各政务云使用单位:
现将《包头市政务云资源使用和管理办法(试行)》印发给你们,请认真遵照执行。
包头市行政审批政务服务与数据管理局
2025年8月14日
包头市政务云资源使用和管理办法(试行)
第一章 总则
第一条 为规范包头市政务云资源使用,提升政务云资源使用效率,强化政务云服务能力,根据《内蒙古自治区电子政务外网管理办法(试行)》(内政服发〔2022〕46号)、《关于加强新形势下全市网络安全工作的实施意见》(包党网委发〔2024〕3号)以及有关法律法规、政策文件和技术标准,结合本市实际,制定本办法。
第二条 本办法所称的政务云是指由政府投资建设、政府和社会企业联合建设、政府向社会购买服务或需要政府运行维护的,基于市级非涉密电子政务网络,用于支撑政务部门履行管理和服务职能的各类信息系统的综合性服务平台。
本办法所称的政务部门是指包头市本级党委、人大、政府、政协、法院、检察院及其直属各部门、事业单位、群团组织。
本办法所称的政务云资源(以下简称云资源),是指政务云运行管理部门按照政务云服务目录提供的各类资源。
第三条 本办法适用于包头市本级纳入政府财政信息化专项资金及部门预算建设的项目和政府托管机房迁云的项目等。
第二章 职责分工
第四条 市行政审批政务服务与数据管理局是市级政务云主管部门,负责政务云统筹规划、政务云相关制度标准规范的审核发布,监督指导全市政务云建设和管理工作。
第五条 市大数据中心是市级政务云运行管理部门,协助政务云主管部门完成政务云建设、招采等工作,负责市级政务云的综合运行管理、统一协调及推广应用,并提供上云、进网部署、设备托管等方面的运行保障和日常管理工作。
第六条 各政务部门是政务云使用单位,负责本单位云资源的申请、使用效能管理、信息系统的运行维护及安全管理(包括系统网络与信息安全、数据安全);配合政务云运行管理部门做好政务云服务质量评估、安全检查、统计监测等工作。
第七条 政务云服务单位是指提供云资源或政务云运营服务的服务商,依据政务云标准规范、安全要求,负责政务云平台建设、云资源需求咨询与初审、技术支持和云平台的安全管理(包括云平台安全、云网络安全),向管理部门提供相关服务的运行服务报告等工作。
(一)提供运行服务响应、故障排查、运行服务协议制定、运行服务方案制定、运行服务分级、运行服务报告、运行服务关闭等方面的服务管理,并提供例行服务报告、响应服务报告、优化服务报告和评估服务报告,定期上报主管部门和运行管理部门。
(二)采取政务云管理平台、政务云监控平台等技术措施,提供基础服务、工单服务、专属服务、咨询服务、代维服务、安全服务、入云用云及监测服务、配置服务、优化服务、运行安全、备份恢复、灾备管理、应急管理等方面的运行保障服务,对政务云运行管理部门开放权限,实时动态监控资源使用和运行情况,加强政务云资源管理。
(三)按照国家相关法律法规、政务云平台安全合规性要求,完成政务云平台信息系统安全等级保护测评、商用密码评估以及安全评估审查工作。
(四)提供详细的服务目录,明确服务内容、服务范围及服务质量,并与政务云主管部门签订服务级别协议。
第三章 运行管理
第八条 政务云资源管理包括需求申请、需求审核、资源部署、测试运行、正式上线、资源变更与调整、资源回收等环节。
第九条 需求申请。按照“集约建设、合理使用”的原则,各政务部门应结合拟上云的系统规模和政务云服务目录内容,科学合理提出资源需求,向政务云主管部门提交以下材料:
(一)《政务云资源申请函》(附件1);
(二)《包头政务云服务申请单》(附件2);
(三)可行性研究报告;
(四)初步设计方案及批复;
(五)业务系统实施方案;
(六)安全测评、渗透测试、压力测试报告及系统等保定级报告;
(七)资源配置依据;
(八)《包头市政务云平台安全责任协议》(附件7)。
第十条 需求审核。政务云主管部门在收到申请函后进行签批,政务云运行管理部门应在收到签批意见后3个工作日内,核实申请材料的完整性、合规性和合理性,会同政务云服务单位进行资源评审,必要时邀请申请单位对资源合理配置进行商讨,提出资源审核意见。
