各旗、縣、區(qū)人民政府，稀土高新區(qū)管委會，市直各部門、單位：

包頭市政務(wù)云安全管理辦法

第一章　　總則

第一條　　為深入貫徹網(wǎng)絡(luò)強(qiáng)國重要思想，全面落實(shí)《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》，進(jìn)一步強(qiáng)化包頭市政務(wù)云平臺（以下簡稱政務(wù)云平臺）安全管理，切實(shí)保障政務(wù)云平臺安全穩(wěn)定運(yùn)行和承載的政務(wù)數(shù)據(jù)安全，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》、《中華人民共和國密碼法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（國令第745號）等法律法規(guī)及相關(guān)政策規(guī)定，以鑄牢中華民族共同體意識為工作主線，結(jié)合包頭市實(shí)際，制定本辦法。

第二條　　本辦法適用于市本級政務(wù)云平臺的使用、管理以及基于政務(wù)云平臺部署的政務(wù)信息系統(tǒng)（以下簡稱云上政務(wù)信息系統(tǒng)）及其數(shù)據(jù)的安全管理。

政務(wù)云平臺指依托云計算技術(shù)，整合計算、存儲、網(wǎng)絡(luò)、安全等資源，通過電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，為市本級非涉密政務(wù)信息系統(tǒng)提供統(tǒng)一基礎(chǔ)設(shè)施及服務(wù)的云服務(wù)平臺。

云服務(wù)商指通過公開招標(biāo)等法定程序確定，提供政務(wù)云平臺服務(wù)的具有相應(yīng)資質(zhì)和能力的服務(wù)機(jī)構(gòu)。云使用單位指依據(jù)本辦法規(guī)定在政務(wù)云平臺部署政務(wù)信息系統(tǒng)的市本級財政預(yù)算單位。

第三條　　在市委網(wǎng)信委領(lǐng)導(dǎo)下，市委網(wǎng)信辦、市委國安辦、市委保密機(jī)要局、市公安局、市行政審批政務(wù)服務(wù)與數(shù)據(jù)管理局等單位，按照各自工作職能協(xié)同對政務(wù)云平臺進(jìn)行安全監(jiān)督，指導(dǎo)云服務(wù)商和云使用單位落實(shí)安全責(zé)任。

第四條　　安全管理遵循“誰使用誰負(fù)責(zé)、誰建設(shè)誰負(fù)責(zé)、誰管理誰負(fù)責(zé)”的原則，清晰界定權(quán)責(zé)，強(qiáng)化分工協(xié)作。

（一）云使用單位負(fù)責(zé)本單位的云上政務(wù)信息系統(tǒng)及其數(shù)據(jù)安全、用戶權(quán)限管理和日常安全防護(hù)工作。政務(wù)信息系統(tǒng)上云部署后，其安全管理責(zé)任主體、數(shù)據(jù)歸屬不隨上云而轉(zhuǎn)移。

（二）云服務(wù)商負(fù)責(zé)政務(wù)云平臺資源層及所提供云服務(wù)的安全，提供基礎(chǔ)安全技術(shù)支撐和平臺級安全保障，配合開展安全檢查、實(shí)網(wǎng)攻防、應(yīng)急演練等工作。

（三）市行政審批政務(wù)服務(wù)與數(shù)據(jù)管理局所屬事業(yè)單位市大數(shù)據(jù)中心，負(fù)責(zé)開展政務(wù)云平臺安全檢查、云上政務(wù)信息系統(tǒng)風(fēng)險隱患通知通報、跟蹤督促整改落實(shí)等工作。

第二章　　安全管理

第五條　　政務(wù)云平臺安全管理

（一）政務(wù)云建設(shè)須安全可控。云服務(wù)商搭建的政務(wù)云平臺硬件設(shè)備應(yīng)符合國家關(guān)于信息技術(shù)應(yīng)用創(chuàng)新和關(guān)鍵設(shè)備安全可控的相關(guān)規(guī)定，并具備完善的業(yè)務(wù)連續(xù)性管理體系和災(zāi)備能力（含平臺災(zāi)備、業(yè)務(wù)連續(xù)性保障等）。

（二）建立健全安全管理體系。政務(wù)云平臺須通過國家云計算服務(wù)安全能力評估，每年開展網(wǎng)絡(luò)安全等級保護(hù)測評、商用密碼應(yīng)用安全性評估，并在相關(guān)評估、測評報告出具后15個工作日內(nèi)提交市大數(shù)據(jù)中心存檔。

