《關于加強黨政部門云計算服務網(wǎng)絡安全管理的意見》發(fā)布
 

  中央網(wǎng)信辦于近日發(fā)布了《關于加強黨政部門云計算服務網(wǎng)絡安全管理的意見》,《意見》中提出各級黨政部門務必要充分認識到云計算服務網(wǎng)絡安全管理的必要性,并且提出若干基本要求。同時,《意見》中明確要對云計算服務進行提供商進行審查,并加強服務過程中的持續(xù)監(jiān)督與指導。

 
  《意見》要點如下:
 
  中央網(wǎng)信辦提出,各級黨政部門務必高度重視,增強風險意識、責任意識,切實加強采購和使用云計算服務過程中的網(wǎng)絡安全管理。同時,中央網(wǎng)信辦明確了幾點基本要求:
 
  安全管理責任不變。網(wǎng)絡安全管理責任不隨服務外包而外包,無論黨政部門數(shù)據(jù)和業(yè)務是位于內(nèi)部信息系統(tǒng)還是服務商云計算平臺上,黨政部門始終是網(wǎng)絡安全的最終責任人,應加強安全管理,通過簽訂合同、持續(xù)監(jiān)督等方式要求服務商嚴格履行安全責任和義務,確保黨政部門數(shù)據(jù)和業(yè)務的機密性、完整性、可用性,以及互操作性、可移植性。
 
  數(shù)據(jù)歸屬關系不變。黨政部門提供給服務商的數(shù)據(jù)、設備等資源,以及云計算平臺上黨政業(yè)務系統(tǒng)運行過程中收集、產(chǎn)生、存儲的數(shù)據(jù)和文檔等資源屬黨政部門所有。服務商應保障黨政部門對這些資源的訪問、利用、支配,未經(jīng)黨政部門授權(quán),不得訪問、修改、披露、利用、轉(zhuǎn)讓、銷毀黨政部門數(shù)據(jù);在服務合同終止時,應按要求做好數(shù)據(jù)、文檔等資源的移交和清除工作。
 
  安全管理標準不變。承載黨政部門數(shù)據(jù)和業(yè)務的云計算平臺要參照黨政信息系統(tǒng)進行網(wǎng)絡安全管理,服務商應遵守黨政信息系統(tǒng)的網(wǎng)絡安全政策規(guī)定、信息安全等級保護要求、技術標準,落實安全管理和防護措施,接受黨政部門和網(wǎng)絡安全主管部門的網(wǎng)絡安全監(jiān)管。
 
  敏感信息不出境。為黨政部門提供服務的云計算服務平臺、數(shù)據(jù)中心等要設在境內(nèi)。敏感信息未經(jīng)批準不得在境外傳輸、處理、存儲。
 
  在云計算服務范圍上,中央網(wǎng)信辦提出合理確定采用云計算服務的數(shù)據(jù)和業(yè)務范圍。黨政部門要參照《信息安全技術 云計算服務安全指南》等國家標準,對數(shù)據(jù)的敏感程度、業(yè)務的重要性進行分類,全面分析、綜合平衡采用云計算服務后的安全風險和效益,科學規(guī)劃和確定采用云計算服務的數(shù)據(jù)、業(yè)務范圍和進度安排。對于涉及國家秘密、工作秘密的業(yè)務,不得采用社會化云計算服務。對于包含大量敏感信息和公民隱私信息、直接影響黨政機關運轉(zhuǎn)和公眾生活工作的關鍵業(yè)務,應在確保安全的前提下再考慮向云計算平臺遷移。對于保護等級四級以上的信息系統(tǒng),以及一旦出現(xiàn)問題可能造成重大經(jīng)濟損失,甚至危害國家安全的業(yè)務不宜采用社會化云計算服務。
 
  有鑒于此,中央網(wǎng)信辦會同有關部門建立云計算服務安全審查機制。對為黨政部門提供云計算服務的服務商,參照有關網(wǎng)絡安全國家標準,組織第三方機構(gòu)進行網(wǎng)絡安全審查,重點審查云計算服務的安全性、可控性。黨政部門采購云計算服務時,應逐步通過采購文件或合同等手段,明確要求服務商應通過安全審查。鼓勵重點行業(yè)優(yōu)先采購和使用通過安全審查的服務商提供的云計算服務。
 
  在使用云計算服務的過程中,中央網(wǎng)信辦認為應重視持續(xù)指導和監(jiān)督。黨政部門應按照合同管理等有關要求,參考相關技術標準和指南,同服務商簽訂服務合同、協(xié)議。合同和協(xié)議要充分體現(xiàn)網(wǎng)絡安全管理要求,明確合同雙方的網(wǎng)絡安全責任義務。直接參與黨政業(yè)務系統(tǒng)運行管理的服務商人員應簽訂安全保密協(xié)議,必要時要對其進行背景調(diào)查。黨政部門要認真履行合同規(guī)定的責任義務,監(jiān)督服務商加強安全防護管理,要求服務商在發(fā)生網(wǎng)絡安全案件或重大事件時,及時向有關部門報告,配合開展調(diào)查工作。要組織對云計算服務的安全監(jiān)測,加強安全檢查,及時發(fā)現(xiàn)和通報安全隱患。
 
  此外,中央網(wǎng)信辦還提出應強化保密審查和安全意識培養(yǎng)。黨政部門應建立健全云計算服務保密審查制度,指定機構(gòu)和人員負責對遷移到云計算平臺上的數(shù)據(jù)、業(yè)務進行保密審查,確保數(shù)據(jù)和業(yè)務不涉及國家秘密。綜合分析數(shù)據(jù)關聯(lián)性,防止因數(shù)據(jù)匯聚涉及國家秘密,不得使用非涉密網(wǎng)絡中的云計算平臺處理涉及國家秘密的信息。黨政部門在使用云計算服務前,要集中組織開展機關工作人員網(wǎng)絡安全和保密教育培訓,明示使用云計算服務面臨的安全保密風險;要求服務商加強對員工的安全和保密教育,自覺維護黨政部門云計算服務安全。
責任編輯:admin