中網(wǎng)辦發(fā)文〔2015〕14號(hào)《關(guān)于加強(qiáng)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見(jiàn)》

關(guān)于加強(qiáng)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見(jiàn)

中網(wǎng)辦發(fā)文〔2015〕14號(hào)

各省、自治區(qū)、直轄市黨委網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室，中央和國(guó)家機(jī)關(guān)各部委、各人民團(tuán)體網(wǎng)絡(luò)安全和信息化相關(guān)工作機(jī)構(gòu)：

為加強(qiáng)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理，維護(hù)國(guó)家網(wǎng)絡(luò)安全，現(xiàn)就黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理提出以下意見(jiàn)。

一、充分認(rèn)識(shí)加強(qiáng)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的必要性

云計(jì)算服務(wù)是以云計(jì)算技術(shù)與模式為主要特征的信息技術(shù)服務(wù)，包括SaaS（軟件即服務(wù)）、PaaS（平臺(tái)即服務(wù)）、IaaS（基礎(chǔ)設(shè)施即服務(wù)）等。黨政部門(mén)采購(gòu)云計(jì)算服務(wù)，有利于提高資源利用率和為民服務(wù)效率與水平，同時(shí)，安全風(fēng)險(xiǎn)也很突出：用戶對(duì)數(shù)據(jù)、系統(tǒng)的控制管理能力減弱；安全責(zé)任不明確，一些單位可能由于數(shù)據(jù)和業(yè)務(wù)的外包而放松安全管理；云計(jì)算平臺(tái)更加復(fù)雜，風(fēng)險(xiǎn)和隱患增多，控制和監(jiān)管手段不足；云計(jì)算平臺(tái)間的互操作和移植比較困難，用戶數(shù)據(jù)和業(yè)務(wù)遷移到云計(jì)算平臺(tái)后容易形成對(duì)云計(jì)算服務(wù)提供者（以下稱服務(wù)商）的過(guò)度依賴。對(duì)此，各級(jí)黨政部門(mén)務(wù)必高度重視，增強(qiáng)風(fēng)險(xiǎn)意識(shí)、責(zé)任意識(shí)，切實(shí)加強(qiáng)采購(gòu)和使用云計(jì)算服務(wù)過(guò)程中的網(wǎng)絡(luò)安全管理。

二、進(jìn)一步明確黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的基本要求

黨政部門(mén)在采購(gòu)使用云計(jì)算服務(wù)過(guò)程中應(yīng)遵守，并通過(guò)合同等手段要求為黨政部門(mén)提供云計(jì)算服務(wù)的服務(wù)商遵守以下要求：

——安全管理責(zé)任不變。網(wǎng)絡(luò)安全管理責(zé)任不隨服務(wù)外包而外包，無(wú)論黨政部門(mén)數(shù)據(jù)和業(yè)務(wù)是位于內(nèi)部信息系統(tǒng)還是服務(wù)商云計(jì)算平臺(tái)上，黨政部門(mén)始終是網(wǎng)絡(luò)安全的最終責(zé)任人，應(yīng)加強(qiáng)安全管理，通過(guò)簽訂合同、持續(xù)監(jiān)督等方式要求服務(wù)商嚴(yán)格履行安全責(zé)任和義務(wù)，確保黨政部門(mén)數(shù)據(jù)和業(yè)務(wù)的機(jī)密性、完整性、可用性，以及互操作性、可移植性。

——數(shù)據(jù)歸屬關(guān)系不變。黨政部門(mén)提供給服務(wù)商的數(shù)據(jù)、設(shè)備等資源，以及云計(jì)算平臺(tái)上黨政業(yè)務(wù)系統(tǒng)運(yùn)行過(guò)程中收集、產(chǎn)生、存儲(chǔ)的數(shù)據(jù)和文檔等資源屬黨政部門(mén)所有。服務(wù)商應(yīng)保障黨政部門(mén)對(duì)這些資源的訪問(wèn)、利用、支配，未經(jīng)黨政部門(mén)授權(quán)，不得訪問(wèn)、修改、披露、利用、轉(zhuǎn)讓、銷毀黨政部門(mén)數(shù)據(jù)；在服務(wù)合同終止時(shí)，應(yīng)按要求做好數(shù)據(jù)、文檔等資源的移交和清除工作。

——安全管理標(biāo)準(zhǔn)不變。承載黨政部門(mén)數(shù)據(jù)和業(yè)務(wù)的云計(jì)算平臺(tái)要參照黨政信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全管理，服務(wù)商應(yīng)遵守黨政信息系統(tǒng)的網(wǎng)絡(luò)安全政策規(guī)定、信息安全等級(jí)保護(hù)要求、技術(shù)標(biāo)準(zhǔn)，落實(shí)安全管理和防護(hù)措施，接受黨政部門(mén)和網(wǎng)絡(luò)安全主管部門(mén)的網(wǎng)絡(luò)安全監(jiān)管。

——敏感信息不出境。為黨政部門(mén)提供服務(wù)的云計(jì)算服務(wù)平臺(tái)、數(shù)據(jù)中心等要設(shè)在境內(nèi)。敏感信息未經(jīng)批準(zhǔn)不得在境外傳輸、處理、存儲(chǔ)。

三、合理確定采用云計(jì)算服務(wù)的數(shù)據(jù)和業(yè)務(wù)范圍

黨政部門(mén)要參照《信息安全技術(shù)云計(jì)算服務(wù)安全指南》等國(guó)家標(biāo)準(zhǔn)，對(duì)數(shù)據(jù)的敏感程度、業(yè)務(wù)的重要性進(jìn)行分類，全面分析、綜合平衡采用云計(jì)算服務(wù)后的安全風(fēng)險(xiǎn)和效益，科學(xué)規(guī)劃和確定采用云計(jì)算服務(wù)的數(shù)據(jù)、業(yè)務(wù)范圍和進(jìn)度安排。對(duì)于涉及國(guó)家秘密、工作秘密的業(yè)務(wù)，不得采用社會(huì)化云計(jì)算服務(wù)。對(duì)于包含大量敏感信息和公民隱私信息、直接影響黨政機(jī)關(guān)運(yùn)轉(zhuǎn)和公眾生活工作的關(guān)鍵業(yè)務(wù)，應(yīng)在確保安全的前提下再考慮向云計(jì)算平臺(tái)遷移。對(duì)于保護(hù)等級(jí)四級(jí)以上的信息系統(tǒng)，以及一旦出現(xiàn)問(wèn)題可能造成重大經(jīng)濟(jì)損失，甚至危害國(guó)家安全的業(yè)務(wù)不宜采用社會(huì)化云計(jì)算服務(wù)。

掃描二維碼 關(guān)注我們

本文鏈接：http://www.dyerandpostasalon.com/law/10009.html

本文關(guān)鍵詞： 中網(wǎng)辦發(fā)文, 黨政部門(mén), 云計(jì)算, 網(wǎng)絡(luò)安全, 管理, 意見(jiàn)