（三）建立健全運(yùn)維管理制度。政務(wù)云平臺原則上不支持進(jìn)行遠(yuǎn)程運(yùn)維操作；關(guān)鍵數(shù)據(jù)須每日備份，平臺系統(tǒng)操作日志保存時間不得少于6個月。

（四）建立健全安全巡檢制度。云服務(wù)商須每日對設(shè)備與系統(tǒng)狀態(tài)進(jìn)行巡檢，對密碼資源池的有效性進(jìn)行驗證，實(shí)施安全事件零報告制度；每月對政務(wù)云平臺進(jìn)行漏洞掃描、日志審計和安全態(tài)勢分析，并向主管部門上報月度安全運(yùn)行報告。

（五）強(qiáng)化供應(yīng)鏈安全管理。云服務(wù)商對其分包業(yè)務(wù)、使用的開源軟件、第三方組件等承擔(dān)安全責(zé)任，須在使用或引入前進(jìn)行安全風(fēng)險評估，并簽訂安全協(xié)議。

（六）服務(wù)退出與數(shù)據(jù)清除機(jī)制。云服務(wù)商終止服務(wù)，應(yīng)提前90天向主管部門提交申請，并積極配合云使用單位進(jìn)行系統(tǒng)遷移；終止服務(wù)后，云服務(wù)商須徹底清除相關(guān)數(shù)據(jù)，并向主管部門報送數(shù)據(jù)清除報告。

第六條　　政務(wù)云平臺接入網(wǎng)絡(luò)安全管理

（一）落實(shí)網(wǎng)絡(luò)安全管理責(zé)任。政務(wù)云平臺接入的外部網(wǎng)絡(luò)安全管理遵循“誰提供誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，通信運(yùn)營商須確保接入政務(wù)云平臺的外部網(wǎng)絡(luò)結(jié)構(gòu)合理、網(wǎng)絡(luò)暢通、網(wǎng)絡(luò)設(shè)備運(yùn)行穩(wěn)定；網(wǎng)絡(luò)使用單位須落實(shí)網(wǎng)絡(luò)安全主體責(zé)任，建立并嚴(yán)格執(zhí)行網(wǎng)絡(luò)訪問安全管理制度。

（二）強(qiáng)化網(wǎng)絡(luò)邊界安全防護(hù)。接入政務(wù)云平臺的外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)、部門專網(wǎng)）須由通信運(yùn)營商和云服務(wù)商在網(wǎng)絡(luò)邊界部署防火墻、入侵防御等安全措施，通過防火墻實(shí)現(xiàn)網(wǎng)絡(luò)對接。

（三）全面落實(shí)接口安全管理。云服務(wù)商須對接入政務(wù)云平臺的每一個外部網(wǎng)絡(luò)接口進(jìn)行安全管理。

第七條　　政務(wù)信息系統(tǒng)安全管理

（一）落實(shí)安全防護(hù)與災(zāi)備要求。政務(wù)信息系統(tǒng)上云，須部署安全防護(hù)措施（如防火墻、入侵檢測系統(tǒng)IDS/入侵防御系統(tǒng)IPS、終端安全防護(hù)等），并使用符合國家密碼管理要求的商用密碼技術(shù)、產(chǎn)品和服務(wù)進(jìn)行保護(hù)；云使用單位對其部署在政務(wù)云上的政務(wù)信息系統(tǒng)和數(shù)據(jù)資源，應(yīng)同步落實(shí)系統(tǒng)和數(shù)據(jù)的本地及異地容災(zāi)備份。

（二）落實(shí)網(wǎng)絡(luò)安全主體責(zé)任。云使用單位須按期對本單位部署的云上政務(wù)信息系統(tǒng)開展等級保護(hù)測評、滲透測試、安全風(fēng)險評估、商用密碼應(yīng)用安全性評估等工作；須與系統(tǒng)承建單位、運(yùn)維單位簽訂保密協(xié)議和安全責(zé)任書，清晰界定數(shù)據(jù)訪問權(quán)限、操作規(guī)范和安全責(zé)任。

（三）建立健全安全訪問管理制度。云使用單位須對本單位部署的云上政務(wù)信息系統(tǒng)建立完善的安全訪問管理制度，覆蓋運(yùn)維終端、關(guān)聯(lián)終端、VPN賬號、零信任賬號、各類管理賬號、口令、操作行為等要素，明確專人負(fù)責(zé)管理，實(shí)施最小權(quán)限原則和操作審計。

（四）建立健全運(yùn)維管理制度。云使用單位須制定并嚴(yán)格執(zhí)行日常運(yùn)維管理制度（含變更管理、配置管理、漏洞管理、陪同旁站制度等），及時修復(fù)漏洞、定期分析日志并進(jìn)行安全加固，運(yùn)維和管理操作日志保存時間不得少于6個月。

