数字化转型系列(三): “政务上云”如何“安全落地”

来源:君合律师事务所

文章摘要
目录 引言 一、“政府主导,企业运维”模式下的“政务上云” 1、“政府主导,企业运维” 2、从IT资产采购到IT服务采购 二、云服务参与方及其安全职责 1、政务云服务的主要参与方 2、各服务参与方的主
目录
引言
一、“政府主导,企业运维”模式下的“政务上云”
1、“政府主导,企业运维”
2、从IT资产采购到IT服务采购
二、云服务参与方及其安全职责
1、政务云服务的主要参与方
2、各服务参与方的主要安全职责
3、云服务及云安全的国家推荐标准
三、云服务商的选择
1、云计算服务安全审查机制
2、可信云评估认证
3、基础设施境内建设
四、政务云平台运行过程的持续监管
1、数据归属关系不变
2、建立健全云计算服务保密审查制度
3、加强网络安全监管
4、持续的运维服务要求
结语
引言
我国一直高度重视国家电子政务的发展。电子政务在改善公共服务、加强社会管理、强化综合监管、完善宏观调控等方面发挥了重要作用,促进了政府职能转变,已成为提升党的执政能力和建设服务型政府不可或缺的有效手段。1近年来,随着云计算技术的迅速发展,电子政务所依托的信息技术手段及环境条件发生了重大变化。
早在2012年,工业和信息化部发布《国家电子政务“十二五”规划》(工信部〔2011〕567号)便提出,鼓励政务部门业务应用系统向云计算服务模式的电子政务公共平台迁移,开展以云计算为基础的电子政务公共平台顶层设计试点。2013年,工业和信息化部印发了《基于云计算的电子政务公共平台顶层设计指南》(工信信函〔2013〕2号),并研究确定了北京市等18个省级地方和北京市海淀区等59个市(县、区)作为首批基于云计算的电子政务公共平台建设和应用试点示范地区。2016年,国务院进一步印发《关于加快推进“互联网+政务服务”工作的指导意见》(国发〔2016〕55号),提出创新应用云计算和大数据等技术,打造透明高效的服务型政府,推动政务云集约化建设,为网上政务服务提供支撑和保障。在国家积极推进电子政务向云端迁移的大背景下,各部门、各地方也相继制定了政务云建设的专项规划,“政务上云”呈现出“上云为原则,不上云为例外”的发展态势。2
云计算具有虚拟化、高可靠性、通用性、高可扩展性等优势。推动云计算技术在电子政务中应用,有利于提高基础设施资源利用率,减少重复浪费,避免各自为政和信息孤岛。在基于云计算技术的电子政务不断普及的过程中,特别是在政府采购云服务商电子政务云平台运维服务的模式下,如何选取数据安全、平台稳定、技术规范的云服务商,如何界定各参与方的安全责任,以及如何持续有效地对电子政务云平台实施监管,是“政务上云”不能回避的法律问题。
一、“政府主导,企业运维”模式下的“政务上云”
1、“政府主导,企业运维”
所谓电子政务云,即是依托政务专网,为政府各部门搭建一个基于云计算基础架构的电子政务公共平台。各部门将现有的政务应用迁移到平台上,基于电子政务云平台实现数据和业务系统的建设与完善,同时依托电子政务云平台,以及各级电子政务云平台之间的互联,实现政务信息系统的整合共享。3
根据中国信息通信研究院组织编制的《电子政务云平台服务费用计算参考指南(第一版)》,电子政务云平台服务方式的主要特点是“政府主导,企业运维”。具体而言,电子政务云平台的服务方式主要分为五种:一是政府建设、政府补充、企业运维服务方式;二是政府建设、企业补充、企业运维服务方式;三是企业按需建设和运维、政府整体购买服务方式;四是企业建设和运维、政府按需统一购买服务方式;五是企业建设和运维、部门按需各自购买服务方式。
需要说明的是,虽然当前“政务上云”呈现出“上云为原则,不上云为例外”的发展态势,但并非所有政务业务或者政务应用均适宜迁移到企业运维的电子政务云平台上。作为例外,原中央网络安全和信息化领导小组办公室(下称“原中央网信办”)于2014年12月30日发布的《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔2014〕14号)规定了两类不得或不宜迁移的政务业务:涉及国家秘密、工作秘密的业务,不得采用社会化云计算服务;保护等级四级以上的信息系统,以及一旦出现问题可能造成重大经济损失,甚至危害国家安全的业务不宜采用社会化云计算服务。除此之外,党政部门的政务服务,应在确保安全的前提下向电子政务云平台迁移。