第十一条 资源部署和测试运行。政务云服务单位按照资源审核意见,在3个工作日内提供政务云测试环境,配置部署云资源,测试期原则上为1个月,测试运行期间,对云资源平均使用率进行监测评估,测试期结束后,按照本办法第十七条确定政务云使用单位云资源实际用量,正式上线运行。
第十二条 正式运行。新建系统测试期结束后,政务云服务单位应在3个工作日内将测试报告上报政务云运行管理部门,明确信息系统IP地址、特殊端口、开通时间、资源类型及数量等信息,组织签署《政务云资源开通三方确认单》,信息系统正式上线并开始计费。
第十三条 资源变更与调整。按照“按需分配,动态调整,有效管理”的原则,各政务部门信息系统业务运行期内确需增加或减少资源的,或具有周期性特征需要临时调整资源的,应当向政务云主管部门提交《政务云资源申请函》及《包头政务云服务申请单》相关变更说明,政务云运行管理部门结合云资源平均使用率进行审核评估,按照本办法第十七条确定政务云使用单位云资源实际用量。
政务云运行管理部门结合政务云平均使用率监测政务云等资源使用状况,按照本办法第十七条提出资源调整合理化建议并告知使用部门。政务云服务单位应按照要求在3个工作日内完成调整资源使用配置,原则上1个月调整1次。
第十四条 资源回收。出现以下情形,政务云主管部门收回云资源:
(一)使用部门擅自变更已交付资源的用途,或“搭车”部署其他信息系统;
(二)不再使用云资源,自行申请资源回收的信息系统;
(三)开展清理整合的信息系统;
(四)存在重大安全隐患且不能及时整改的信息系统;
(五)不符合安全要求、管理要求、集约化建设要求的其他情形。
使用部门在发起资源回收申请之前,应做好相关应用系统及业务数据的备份工作,因资源服务退回导致的数据丢失、软件资产损失等,政务云主管部门、运行管理部门和服务部门不承担相关法律责任。
第十五条 《政务云服务目录》范围以外的云资源服务,不计入政务云服务费用结算,由政务部门自行组织采购、实施。
第十六条 云资源命名规则
(一)部门命名规则。应按照单位全称命名,例如:包头市XX局。
(二)业务系统命名规则。使用可行性研究报告中的准确名称。
(三)虚拟机命名规则。整体按照“单位+业务系统名称+功能角色+编号”。分配虚拟机时创建的名称,可以唯一标识某个单位的某个业务系统虚拟机;虚拟机名称一个资源池内唯一;按照虚拟机角色区分;按照业务集群编号区分。例如:市xx局协同办公OA应用服务器1。
各服务器如有资源新增、变更等情况需要修改虚拟机标签时,需在虚拟机变更后1个工作日内完成云资源命名规则标签变更操作。
第十七条 云资源使用调整规则。以上第十一条、第十三条有关资源申请、变更调整适用此规则:
(一)符合以下条件的判定为资源利用率低,原则上建议按照如下规则进行资源调整:
1.在虚拟机的使用过程中,虚拟CPU月平均利用率为15%~30%,CPU核数降为原来的一半;CPU月平均利用率小于15%,CPU核数降为原来的1/4;
2.虚拟机在使用过程中,内存月平均利用率为20%~40%,内存大小降为原来的一半;内存月平均利用率小于20%,内存大小降为原来的1/4。
(二)符合以下条件的判定为资源利用率高,原则上建议按照如下规则进行资源调整:
1.虚拟机在使用过程中,经优化后,虚拟CPU月平均利用率≥70%,CPU核数增加原来的两倍;CPU月平均利用率为50%~70%,CPU核数增加原来的一倍;
2.虚拟机在使用过程中,经优化后,内存月平均利用率≥70%,内存大小增加原来的一倍;
3.虚拟机在使用过程中,经优化后,虚拟机存储空间使用率呈线性增长且达到80%以上,磁盘存储增加原来的一倍,原则上最高不超过5TB。
现有政务云资源如已达到所在政务云平台最高配置或最低配置两种情况不适用于调整规则。
第十八条 使用政务云资源的政务部门如无电子政务外网物理链路接入条件,可向本级电子政务外网管理单位申请电子政务外网零信任登录账号,其终端可使用公共互联网通过零信任方式接入电子政务外网,使用政务云平台业务。