第八條　　數(shù)據(jù)安全管理

（一）保障政務(wù)數(shù)據(jù)安全。云服務(wù)商須采取嚴(yán)格的技術(shù)和管理措施，禁止未經(jīng)云使用單位授權(quán)訪問、查看、復(fù)制、篡改、泄露、損毀或非法轉(zhuǎn)移云上政務(wù)信息系統(tǒng)數(shù)據(jù)。

（二）落實(shí)數(shù)據(jù)分類分級與備份保護(hù)要求。云使用單位應(yīng)嚴(yán)格執(zhí)行國家數(shù)據(jù)分類分級保護(hù)制度及相關(guān)標(biāo)準(zhǔn)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。對云上政務(wù)信息系統(tǒng)涉及的重要數(shù)據(jù)和核心數(shù)據(jù)須進(jìn)行識別、目錄管理和重點(diǎn)保護(hù)，按相關(guān)要求實(shí)施容災(zāi)備份，備份策略（頻率、保留周期）應(yīng)滿足業(yè)務(wù)恢復(fù)時效性和法律法規(guī)要求。

（三）嚴(yán)格遵守數(shù)據(jù)出境安全規(guī)定。涉及數(shù)據(jù)出境行為的，必須嚴(yán)格遵守《中華人民共和國數(shù)據(jù)安全法》、《數(shù)據(jù)出境安全評估辦法》（國家互聯(lián)網(wǎng)信息辦公室令第11號）、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等相關(guān)規(guī)定。

第九條　　云上政務(wù)信息系統(tǒng)運(yùn)維安全管理

（一）規(guī)范機(jī)房實(shí)地操作管理。信息系統(tǒng)運(yùn)維人員進(jìn)入政務(wù)云機(jī)房實(shí)地操作，須執(zhí)信息系統(tǒng)所屬單位授權(quán)函，進(jìn)行實(shí)名登記，操作全程須由云服務(wù)商工作人員陪同旁站。

（二）規(guī)范遠(yuǎn)程運(yùn)維安全準(zhǔn)入。云上政務(wù)信息系統(tǒng)進(jìn)行遠(yuǎn)程運(yùn)維，須由系統(tǒng)所屬單位履行內(nèi)部審批手續(xù)，進(jìn)行實(shí)名登記并以最小權(quán)限向云服務(wù)商申請限時開通VPN、零信任等安全通道進(jìn)行操作。

（三）嚴(yán)格遠(yuǎn)程運(yùn)維通道管理。VPN、零信任等遠(yuǎn)程運(yùn)維賬號及臨時安全通道的開通，遵循“一次一用、單次有效”的原則；需長期開通相關(guān)通道的，須由系統(tǒng)所屬單位向網(wǎng)絡(luò)安全主管部門進(jìn)行申請，經(jīng)審核同意后，云服務(wù)商方可開通相關(guān)通道。

第十條　　安全監(jiān)測與應(yīng)急管理

（一）強(qiáng)化安全監(jiān)測與應(yīng)急通報。云服務(wù)商須對政務(wù)云平臺基礎(chǔ)設(shè)施和平臺層安全進(jìn)行7×24小時監(jiān)測預(yù)警；發(fā)現(xiàn)涉及云上政務(wù)信息系統(tǒng)的安全漏洞、隱患、攻擊行為時，應(yīng)當(dāng)立即告知市大數(shù)據(jù)中心和涉事政務(wù)信息系統(tǒng)所屬單位，并確保相關(guān)信息準(zhǔn)確送達(dá)，同時提供必要的技術(shù)信息支持。

（二）嚴(yán)格安全隱患閉環(huán)管理。云使用單位須對其部署的云上政務(wù)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)和數(shù)據(jù)安全監(jiān)測預(yù)警；在發(fā)現(xiàn)安全隱患或收到相關(guān)部門告知的安全隱患后，須立即啟動響應(yīng)，于5個工作日內(nèi)完成漏洞修復(fù)、風(fēng)險處置與整改工作，并書面反饋至預(yù)警部門，抄送市大數(shù)據(jù)中心。

（三）健全應(yīng)急預(yù)案體系與演練機(jī)制。云服務(wù)商應(yīng)制定政務(wù)云平臺總體應(yīng)急預(yù)案，并定期更新完善；各云使用單位應(yīng)制定相應(yīng)的云上政務(wù)信息系統(tǒng)專項應(yīng)急預(yù)案，并保持動態(tài)修訂。云服務(wù)商每半年應(yīng)牽頭組織至少一次綜合應(yīng)急演練（涵蓋網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露、系統(tǒng)故障、災(zāi)備切換等典型場景），各云使用單位需積極參與、協(xié)同配合。