2、从IT资产采购到IT服务采购
当前,越来越多的电子政务云平台不仅由企业运维,且从云平台建设初始即交由专业的第三方云服务商承建,或由政府部门整体购买云服务商的承建和运维服务。政府IT采购模式,也从IT资产采购向IT服务采购转变。
2015年,国务院发布《关于积极推进“互联网+”行动的指导意见》(国发〔2015〕40号)和《关于促进云计算创新发展培育信息产业新业态的意见》(国发〔2015〕5号),明确提出大幅减少政府自建数据中心的数量,加大政府部门采购云计算服务的力度。此后,上海、浙江、四川等省份相继出台的电子政务管理办法和省级政务云平台管理办法也提出,统一建立省级和市县级两级电子政务云平台,电子政务云平台投入运营后,原则上省级、市县级各部门以及其他各级行政机关不再新建独立的机房和数据中心,而是采用向云服务商购买服务方式,统一采购云平台运行所需的基础设施服务和各类公共服务,由云服务商负责提供政务云平台服务并实施运维保障。4作为电子政务云平台由“企业建设和运维,政府按需统一购买服务”模式的典型,《海南省电子政务云计算中心管理办法》(琼府办〔2016〕185号)更是进一步明确了云基础设施及其所支撑的服务软件的权属归属:省级电子政务云平台基础设施及其配套的服务软件等资产产权归属云服务提供机构,业务应用系统及其所产生数据等资产产权归属云平台使用单位。
需要注意的是,虽然越来越多的政府部门不再单独自建、更新和升级技术环境,而是转而采购专业云服务商提供的电子政务云平台承建和运维服务,但对电子政务云平台的安全管理责任并不随着服务外包而外包。《关于加强党政部门云计算服务网络安全管理的意见》特别强调,党政部门始终是网络安全的最终责任人,应加强安全管理,通过签订合同、持续监督等方式要求服务商严格履行安全责任和义务,确保党政部门数据和业务的机密性、完整性、可用性,以及互操作性、可移植性。那么在“政府主导,企业运维”的上云模式下,“政务上云”各参与方在云服务安全运营中各自应承担的职责和责任是什么呢?
二、云服务参与方及其安全职责
1、政务云服务的主要参与方
国家市场监督管理总局和国家标准化管理委员会制定的《政府网站云计算服务安全指南》(GB/T38249-2019),将党政机关采购和使用云计算服务过程中的云计算服务主要参与方区分为云服务客户、云服务商、云服务代理商和第三方评估机构4类:
云服务客户:政务网站的所有者或运营者。
云服务商:为云服务客户提供政务网站相关云计算产品与服务的供应商。
云服务代理商:为云服务客户提供网站开发、网站迁移、网站部署、安全保障等服务的提供商,具体可分为网站开发商、系统集成商、安全服务商等,其中:
(1)网站开发商:为云服务客户提供云计算平台上网站开发服务,负责网站的系统架构,Web安全功能设计、代码实现及源代码安全、软件部署安全等;
(2)系统集成商:为云服务客户提供系统集成服务,对迁移至云计算平台的政府网站提供网站建设、迁移、运维服务等;
(3)安全服务商:为政府网站提供安全保障服务,如提供安全咨询、网站安全建设规划、网站安全优化、网站安全监测防护、应急响应等服务。
第三方评估机构:对云服务商与云服务客户开展独立的安全评估,并取得相应评估资质的组织。
在上述各参与方中,云服务商和云服务代理商可能是同一个法人实体,也可能是不同的法人实体,且越来越多的云服务商可以为云服务客户提供从云计算平台建设、运维到网站开发、网站迁移、网站部署、安全保障的综合服务。
2、各服务参与方的主要安全职责
根据《政府网站云计算服务安全指南》,党政部门采用云计算服务的过程分为规划准备、部署迁移、运行管理和服务退出4个阶段。在不同阶段,各参与方的角色不同,其应履行的安全职责也不尽相同:
阶段
参与方
安全职责
规划准备阶段5
云服务客户
根据政府网站的功能、性能及安全指标进行云计算服务的需求分析,确定采用云计算服务的数据和业务范围
根据信息敏感程度、人员技能、业务需求的动态性等要素进行部署模式的选择
明确要求云服务商通过相关部门组织的云计算服务安全审查
云服务商
确保云计算平台符合云服务客户要求和《云计算服务安全能力要求》相应等级的云计算服务安全能力,并通过有关部门组织的云计算服务安全审查
遵守党政机关计算机信息系统的信息安全政策规定及网络安全等级保护等相关标准要求,落实安全管理和防护措施