第四章 安全管理
第十九条 按照“谁使用谁负责”的原则,政务云使用单位必须遵守国家有关网络和数据安全有关法律法规,不得利用政务云侵犯国家、集体利益及公民的合法权益,不得利用政务云从事违法犯罪活动。
第二十条 政务云使用单位应当做好对自身信息系统的运维管理,在信息系统运行期间持续做好系统终端数据备份、漏洞修复、安全检测及其他安全保障工作。对不再使用的政务云资源应及时向政务云主管部门提交停机或下架申请,以减少安全漏洞。
第二十一条 政务云使用单位应做好信息系统的网络安全等级保护定级测评和备案、安全保密、安全审计、安全防护和应急保障等工作;建立健全信息系统运维制度和应急处置预案,以信息系统为单位,原则上每年至少组织开展2次安全培训和1次应急演练,提升安全意识,并向政务云运行管理部门报送相关工作。
第二十二条 政务云使用单位须做好本领域政务信息系统网络和数据安全监测,当信息系统出现网络病毒、黑客攻击或对政务云网络安全产生威胁等情况时,使用单位须主动断开与电子政务外网线路连接,采取紧急措施,保障政务云平台安全、稳定运行。
第二十三条 政务云使用单位依据网络安全等级保护有关标准规范,在信息系统正式上线前要开展严格安全自查、检测评估、安全加固等工作,上线后3个月内要完成等保测评等安全工作,以维护政务云平台系统整体安全。在信息系统运行期间,要持续做好系统终端数据备份、漏洞修复、安全检测及其他安全保障工作。
第二十四条 政务云使用单位须遵守《商用密码应用安全性评估管理办法》,使用符合国家技术标准规范的软硬件产品及密码,优先使用自主可控的软硬件产品,开展密码应用安全性评估。
第二十五条 政务云使用单位应建立健全本单位相关管理制度,明确本单位运维负责人及网管员,并指定专人统一反馈本单位网络及信息系统问题。
第二十六条 对零信任用户采取实名制管理,避免非授权用户获取账号密码信息及含有恶意软件的终端接入电子政务外网。若发现使用用户与申请用户信息不匹配或进行违规、违法操作,政务云管理部门将在核对信息后注销账号。
第二十七条 对互联网出口严格控制,涉及政务云业务系统须报备、审核后方可开通。
第二十八条 政务云服务单位要严格按照国家相关政策法规和技术标准,确保云服务的安全。
(一)制定安全策略、规程及措施,其中应包含安全管理操作规范、安全管理行为准则、安全技术防护措施和安全技术支撑环境等。
(二)提供安全可信的产品和服务,建立完善的容灾备份机制,设置网络安全第一负责人、网络安全管理部门,实施内部威胁防范程序,保持与外部组织的协调机制与联系。
(三)实施风险识别、风险评估、风险处置和风险改进等信息安全管理过程,定期开展等保测评、安全监测、安全评估工作。
(四)建立完善的安全防护体系,包括防火墙、入侵检测、数据加密等,防范网络攻击和数据泄露等风险。
(五)制定政务云网络和信息安全应急预案,定期开展应急演练和供应链安全评估,及时发现风险;每年对应急预案进行测试、演练、验证、宣贯和培训,应有相应记录定期做自评。
第五章 技术支撑
第二十九条 政务云服务单位应具备扎实的云计算技术基础,提供专业、高效、稳定的云服务。
第三十条 政务云服务单位应具备完善的技术支持体系,包括人员、软硬件设施等,确保用户在使用过程中能及时得到帮助。
第三十一条 政务云服务单位应定期对技术支撑能力进行评估和升级,并及时上报主管部门,以满足政务业务不断发展的需求。
第三十二条 政务云服务单位应加强用户培训,制定培训计划与培训方案,提高用户对云服务的理解和使用能力。建立用户管理规定,明确用户在使用政务云服务时的责任和义务。
第三十三条 政务云服务单位应建立用户反馈机制,及时收集和处理用户的反馈和建议,不断改进和优化服务。提供运行优化变更服务,应提供对已使用服务的数量、配置、功能、性能和展现方式的变更服务,提供版本升级、补丁更新、参数和策略调优、耗材和配件更换、空间扩容等优化服务。
第六章 运行维护