（四）規(guī)范應(yīng)急響應(yīng)與事件報告流程。政務(wù)云平臺發(fā)生《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》定義的Ⅲ級（較大）及以上網(wǎng)絡(luò)安全事件，云服務(wù)商須立即按照應(yīng)急預(yù)案進(jìn)行應(yīng)急處置，并在確認(rèn)事件后30分鐘內(nèi)向網(wǎng)絡(luò)安全主管部門進(jìn)行報告，持續(xù)通報進(jìn)展，事后須提交詳細(xì)的事件分析報告。

（五）強(qiáng)化事件應(yīng)急響應(yīng)與聯(lián)動處置。云上政務(wù)信息系統(tǒng)發(fā)生《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》定義的Ⅲ級（較大）及以上網(wǎng)絡(luò)安全事件，云使用單位須立即按照應(yīng)急預(yù)案進(jìn)行應(yīng)急處置，并在確認(rèn)事件后30分鐘內(nèi)向網(wǎng)絡(luò)安全主管部門進(jìn)行報告，持續(xù)通報進(jìn)展，事后須提交詳細(xì)的事件分析報告。云服務(wù)商須全力配合云使用單位做好應(yīng)急處置，控制影響范圍、減少損失。

第三章　　監(jiān)督管理

第十一條　　安全監(jiān)管

（一）落實(shí)安全責(zé)任協(xié)議簽署。政務(wù)信息系統(tǒng)上云前，云使用單位須與云服務(wù)商簽訂《包頭市政務(wù)云平臺安全責(zé)任協(xié)議》，清晰界定雙方的安全管理職責(zé)與責(zé)任邊界。未簽訂安全責(zé)任協(xié)議的系統(tǒng)禁止接入政務(wù)云平臺。

（二）嚴(yán)格上云系統(tǒng)安全準(zhǔn)入核驗。新上云政務(wù)信息系統(tǒng)正式運(yùn)行前，市大數(shù)據(jù)中心須核驗其《網(wǎng)絡(luò)安全等級保護(hù)測評證書》、密碼應(yīng)用方案和相關(guān)安全檢測報告（如安全測評報告、滲透測試報告等）。對未達(dá)到安全合規(guī)要求的政務(wù)信息系統(tǒng)，不得批準(zhǔn)其進(jìn)行互聯(lián)網(wǎng)訪問或?qū)ν膺M(jìn)行數(shù)據(jù)交換。

（三）常態(tài)化開展安全調(diào)度與檢查。市大數(shù)據(jù)中心每月開展政務(wù)云平臺安全調(diào)度，每季度組織專項檢查，及時通知通報云上政務(wù)信息系統(tǒng)風(fēng)險隱患，并跟蹤督促整改落實(shí)。

（四）建立退出機(jī)制。對存在重大安全隱患且無法整改或整改后仍不符合安全要求的云上政務(wù)信息系統(tǒng)，可暫停政務(wù)云服務(wù)或責(zé)令其限期退出政務(wù)云平臺。

第十二條　　責(zé)任追究

云服務(wù)商因違反相關(guān)網(wǎng)絡(luò)和數(shù)據(jù)安全法律法規(guī)或本辦法規(guī)定，導(dǎo)致發(fā)生《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》定義的Ⅲ級（較大）及以上網(wǎng)絡(luò)安全事件，由網(wǎng)絡(luò)安全執(zhí)法部門追究其法律責(zé)任；云使用單位網(wǎng)絡(luò)和數(shù)據(jù)安全責(zé)任落實(shí)情況、隱患整改完成率及安全事件發(fā)生情況由市委網(wǎng)信辦、市公安局等納入年度網(wǎng)絡(luò)安全考核。

第四章　　附　　則

第十三條　　各旗縣區(qū)、稀土高新區(qū)可參照本辦法制定政務(wù)云安全管理實(shí)施細(xì)則。　

第十四條　　為適應(yīng)網(wǎng)絡(luò)安全和信息技術(shù)發(fā)展，確保本辦法的時效性與可操作性，市行政審批政務(wù)服務(wù)與數(shù)據(jù)管理局應(yīng)跟蹤國家法規(guī)政策及技術(shù)發(fā)展趨勢，定期評估本辦法實(shí)施效果，并按程序適時修訂完善本辦法。

第十五條　　本辦法自發(fā)布之日起實(shí)施，有效期五年。