根据政府网站的安全需求,制定网站迁移至云计算平台的方案
云服务代理商
向云服务客户提供详细的服务内容清单,并明确相应的服务流程、安全责任划分等内容
在云服务客户的组织下,与云服务商就其提供的服务内容进行分工和责任区分,并通过服务协议或合同等进行约束
第三方评估机构
可根据云服务客户的委托,对云服务商迁移方案的可行性及安全性进行评估
部署迁移阶段6
云服务客户
做好相关准备工作,组织云服务商、云服务代理商进行政府网站的部署迁移
在部署迁移工作完成后,督促云服务商进行安全测试,完成政府网站切换及试运行工作
更新安全管理制度,并制定安全应急预案
云服务商
配合云服务客户完成对政府网站的部署迁移
负责云计算平台的安全,提供安全防护措施
在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信
根据云服务客户的要求,制定可审计事件清单,明确审计记录内容
根据云服务客户的要求制定相应的应急预案
建立完善的维护云计算平台设施和软件系统的相关规范制度,定期维护云计算平台设施和软件系统
对云计算平台进行配置管理,在系统生命周期内建立和维护云计算平台(包括硬件、软件、文档等)
云服务代理商
与云服务商就服务内容、边界、交互等进行确认,确保云服务代理商不影响云计算平台的正常运行及其他云服务客户对云计算服务的正常使用
网站开发商根据云服务客户的需求完成网站的安全功能开发,并协助系统集成商完成相关部署工作
系统集成商负责政府网站的迁移及安全部署,负责安全配置、整体安全功能联调等
安全服务商提供整个部署过程中的安全保障和网站安全建设,提供相应的安全产品及服务,并协助云服务客户与云服务商共同建立政府网站云计算服务安全保障体系
第三方评估机构
可根据云服务客户委托,配合政府网站的部署迁移工作,协助云服务客户进行安全符合性测试
在部署迁移完成后,根据云服务客户委托,对政府网站进行安全风险评估
运行管理阶段7
云服务客户
建立云计算服务保密审查制度,指定机构和人员定期负责对迁移到云计算平台上的数据、业务进行保密审查,确保数据和业务不涉及国家秘密
在云服务商、云服务代理商处理信息安全事件过程中提供协助
督促云服务商对政府网站进行安全监测
督促云服务商制定应急预案
对云服务商所提供的云计算平台的重大变更进行监督管理,重大变更范围参考《云计算服务安全指南》中的相关内容
云服务商
开展周期性的风险评估和监测,保证安全能力持续符合《云计算服务安全能力要求》相关内容
严格履行合同规定的责任和义务,遵守相关的安全管理政策和标准
接受监管部门组织的信息安全检查,包括必要的渗透测试、风险评估、安全审计等
保障云服务客户的数据和业务的机密性、完整性、可用性,以及互操作性、可移植性
持续开展对员工的安全和保密教育,自觉维护云服务客户的云计算服务安全
根据监测情况定期向云服务客户提供安全运行报告
制定应急预案及安全事件处置相应计划
对信息系统运行状态(如中央处理器、内存、网络)进行监视,并能够对资源的非法越界发出警报
当有重大调整变更时,向云服务客户提前通知,并获得监管部门审核,同时评估可能对云服务客户造成的影响
云服务代理商
接受云服务客户对其提供的服务的持续监管
根据与云服务客户签订的合同,向云服务客户提供安全服务,并定期提供服务报告
确保在向云服务客户提供服务时,不影响云服务的运行及其他云服务客户的使用
第三方评估机构
可根据云服务客户的要求,对云计算平台或政府网站进行安全评估
服务退出阶段8
云服务客户
提前做好应用系统和数据的备份
对云服务商返还的数据进行完整性验证,如将文档资料、数据、程序放在新的平台上验证
监督云服务商返还数据的过程,确保数据能够全部返还
云服务商
制定详细的移交清单,包括运行期间产生、收集的数据以及相关文档资料
彻底删除云服务客户数据信息及所有备份,对云服务客户的数据存储介质进行彻底清理
根据移交清单返还云服务客户数据信息(包括历史数据和归档数据)
云服务代理商
协助云服务客户进行政府网站的退出服务工作
根据与云服务客户签订的服务协议、合同,向云服务客户交付相应的程序、数据、文档等
确保在服务退出后,彻底销毁云服务客户信息
第三方评估机构
可根据云服务客户委托对退出过程进行监督审计