第三十四条 政务云运行管理部门统筹协调政务云服务单位开展运行维护工作,对IaaS、PaaS、SaaS服务持续跟踪;依据云服务的弹性特性,对云资源随时进行调整和释放,协同政务云使用单位与政务云服务单位构建简洁、高效的政务云服务体系。
第三十五条 政务云服务单位应建立健全运行维护制度,保证云服务的稳定运行。
(一)制定并实施严格的系统监控和故障处理流程,预防和解决突发事件。提供符合行业质量标准的7×24小时保障服务,提供必要的监管接口和日志查询功能;保障好人员、流程、资源和技术四个要素的服务提供能力。
(二)形成动态、可视化监测机制,以服务可计量性为支撑,实时监控云资源使用情况,对信息和业务进行综合分析,将服务故障进行记录和报告,定期做好自评自检,及时上报政务云主管部门;加强人员管理和安全保密教育工作,明确服务流程,不断提升政务云服务质量。
(三)定期进行系统性能优化和升级,提高系统运行效率。政务云实施升级、优化、调整等重大变更前,须向政务云主管部门书面报告,并编制变更方案,经批准后方可变更;同时要及时通知政务云使用单位,并进行安全影响分析、测试、验证和记录;涉及重大调整的,还应当组织第三方机构或者专家评估,并报政务云主管部门审核;经评估确保变更不影响市级政务云和部门政务信息系统的正常运行后方可实施。
第七章 绩效评估
第三十六条 政务云主管部门应建立政务云绩效评估机制,定期对政务云服务单位的服务质量、技术支撑、运行维护和安全保障等方面进行评估,确保政务云服务单位始终提供优质服务;定期对信息系统运行情况和云资源使用情况进行检查,对闲置系统、资源浪费等情况进行通报,责令存在问题的部门、单位限期整改。
第三十七条 政务云主管部门应定期发布评估结果并提出整改要求;评估结果作为调整政务云使用单位资源配置和核定政务云服务单位服务费的重要依据。
第八章 附则
第三十八条 本办法由包头市行政审批政务服务与数据管理局负责解释,自发布之日起施行。
附件:1.关于xx项目申请使用包头政务云资源的函
2.包头市政务云服务申请单
3.包头市政务云资源变更申请表
4.包头市政务云资源申请流程图
5.包头市政务云资源变更流程图
6.包头市政务云资源回收流程图
7.包头市政务云平台安全责任协议
附件1
关于xx项目
申请使用(变更、回收)包头政务云(公安云)资源的函
(要求红头文件)
市政数局:
我单位建设的……项目,主要用于……,目前已(进展)……。
系统或项目的具体情况(包括建设必要性、项目内容、系统功能、达到的作用效果等)……。
按照“节约投资、资源共享”的原则,拟将系统部署到包头云计算中心(变更、回收标明IP地址与需求),特商请贵局协调云计算中心提供所需软硬件资源,并配合我单位开展系统部署工作。
附件:包头市政务云计算服务申请单(云资源变更申请单)
包头市xx局
年 月 日
附件2
包头市政务云(公安云)服务申请单
|
一、基本情况 | ||||||||||||
|
使用单位 |
||||||||||||
|
系统名称 |
||||||||||||
|
通讯地址 |
||||||||||||
|
联 系 人 |
使用方 |
电话 |
邮箱 |
|||||||||
|
建设方 |
电话 |
邮箱 |
||||||||||
|
二、项目系统介绍 | ||||||||||||
|
(要求详细说明系统情况,包括系统架构、规模、所基于的平台、功能模块、用户数、并发数、数据库大小等,作为资源申请的依据。) | ||||||||||||
|
申请内容是否涉密: (该项为必填项,若内容涉密,不予批准使用云服务。此处至少需分管领导签字) 单位负责人签字: | ||||||||||||
|
三、服务需求 | ||||||||||||
|
资源类型 |
资源名称 |
资源配置描述 |
单位 |
数量 | ||||||||
|
硬件资源 |
||||||||||||
|
软件资源 |
||||||||||||
|
安全服务 |
||||||||||||
|
