您好!

网上办事

您现在的位置:首页 > 网上办事 > 文件发布 > 综合
山西省经济和信息化委员会
中共山西省委网络安全和信息化领导小组办公室
关于加强全省党政部门云计算服务网络安全管理的意见
晋经信信安字〔2017〕251号 【 来源:办公室  发表时间:2017-09-22 17:15:53 点击次数:2288 】

各市经信委,各市委网信办,省直各党政机关,各有关单位:
  为加强党政部门云计算服务网络安全管理,维护我省网络安全,保障《山西省大数据发展规划(2017-2020年)》(晋政发〔2017〕5号)和《山西省促进大数据发展应用2017年行动计划》(晋政办发〔2017〕15号)顺利实施,根据中央网信办《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔2014〕14号)精神要求,参照《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)等相关国家标准,结合我省实际,现就全省党政部门加强云计算服务网络安全管理工作提出如下意见:
  一、按需购买服务,合理确定云计算服务模式和部署模式
  准确把握云计算“按需自助服务、泛在接入、资源池化、快速伸缩性、服务可计量”等主要特征和优势,切实提高资源利用率和为民服务效率与水平,防止有名无实。综合平衡采用云计算服务后获得的效益、可能面临的信息安全风险、可采取的安全措施等,在确保安全风险可控的情况下采用云计算服务。根据软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)等不同服务模式的特点,以及党政部门自身数据、系统的安全管理要求和业务运行需求,选择合适的云计算服务模式。充分考虑共建共享云计算平台、本单位对云计算平台的管理技能、业务可扩展性要求等因素影响,在私有云、公有云、社区云、混合云中选择合适的部署模式。
  二、紧扣云安全实质,加强云计算安全风险管理
  紧紧抓住“社会化”的云计算环境下网络安全威胁的实质,充分认识云计算特有的安全风险:党政部门对数据和业务系统的控制能力减弱,与云计算服务提供者(以下简称服务商)之间的责任难以界定、安全责任不明确;数据所有权保障面临风险,数据保护更加困难;用户数据和业务迁移到云计算平台,容易形成对服务商的过度依赖等。各级党政部门要高度重视,增强风险意识、责任意识,切实加强“规划准备、选择服务商及部署、运行监管、退出服务”等云计算服务全生命周期各阶段的网络安全管理。
  三、明确责任,落实安全管理基本要求
  党政部门和服务商共同维护云计算服务的安全。要按照《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)等国家标准,明确SaaS、PaaS、IaaS等不同服务模式下党政部门和服务商各自的安全责任范围。党政部门在采购使用云计算服务过程中应遵守并通过合同等手段要求服务商遵守中央网信办提出的“安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境”等云计算服务安全管理基本要求。
  四、合理规划,做好数据、业务部署或迁移的准备工作
  按照中央网信办“合理确定采用云计算服务的数据和业务范围”的要求,重点做好以下工作。
  (一)对“建设成本、运维成本、人力成本、云计算服务的性能和质量、采用云计算服务的创新性”进行效益评估。
  (二)明确“敏感信息、公开信息”类型和范围。
  (三)对承载相关信息的业务按照“一般、重要、关键”进行分类;根据采用云计算服务后的效益和风险,确定优先部署到云计算平台的数据和业务。
  (四)对云计算服务需求进行分析,按照功能、性能需求和安全要求确定部署模式,制定部署方案,形成决策报告。
  (五)对涉及国家秘密、工作秘密的业务不得采用社会化云计算服务。对包含大量敏感信息和公民隐私信息、直接影响党政机关运转和公众生活工作的关键业务,应在确保安全的前提下再考虑向云计算平台迁移。对于保护等级四级以上(含)的信息系统,以及一旦出现问题可能造成重大经济损失,甚至危害国家安全的业务不宜采用社会化云计算服务。
  五、贯彻落实网络安全审查制度,安全使用云计算服务
  关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。中央网信办会同有关部门建立云计算服务网络安全审查机制,并统一组织党政部门云计算服务网络安全审查,有关情况已于中央网信办官网公示。要贯彻落实中央网信办的统一安排部署,避免重复审查。党政部门采购云计算服务时,应通过采购文件或合同等手段,明确要求服务商应通过网络安全审查,已投入使用的党政部门云计算平台要加快完善合同修订工作,并将有关情况报省经信委。鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务。
  对拟与服务商共建或指导其建设云计算平台的情况,要督促服务商按照《信息安全技术  云计算服务安全能力要求》(GB/T 31168-2014)等国家标准,实现一般要求或增强要求,并在通过安全审查后方可使用。
  六、加强运行和退出服务监管,维护数据和业务安全
  党政部门要加强云计算服务过程的持续指导和监督,加强对服务商的运行监管和自身使用云服务的监管,通过合同明确服务商的责任与义务,要求服务商提供必要的监管接口和日志查询功能,与直接参与党政系统运行管理的服务商人员签订保密协议,必要时对其进行背景调查。按照国家有关政府信息系统安全检查的要求,将服务商的云计算平台纳入年度安全检查范围,建立有效的审查、检查机制。重点监督服务商加强安全防护管理,要求服务商及时报告网络安全事(案)件,配合开展调查工作。要督促服务商密切配合,定期开展风险评估与监测,保证持续满足云计算服务安全能力要求。
  七、强化教育培训,坚持用制度管人、管事
  党政部门在使用云计算服务前,要在服务商的配合下,集中组织开展网络安全和保密教育培训,明确使用计算机服务面临的安全保密风险,提高机关工作人员的安全意识和安全操作技能,共同维护党政部门云计算服务安全。
建立健全云计算服务保密审查制度,坚持用制度管人、管事。各单位保密工作机构负责对迁移到“社会化”的云计算平台上的数据、业务进行保密审查,综合分析数据关联性,防止因数据汇聚涉及国家秘密,确保数据和业务不失密、不泄密。
  八、夯实基础性工作,提高网络安全保障能力
  大力宣传贯彻国家云计算服务网络安全管理相关法规制度及国家标准,提升党政部门云计算平台建设、使用、管理的规范化、科学化水平。
  鼓励发展云计算相关网络安全服务。配合中央网信办统一组织党政部门云计算服务网络安全审查,加快我省云计算服务网络安全测评能力建设,支持有条件的机构向中央网信办申请党政部门云计算服务网络安全审查第三方机构资质。加强安全检查,建设完善云计算服务网络安全在线监测和态势感知平台,建立健全云计算服务网络安全事件预警和应急处置机制,及时发现、通报安全隐患,有效处置安全事件。

 

山西省经济和信息化委员会        

中共山西省委网络安全和信息化领导小组办公室

2017年8月15日             


上一条: 山西省经济和信息化委员会关于组织申报山西省2017年促进大数据发展应用专项资金的通知【返回列表】