在服务退出工作结束后,可根据云服务客户委托,对云服务端进行安全测试,验证云服务商是否全面清除数据

3、云服务及云安全的国家推荐标准
除却以上对云服务各参与方主要安全职责作出规定的《政府网站云计算服务安全指南》,国家质量监督检验检疫总局、国家市场监督管理总局、国家标准化管理委员会还制定了一系列国家推荐标准,对基于云计算的电子政务云平台的安全体系、技术规范、管理和服务标准提出了具体要求:
实施时间
发布单位
国家标准
主要内容
2015.04.01
国家质量监督检验检疫总局、国家标准化管理委员会
《云计算服务安全指南》(GB/T31167-2014)
该标准从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面提出云计算服务安全能力要求。
2015.04.01
国家质量监督检验检疫总局、国家标准化管理委员会
《云计算服务安全能力要求》(GB/T31168-2014)
该标准主要从政府部门等客户的视角认识云计算服务,了解云计算所带来的优势及安全风险,提出了政府部门采用云计算服务的安全管理基本要求,及云计算服务的生命周期各阶段的安全管理和技术要求。该标准为政府部门采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导,适用于政府部门采购和使用云计算服务。
2017.11.01
国家质量监督检验检疫总局、国家标准化管理委员会
《基于云计算的电子政务公共平台总体规范》(GB/T34078-2017)
此类标准适用于基于云计算的电子政务公共平台,建立了适用于基于云计算的电子政务公共平台的安全体系框架、技术规范框架、管理框架和服务框架,主要包括基于云计算的电子政务公共平台的术语和定义、服务质量评估、数据管理、安全规范总体要求、信息资源安全、系统架构、服务测试、系统和数据接口、功能和性能等内容。
2017.11.01
国家质量监督检验检疫总局、国家标准化管理委员会
《基于云计算的电子政务公共平台管理规范》(GB/T34077-2017)
2017.11.01
国家质量监督检验检疫总局、国家标准化管理委员会
《基于云计算的电子政务公共平台服务规范》(GB/T34079-2017)
2017.11.01
国家质量监督检验检疫总局、国家标准化管理委员会
《基于云计算的电子政务公共平台安全规范》(GB/T34080-2017)
2017.12.01
国家质量监督检验检疫总局、国家标准化管理委员会
《基于云计算的电子政务公共平台技术规范》(GB/T33780-2017)
2018.05.01
国家质量监督检验检疫总局、国家标准化管理委员会
《信息安全技术云计算服务安全能力评估方法》(GB/T34942-2017)
该标准规定了依据《信息安全技术云计算服务安全能力要求》(GB/T31168-2014)开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法,适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估。该标准同时适用于对政府部门使用的云计算服务进行安全管理。
2020.03.01
国家市场监督管理总局、国家标准化管理委员会
《信息安全技术云计算服务运行监管框架》(GB/T37972-2019)
该标准确定了云计算服务运行监管框架,规定了安全控制措施监管、变更管理监管和应急响应监管的内容及监管活动,给出运行监管实现方式的建设,适用于对政府部门使用的云计算服务进行运行监管。
2020.05.01
国家市场监督管理总局、国家标准化管理委员会
《信息安全技术政府网站云计算服务安全指南》(GB/T38249-2019)
该标准规定了政府网站采用云计算服务过程中,在规划准备、部署迁移、运行管理、服务退出等阶段的安全技术措施和安全管理措施,适用于为采用云计算服务,特别是社会化云计算服务的政府网站提供建设与运营指导。

然而需要说明的是,包括《政府网站云计算服务安全指南》在内的上述国家标准仅为国家推荐标准,如果云服务客户在同云服务商、云服务代理商订立的合同中没有明确选择适用上述国家标准,上述标准对于各参与方来说不具备法律强制效力。那么现行法律法规对于云服务客户选择政务云服务商,云服务客户的持续监管义务和云服务商的服务义务又有何要求呢?