其他服务需求说明:(如开通远程桌面,特殊端口等) | ||||||||||||
|
项目资源部署时间: 年 月 日 | ||||||||||||
|
项目资源启用时间: 年 月 日 | ||||||||||||
|
申请单位意见 |
经办人签字: 单位盖章: 年 月 日 | |||||||||||
|
审核意见 | ||||||||||||
|
监理审核 评估意见 |
审核人签字: 单位盖章: 年 月 日 | |||||||||||
|
政务云 运行管理部门意见 |
年 月 日 | |||||||||||
|
政务云 主管部门意见 |
年 月 日 | |||||||||||
|
备注 |
||||||||||||
注:1.包头市政务云平台为节约资源,若各部门系统运行过程中资源使用率过低,将按资源回收策略进行资源回收。
2.签字盖章后,视为已知晓并将按约履行《包头市政务云平台安全责任三方协议》。
附件3
包头市政务云(公安云)资源变更申请表
年 月 日
|
申请单位 |
|||
|
系统名称 |
|||
|
联系人 |
联系电话 |
||
|
手机 |
电子邮件 |
||
|
变更类别 |
□资源调整 □回收 □托管 □下架 □其他 | ||
|
变更内容 |
申请人: 日期: | ||
|
申请单位 审核意见 |
(标明IP地址和需求,可附附件, 此处至少需分管领导签字) 审核人: 日期: | ||
|
政务云运行管理部门审核意见 |
审核人: 日期: | ||
|
政务云 主管部门 审核意见 |
审核人: 日期: | ||
|
备注 |
|||
注:1.包头市政务云平台为节约资源,若各部门系统运行过程中资源平均使用率过低,将按资源回收策略进行资源回收。
2.签字盖章后,视为已知晓并将按约履行《包头市政务云平台安全责任三方协议》。
附件4
包头市政务云资源申请流程图
附件5
包头市政务云资源变更流程图
附件6
包头市政务云资源回收流程图
附件7
包头市政务云平台安全责任协议
甲方:包头市大数据中心
乙方:(政务云服务提供商)
丙方:(政务云使用单位)
随着政务云技术的快速发展和广泛应用,我市越来越多的委办局将其业务系统和数据迁移到政务云平台中。为了规范政务云服务安全管理,保障政务云平台和政务云资源使用单位应用系统和数据安全,明确甲方(政务云平台运行管理部门)、乙方(政务云服务商)和丙方(政务云资源使用单位)的安全责任,为三方合作建立明确的安全框架,并约定安全措施和违约责任,特制定本协议。
第二条 安全责任
2.1根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《信息安全技术 云计算服务安全指南》(GB/T 31167-2023)、《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2023)、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等法律法规及标准,制定如下三方安全责任。
2.2甲方负责统筹政务云平台运行管理,对政务云平台进行安全监管;对于政务云平台准入、资源变更、退出等需求进行审核管理;按照网络安全有关规定督导乙方的安全工作;联合网安、网信等有关部门检查乙方安全情况;联系、协调、通知丙方进行云上政务信息系统和数据资源安全整改。
2.3乙方负责政务云平台的整体安全保障,从技术层面支撑丙方对政务云上信息系统和数据资源进行安全管理。云平台或云上系统出现安全事件时,及时通知受影响的丙方并向甲方报告,积极开展事件处置,直至恢复正常运行。定期开展网络安全等级保护测评、安全检测、云计算服务安全评估、密码应用安全性评估等工作,并提交安全测评(评估)报告。
2.4丙方应按照“谁使用,谁负责”的原则,自行负责落实本单位部署在政务云上信息系统和数据资源的安全责任,负责自身业务系统的安全运维管理。政务信息系统部署到政务云平台后,安全管理责任不随系统上云而转移,安全责任主体不变、管理标准不变。定期开展安全自查并反馈安全情况。出现安全事故时,主动报政务云平台主管单位。
