定的反垃圾，防病毒和内容过滤等基本安全保护功能，但也要看到，当前利用邮件系统漏洞，邮箱盗号，钓鱼邮件等手段攻击电子邮件系统，不仅成本低，难度小，而且已成为渗透攻击控制关键信息基础设施的常用通道和有组织入侵窃密的主要入口。与此同时，党政机关，事业单位和国有企业电子邮件系统安全上，还在许多突出问题，主要表现在：邮件系统使用不规范，安全责任不落实；系统安全设计存在缺陷，缺少身份认证、加密等关键安全措施；系统未落实等级保护制度，防护措施缺失，安全漏洞和隐患突出；基层单位小型邮件系统多，使用管理人员防范意识薄弱；违规存储，处理，传输涉密信息，违规设置自动转发和代收功能等。这些安全问题的存在，直接导致邮件系统频遭攻击，严重威胁政务信息安全，关键信息基础设施安全和国家安全。为贯彻中央领导同志关于电子邮件系统安全防护工作的重要指示精神，进一步落实《网络安全法》，《保护国家秘密法》和网络安全等级保护制度，切实加强党政机关、事业单位和国有企业互联网电子邮件系统安全管理和防护。公安部、工业和信息化部、国家保密局决定，自2017年8月至2018年12月，在全面范围内组织开展党政机关、事业单位和国有企业互联网电子邮件系统安全专项整治行动。

1. 指导思想和工作目标

   按照国家网络安全有关法律法规规定，坚决贯彻落实中央领导同志有关互联网电子邮件系统安全防护工作的重要指示精神，按照“摸底数、清状况、排隐患，抓整改”的总要求，坚持排查整治与源头治理相结合，安全技术防范相结合，督促整改与依法打击相结合、建立完善党政机关、事业单位和国有企业电子邮件系统网络安全保护工作机制，进一步联网电子邮件系统应用、系统上线前安全检测，云邮件系统建设等综合防护措施，组织制定邮件系统安全标准，严厉打击攻击破坏邮件系统安全的违法犯罪行为，使党政机关、事业单位和国有企业互联网电子邮件系统安全责任有效落实，安全明显提高，安全技术防范能力明显增强，安全事件（事故）明显减少，切实保障互联网电子邮件系统运行安全和数据安全。

2. 工作任务和具体措施

3. 梳理排查互联网电子邮件系统底数、安全保护状况和生产企业等基本情况。结合党的十九大、金砖厦门会晤等网络安全保卫工作，由公安机关部署开展互联网电子邮件系统安全专项梳理排查工作（自查表见附件），集中摸排地市以上党政机关、事业单位、国有企业互联网电子邮件系统底数和安全防护措施落实情况。2017年底前，重点摸清能源、交通、水利、金融、国防军工、航空航天等重点行业、领域互联网电子邮件系统部署应用情况和安全保护状况。由工信部门牵头梳理汇总国内销售、使用的电子邮件系统品牌、生产单位和联系人等基本信息，摸清电子邮件系统的研发、生产和销售等情况。

    

   （二）加强对电子邮件系统研发、生产、应用等全流程安全管理工作。工信部牵头加强对电子邮件系统生产企业的安全管理，指导研发、生产电子邮件系统时落实防钓鱼，防窃密、防病毒、反垃圾、内容过滤、安全审计等关键安全保护措施，逐步实现电子邮件系统销售前进行源代码安全检测。公安部牵头会同有关部门制定党政机关和事业单位电子邮件系统安全管理办法，加强对党政机关和事业单位电子邮件系统建设，应用等安全管理。进一步规范电子邮件系统的应用，公安机关，保密行政管理部门督促，指导党政机关、事业单位和国有企业工作人员不得使用互联网邮箱存储、处理、传输涉密信息和工作敏感信息，严禁将企业级邮箱转发至私人邮箱或境外邮箱。

    