三、云服务商的选择
上云政务往往包含着大量敏感信息和公民隐私信息,上云质量则直接影响党政机关运转和公众生活工作,因此政务向电子政务云平台迁移的首要考虑是确保安全。选取数据安全、平台稳定、技术规范的云服务商,是政务上云的第一步。党政部门选择云服务商时应按照国家或监管部门的要求选择通过安全审查的云计算服务。
1、云计算服务安全审查机制
原中央网信办于2014年5月9日印发的《关于加强党政机关网站安全管理的通知》(中网办发文〔2014〕1号)提出,采购和使用社会力量提供的网站和电子邮件等服务时,应进行网络安全审查。原中央网信办于同年年底印发的《关于加强党政部门云计算服务网络安全管理的意见》,进一步明确了由中央网信办会同有关部门建立云计算服务安全审查机制,对为党政部门提供云计算服务的服务商,参照有关网络安全国家标准,组织第三方机构进行网络安全审查,重点审查云计算服务的安全性、可控性。党政部门采购云计算服务时,应逐步通过采购文件或合同等手段,明确要求服务商应通过安全审查。鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务。
2019年7月2日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部和财政部联合出台了《云计算服务安全评估办法》(2019年第2号),对云计算服务安全评估的重点评估内容、申请安全评估应提交的材料、评估流程等作出具体规定。
根据《云计算服务安全评估办法》,国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、财政部建立云计算服务安全评估工作协调机制,审议云计算服务安全评估政策文件,批准云计算服务安全评估结果,协调处理云计算服务安全评估有关重要事项。云服务商可向云计算服务安全评估工作协调机制办公室申请对面向党政机关、关键信息基础设施提供云计算服务的云平台进行安全评估。办公室受理云服务商申请后,组织专业技术机构参照《云计算服务安全指南》(GB/T31167-2014)、《云计算服务安全能力要求》(GB/T31168-2014)等国家有关标准对云平台进行安全评价。通过云计算服务安全评估结果的有效期为3年。
云计算服务安全评估的评估重点包括以下内容:
(1)云服务商的征信、经营状况等基本情况;
(2)云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;
(3)云平台技术、产品和服务供应链安全情况;
(4)云服务商安全管理能力及云平台安全防护情况;
(5)客户迁移数据的可行性和便捷性;
(6)云服务商的业务连续性;
(7)其他可能影响云服务安全的因素。
截至2019年11月19日,曙光云计算技术有限公司的“成都电子政务云平台(二期)”、阿里云计算有限公司的“阿里云电子政务云平台”、华为软件技术有限公司的“华为云服务襄阳政务云平台”等28项云计算服务(共涉及27家云服务商)通过网络安全审查,且安全能力级别均为增强。9
2、可信云评估认证
除却国家法律法规要求的云服务安全审查,2015年国务院发布《关于促进云计算创新发展培育信息产业新业态的意见》(国发〔2015〕5号)提出,“逐步建立云计算信任体系”。目前,由云计算开源产业联盟和中国信息通信研究院组织的可信云评估认证,是我国唯一针对云计算服务产业信任体系的专业评估体系。
可信云服务评估体系主要针对政务、金融、通信、工业、物联网五大行业开展评估,评估内容涵盖了基础云服务、私有云软件、开发运维、安全及风险管理能力、混合云、行业云、开源治理能力等众多领域。在政务行业云服务评估方面,2018年可信云发布了《可信政务云评估方法》。可信云评估体系的系列标准及评估结果越来越成为政府部门选择云服务商的重要参考。截至2019年末, 已有累计171个云服务商,376项云服务通过“可信云服务认证”。10
3、基础设施境内建设
党政部门在选择云服务商前,还应当预先了解云服务商机房和信息基础设施的设置地点。《关于加强党政机关网站安全管理的通知》《关于加强党政部门云计算服务网络安全管理的意见》均明确要求,为党政机关提供网站和邮件服务的数据中心、云计算服务平台等要设在境内。《关于加强党政部门云计算服务网络安全管理的意见》特别强调,敏感信息未经批准不得在境外传输、处理和存储。
四、政务云平台运行过程的持续监管