具体安全职责划分如下:
3.1对政务云平台本身进行安全监管,每月对乙方进行安全调度,每季度及重大节假日前对乙方安全工作进行实地督导,及时发现和通报安全风险隐患,督促乙方、丙方及时整改。
3.2对于政务云平台准入、资源变更、退出等需求进行审核管理,确保申请材料真实性与完整性。
3.3负责制定包头市政务云平台网络和信息安全事件专项应急预案并及时按需修订。
3.4定期组织开展政务云平台专项应急响应演练,模拟不同事件下的应急处置流程,锻炼应急处置队伍,检验专项应急预案的可行性。
3.5定期组织网络和信息安全及相关应急预案相关培训,强化安全意识,明确安全责任。
第四条 乙方职责
4.1确保机房具备物理安全隔离管控能力,包括以保护硬件资产及其运维正常运行为目的,为机房、库房、办公等区域配有安防门禁和监控设施,限制各类人员与运行中的设备进行物理接触,如确有出入机房需要,应做好记录。
4.2确保机房物理环境符合《数据中心设计规范》(GB 50174-2017)中的相关要求。
4.3负责政务云的物理网络安全,并负责采用结构化设计等方法在物理层上进行运行状态监视、网络通断控制,有效保护物理网络设备的安全性。
4.4负责网络支撑平台层的安全,保障云平台不同丙方之间、同一丙方的不同业务系统之间、业务网与管理网之间采取有效的网络安全隔离措施,为每个丙方或业务系统分配独立的虚拟私有网络。
4.5确保云平台软件具备备份恢复能力,建立必要的备份与恢复设施和机制,支撑客户业务的连续性计划。
4.6边界部署下一代防火墙,集成IPS/WAF功能,防御DDoS等网络攻击,具备全流量可视和动态黑名单机制。实施堡垒机审计100%运维操作,构建东西向流量隔离体系,实现病毒拦截。
4.7部署漏洞扫描系统,定期检测资产并修复高危漏洞。建立上云政务信息系统安全风险评估机制,经丙方授权,对新上云政务信息系统开展一次漏洞扫描及风险评估,期间每年至少开展一次漏洞扫描,并将结果及时反馈甲方及丙方。
4.8对云平台设置身份识别和访问管理的能力。包括在允许人员、进程、设备访问本平台的设备、网络、系统、应用之前,需要对其进行身份标识及鉴别,并以最小授权为原则,限制其可执行的操作和使用的功能。
4.9制定云平台安全管理制度和流程,严格按照制度要求进行云平台安全运维工作。定期开展网络安全等级保护测评、安全检测、云计算服务安全评估、密码应用安全性评估等,出具安全测评(评估)报告。
4.10定期对云平台设备进行巡检,包括日志审计、安全加固、数据备份病毒查杀、漏洞扫描、渗透测试等,发现风险时及时进行处置。上云政务信息系统存在安全漏洞,对政务云平台整体安全产生威胁时,乙方应及时向甲方报告并告知丙方消除风险隐患。定期对云平台安全设备特征库等进行升级。
4.11在自有安全监测的基础上,应多渠道关注各类其他风险威胁信息,根据云平台软件出现的问题进行软件功能升级、漏洞修复或版本迭代,并落实解决措施。
4.12在完成迁移或回收云资源后,确保丙方存储在云上的数据会被安全销毁或删除。未经授权,乙方不得访问、蒸馏、劫持、修改、披露、利用、转让、销毁上云政务信息系统归集的数据。
4.13对云平台本身在建设、运行过程中产生、收集的数据负责,确保重要数据的备份与恢复等功能;同时基于与丙方签署的数据处理委托协议,对丙方负责的数据采取数据安全管理措施,协助甲方、丙方完成数据迁移并在服务结束时安全返还数据。
4.14按照安全管理责任,建立10人以上应急响应专业团队,对政务云平台开展安全监测预警,发现系统缺陷、漏洞、存在安全隐患等,应当立即采取处置措施;发生较大及以上网络安全事件,应当立即向甲方报告,妥善做好安全事件应急响应和处置。
4.15定期对运维管理人员进行背景审查,组织签订保密承诺,做好安全保密教育。
4.16对政务云服务可能面临的安全威胁类型、处置措施采取的一般规则进行明确,并在发现、知悉安全威胁后告知甲方及受影响的丙方,报送监管,履行网络运营者的职责。
