一、制定背景
為認真貫徹習近平總書記關于網絡強國的重要思想,進一步厘清我市政務云平臺各方責任、規范管理流程、強化監督機制,全面提升政務云安全管理的制度化、規范化水平,按照《中華人民共和國網絡安全法》等法律法規要求,制定本辦法。
二、重點內容
《管理辦法》共四章16條,系統構建權責清晰、機制完善、操作性強的工作體系。重點包括:
(一)構建“三方協同、各負其責”的安全責任體系
明確監管部門、云服務商、云使用單位三方責任。云使用單位是云上系統及數據安全的第一責任主體;云服務商負責云平臺自身安全與供應鏈安全;市大數據中心負責政務云平臺安全運營監管。
(二)建立“覆蓋全生命周期”的安全管理閉環
從系統上云前準入、運行中管控到退出后清理,實施全鏈條管理。準入階段實行安全合規核驗與“安全一票否決”;運行階段要求定期開展安全檢測、日志審計(保存不少于6個月);退出階段確保數據徹底清除,防范殘留風險。
(三)強化數據安全與個人信息保護
設立數據安全專章,明確禁止云服務商非法訪問、泄露用戶數據。要求云使用單位嚴格落實數據分類分級制度,自行完成重要數據和核心數據的識別與保護,并嚴格遵守數據出境安全評估規定。
(四)提升實戰化應急響應能力
推動應急管理從預案向實戰轉化。要求云服務商開展7×24小時監測,建立快速通報機制,每半年至少組織一次綜合應急演練,并規范網絡安全事件報告流程;云使用單位須在收到風險通報后5個工作日內完成整改并反饋。
三、關鍵操作指引
為保障《辦法》有效落地,各相關方需重點關注以下操作性要求:
|
責任主體 |
關鍵事項 |
具體依據與要求 |
注意事項 |
|
云使用單位 |
1. 系統上云前安全合規 |
第十一條:簽訂《安全責任協議》;準備并提交等保測評、密評報告等供核驗。 |
安全合規是接入前提,需提前規劃測評工作。 |
|
2. 數據分類分級與備份 |
第八條:識別、管理重要數據和核心數據;制定并落實滿足業務與法規要求的備份策略。 |
這是數據安全的核心,需要建立內部管理制度。 | |
|
3. 安全隱患整改閉環 |
第十條:收到風險通報后,5個工作日內完成整改并書面反饋。 |
需建立內部快速響應機制,按時限要求反饋。 | |
|
4. 應急預案制定與演練 |
第十條:制定專項應急預案,并積極參與云服務商組織的綜合演練。 |
預案需動態修訂,演練重在檢驗協同處置能力。 | |
|
云服務商 |
1. 平臺合規與持續評估 |
第五條:通過國家云服務安全評估;每年開展并提交等保測評、密評報告。 |
報告需在出具后15個工作日內提交市大數據中心存檔。 |
|
2. 日常安全運營 |
第五條:執行每日巡檢、零報告、月度漏洞掃描與態勢分析,并提交月度安全報告。 |
運營記錄是證明履行責任的重要依據。 | |
|
3. 應急演練組織 |
第十條:每半年至少組織一次綜合應急演練。 |
需提前制定方案,邀請相關使用單位和監管部門參與。 | |
|
責任主體 |
關鍵事項 |
具體依據與要求 |
注意事項 |
|
云服務商 |
4. 供應鏈與退出管理 |
第五條:對分包業務、開源軟件等進行安全風險評估;在服務終止時徹底清除數據。 |
需留存風險評估、安全協議及數據清除報告等證據。 |
|
市大數據中心 |
1. 安全準入核驗 |
第十一條:對新上云系統進行安全合規核驗。 |
核驗標準應公開、統一,把好入口關。 |
|
2. 常態化安全調度與檢查 |
第十一條:每月調度、每季度專項檢查,跟蹤督促整改。 |
檢查結果應與考核掛鉤,形成威懾力。 |
