一、制定背景
为认真贯彻习近平总书记关于网络强国的重要思想,进一步厘清我市政务云平台各方责任、规范管理流程、强化监督机制,全面提升政务云安全管理的制度化、规范化水平,按照《中华人民共和国网络安全法》等法律法规要求,制定本办法。
二、重点内容
《管理办法》共四章16条,系统构建权责清晰、机制完善、操作性强的工作体系。重点包括:
(一)构建“三方协同、各负其责”的安全责任体系
明确监管部门、云服务商、云使用单位三方责任。云使用单位是云上系统及数据安全的第一责任主体;云服务商负责云平台自身安全与供应链安全;市大数据中心负责政务云平台安全运营监管。
(二)建立“覆盖全生命周期”的安全管理闭环
从系统上云前准入、运行中管控到退出后清理,实施全链条管理。准入阶段实行安全合规核验与“安全一票否决”;运行阶段要求定期开展安全检测、日志审计(保存不少于6个月);退出阶段确保数据彻底清除,防范残留风险。
(三)强化数据安全与个人信息保护
设立数据安全专章,明确禁止云服务商非法访问、泄露用户数据。要求云使用单位严格落实数据分类分级制度,自行完成重要数据和核心数据的识别与保护,并严格遵守数据出境安全评估规定。
(四)提升实战化应急响应能力
推动应急管理从预案向实战转化。要求云服务商开展7×24小时监测,建立快速通报机制,每半年至少组织一次综合应急演练,并规范网络安全事件报告流程;云使用单位须在收到风险通报后5个工作日内完成整改并反馈。
三、关键操作指引
为保障《办法》有效落地,各相关方需重点关注以下操作性要求:
|
责任主体 |
关键事项 |
具体依据与要求 |
注意事项 |
|
云使用单位 |
1. 系统上云前安全合规 |
第十一条:签订《安全责任协议》;准备并提交等保测评、密评报告等供核验。 |
安全合规是接入前提,需提前规划测评工作。 |
|
2. 数据分类分级与备份 |
第八条:识别、管理重要数据和核心数据;制定并落实满足业务与法规要求的备份策略。 |
这是数据安全的核心,需要建立内部管理制度。 | |
|
3. 安全隐患整改闭环 |
第十条:收到风险通报后,5个工作日内完成整改并书面反馈。 |
需建立内部快速响应机制,按时限要求反馈。 | |
|
4. 应急预案制定与演练 |
第十条:制定专项应急预案,并积极参与云服务商组织的综合演练。 |
预案需动态修订,演练重在检验协同处置能力。 | |
|
云服务商 |
1. 平台合规与持续评估 |
第五条:通过国家云服务安全评估;每年开展并提交等保测评、密评报告。 |
报告需在出具后15个工作日内提交市大数据中心存档。 |
|
2. 日常安全运营 |
第五条:执行每日巡检、零报告、月度漏洞扫描与态势分析,并提交月度安全报告。 |
运营记录是证明履行责任的重要依据。 | |
|
3. 应急演练组织 |
第十条:每半年至少组织一次综合应急演练。 |
需提前制定方案,邀请相关使用单位和监管部门参与。 | |
|
责任主体 |
关键事项 |
具体依据与要求 |
注意事项 |
|
云服务商 |
4. 供应链与退出管理 |
第五条:对分包业务、开源软件等进行安全风险评估;在服务终止时彻底清除数据。 |
需留存风险评估、安全协议及数据清除报告等证据。 |
|
市大数据中心 |
1. 安全准入核验 |
第十一条:对新上云系统进行安全合规核验。 |
核验标准应公开、统一,把好入口关。 |
|
2. 常态化安全调度与检查 |
第十一条:每月调度、每季度专项检查,跟踪督促整改。 |
检查结果应与考核挂钩,形成威慑力。 |