4.17配合甲方开展应急响应演练,确保在紧急情况下重要信息资源的可用性;建立事件处理计划,包括对事件的预防、检测、分析和控制及系统后续恢复等,对事件进行跟踪、记录并向甲方报告。
第五条 丙方职责
5.1通过设备托管方式放入IDC机房的设备,需要自行负责设备的维修保养、操作系统安全、网络安全风险、数据安全等责任。
5.2针对基础设施能力类型的云服务,负责自身部署的操作系统、数据库、运行环境和应用的安全;自身应用系统的行为日志功能的配置和使用;对安装的应用中的用户行为进行审计;监控和检测自身购买的服务是否被用作攻击他人的平台。
5.3负责自身虚拟机及应用的安全防护、安全巡检,账号管理、访问授权、权限配置、应用密码等安全策略配置和更新;使用适当的身份验证技术提升账号的管理(例如多因素身份验证),加强对自身政务云服务管理人员的权限认证。
5.4负责制定自身应用系统安全管理制度和流程,严格按照制度要求进行应用安全运维工作,定期对本单位上云政务信息系统进行漏洞扫描、渗透测试、日志审计、数据备份等,按需升级加固安全防护措施。
5.5按照安全管理责任对上云政务信息系统开展安全监测预警,及时进行操作系统、中间件、数据库等漏洞的修复和版本更新;发现系统缺陷、漏洞、存在安全隐患等,应当立即整改。
5.6丙方应根据需要自行与政务信息系统承建(运维)单位签订安全保密协议,并组织相关人员签订安全保密承诺。
5.7负责自身数据全生命流程安全治理:明确数据在收集、存储、处理、披露和公开各环节的安全治理目标,负责自身数据安全风险的检测、评估、应急处置,并采取相应的数据安全管理措施。
5.8对使用云服务生成、加工、存储、上传、下载、分发以及通过其他方式处理的数据,承担数据处理的安全责任,决定其存储、销毁、删除计划,并据此申请、变更或回收相关的云资源。
5.9负责针对自身信息系统制定网络和信息安全事件应急预案并周期性进行修订;定期组织开展针对自身信息系统应急响应演练,模拟不同事件下的应急处置流程,锻炼应急处置队伍,检验专项应急预案的可行性。
第六条 其他约定
6.1各方应指派固定联系人或固定团队负责落实政务云平台安全责任,如联系人因工作岗位调动等原因不再负责此项工作,应立即指派新的联系人并通知其他两方。
政务云平台安全工作联络表
|
甲方 |
乙方 |
丙方 | |
|
联 系 人 |
张立广 |
||
|
联系电话15576686605 |
15576686605 |
||
|
微 信15576686605 |
15576686605 |
第七条 争议解决
7.1本协议的解释、效力及争议解决均适用法律。对于因履行本协议而发生的争议,各方应友好协商解决;如协商不成,则任何一方均有权向有管辖权的法院提起诉讼。
7.2除法律另有规定外,因不可抗力导致各方或一方不能履行或不能完全履行本协议项下有关义务时,各方相互不承担违约责任。但遇有不可抗力的一方或各方应于不可抗力发生后15日内将情况告知对方,并提供有关部门的证明。在不可抗力影响消除后的合理时间内,一方或各方应当继续履行协议。不可抗力是指当事人不能预见,不能避免并不能克服的客观情况。
第八条 附则
8.1本协议自各方正式签字后生效,有效期为一年或至丙方退出政务云平台(时间以两者中先到者为准)。若本协议到期前三方均无异议,则自动续约一年。此前任何形式的口头、书面或其他准备文本不得作为本协议的附件或依据。
8.2本协议未尽事宜,按照国家有关规定执行或协商解决。
8.3未经各方书面确认,任何一方不得自行变更或修改本协议。
8.4本协议一式三份,各方各执一份,具有同等法律效力。
8.5本协议所有附件作为协议不可分割的组成部分,与协议正文具有同等法律效力。
|
甲方(盖章): |
乙方(盖章): |
|
法人或授权代表: |
法人或授权代表: |
|
日期: |
日期: |
|
丙方(盖章): |
|
|
法人或授权代表: |
|
|
日期: |