   （三）督促指导党政机关、事业单位和国有企业集中建设电子邮件系统。各级公安机关、通信主管部分，保密行政管理部门指导、督促各行业主管（监管）部门，地方党委政府开展政务邮件系统集中建设，将不具备安全防护小型邮件系统整合归并，由地方党委政府、各行业主管部门进行统一管理、统一防护、统一监测，从根本上提升党政机关电子邮件系统的安全防护能力。充分利用国家电子政务外网的安全防护能力，公安机关、保密行政管理部门指导协调部分重要行业主管（监管）部门逐步将互联网电子邮件系统迁移至电子政务外网，委托国家信息中心及各地外网办进行集中防护。鼓励、引导各行业地方党委政府采用云邮件系统或云防护等新技术、新应用开展电子系统建设和保护。

    

   （四）全面加强党政机关、事业单位和国有企业电子邮件系统网络安全等级保护工作。各级公安机关要依据职责监督、检查、指导同级党政机关、事业单位和国有企业按照“谁主管、谁负责、谁运营、谁负责”的原则，明确电子邮件系统安全保护责任，并按照网络安全等级保护制度要求，已建邮件系统必须开展单独定级，到公安机关备案，选择符合要求的等级测评安全测评，对发现的问题、隐患及时进行整改。新建邮件系统要同步落实安全保护措施，满足基本安全保护要求的，方可上线运行。各级公安机关要将电子邮件系统使用及安全保护情况纳入每年的网络安全执法检查工作，不断提升重要行业部门邮件系统安全防护能力。

    

   （五）组织制定邮件系统安全标准规范和市场准入条件。公安部会同全国信息安全标准化委员会，推动制定适用于政府机关和企事业单位邮件系统的安全标准规范，分级分类明确邮件系统安全防护技术要求和使用规范，分级分类明确邮件系统安全防护技术要求和使用规范，公安部会同工业和信息化部等相关部门组织制定技术标准，加强电子邮件系统安全成品检测和销售许可监管工作，推动邮件系统入网络关键设备和网络安全专用产品目录管理。同时，研究制定国家政务安全电子邮箱建设标准和管理规范，建设可信、实名制的国家级电子政务安全邮箱平台，指导各级政府部门依托国家电子政务外网按照统一标准建设安全电子邮件系统，实现加密互联互通。

    

   （六）严厉打击入侵攻击党政机关和重要行业部门邮件系统的违法犯罪。互联网电子邮件系统遭攻击窃取，其责任部门要第一时间向行业主管（监管）部门报告并向受理备案的公安机关报案，组织开展应急处置、公安机关，保密要指导党政机关和重要行业部门加强对邮件系统的安全技术监测，发现入侵攻击、邮件失窃等违法犯罪活动线索的，要立即组织开展线索核查、案件侦查调查工作，依法打击非法入侵控制邮件系统违法犯罪。公安机关、保密行政管理部门要坚持打击整治与防范管理相结合，对因安全管理责任不落实造成重大危害后果的，依法予以处理。

    

4. 工作要求

5. 提高思想认识，精心组织安排。各级公安机关、通信管理、保密行政管理部门要从维护国家安全和关键信息基础设施安全的高度，充分认识开展专项整治行动的重要性和紧迫性，制定专项整治实施方案，明确专项整治工作的主管领导、牵头部门和责任人、联系人，加强组织领导和统筹协调，加强经费保障和人员保障，确保各项工作任务落到实处。

    

6. 加强协调配合，形成工作合力。为加强对专项整治行动的组织协调，公安部会同工业和信息化部、国家保密局成立专项整治行动工作组、各省、自治区、直辖市和兵团也要建立相应的工作小组，加强协调配合和信息共享，及时全面研究重要事项，全面领导本地区专项整治行动的开展。

    

   （三）加强宣传培训，树立典型示范。公关机关，通信管理，保密行政管理部门要收集国内网邮件系统遭攻击窃密的典型案例并制作警示教育片，结合典型案例，加强对重要