原中央网信办发布的《关于加强党政部门云计算服务网络安全管理的意见》,对于采购云计算服务的党政部门提出了对云计算服务过程持续安全监管的要求,并要求党政部门通过合同等手段要求云服务商遵守同样的安全义务。部分省份制定的省级政务云平台管理办法,也对云服务商提出了具体的运维管理和风险管理要求。
1、数据归属关系不变
党政部门提供给云服务商的数据、设备等资源,以及电子政务云平台上党政业务系统运行过程中收集、产生、存储的数据和文档等资源属党政部门所有。云服务商应保障党政部门对这些资源的访问、利用、支配,未经党政部门授权,不得访问、修改、披露、利用、转让、销毁党政部门数据;在服务合同终止时,应按要求做好数据、文档等资源的移交和清除工作。
2、建立健全云计算服务保密审查制度
党政部门应指定机构和人员负责对迁移到电子政务云平台上的数据、业务进行保密审查,确保数据和业务不涉及国家秘密。党政部门在使用云计算服务前,要集中组织开展机关工作人员网络安全和保密教育培训,明示使用云计算服务面临的安全保密风险;同时应要求云服务商加强对员工的安全和保密教育,直接参与党政业务系统运行管理的云服务商人员应签订安全保密协议,必要时党政部门要对其进行背景调查。
《海南省电子政务云计算中心管理办法》为例,该办法规定云服务商派驻云中心运维人员,需经省党政信息中心审查批准后方可上岗;如有人员变动,需向省党政信息中心提出申请,经审核批准后实施。云服务商应明确运维人员岗位职责,严格遵守云中心安全管理制度,制订安全操作规程,并签订相关保密协议。
3、加强网络安全监管
党政部门在同云服务商签订的服务合同、协议中应充分体现网络安全管理要求,明确合同双方的网络安全责任义务。党政部门应监督云服务商加强安全防护管理,要求云服务商在发生网络安全案件或重大事件时,及时向有关部门报告,配合开展调查工作。同时,云服务商应遵守党政信息系统的网络安全政策规定、信息安全等级保护要求、技术标准,落实安全管理和防护措施,接受党政部门和网络安全主管部门的网络安全监管。
以下以浙江、四川、河南、海南为例,列举部分省份制定的省级政务云平台管理办法中对于云服务商风险管理义务的具体要求:
省份
文件
安全管理要求
浙江
《浙江省电子政务云计算平台管理办法》(浙政办发〔2015〕8号)
云服务商应当按照国家信息安全相关规定,加强政务云平台的安全防御,监控网络行为,阻断网络攻击,做好数据备份,定期发布安全公告(每月)和开展应急演练(每年),确保政务云平台安全运行。
四川
《四川省级政务云平台管理暂行办法》(川办发〔2017〕66号)
云服务商应定期开展云平台设备巡检、日志审计、风险评估、安全加固、数据备份工作,每月向领导小组办公室、使用单位出具安全运维报告、安全态势报告。发生重大安全事件时,应及时向领导小组办公室报告,并做好处置工作。
河南
《河南省政务云管理暂行办法》(豫政办〔2018〕26号)
云服务商应制定实施应急响应计划、重大安全事件处理方案,定期发布安全公告,开展应急演练;在发生重大网络安全事件时,及时向省委网信办、省工业和信息化委、省发展改革委和省信息中心报告,配合开展调查工作。
海南
《海南省电子政务云计算中心管理办法》(琼府办〔2016〕185号)
云服务商应建立统一的云中心监控管理系统,对云平台运行实现高效、可视化运维管理和自动化告警。当云中心发生网络或资源等故障,影响使用单位业务应用时,应及时告知使用单位。

4、持续的运维服务要求
北京、浙江、四川、河南、海南等省份制定的省级政务云平台管理办法,同时规定了云服务商的运维管理职责:
省份
文件
运行维护管理要求
北京
《北京市市级政务云管理办法(试行)》(京经信委函〔2016〕4号)
除不可抗力或计划内维护作业造成的政务云服务中断外,政务云实行24小时不间断运行。
浙江
《浙江省电子政务云计算平台管理办法》(浙政办发〔2015〕8号)
云服务商负责政务云平台的日常运行维护工作,监控云资源使用,及时解决云故障,并定期(每月不少于1次)向使用单位和政务云平台行政主管部门提供云资源利用情况表、运行维护报告和优化建议。
四川
《四川省级政务云平台管理暂行办法》(川办发〔2017〕66号)
云服务商应建立健全值班值守、运维规范、日志管理、备份恢复等工作制度,每月至少向使用单位和领导小组办公室报送1次云资源使用情况、云平台运行维护情况等报告。
河南
《河南省政务云管理暂行办法》(豫政办〔2018〕26号)
云服务商负责省政务云的日常运行维护,提供符合行业服务质量标准的7×24小时服务,配合使用部门开展政务信息系统迁移上云,定期向省发展改革委、省信息中心和使用部门报送省政务云资源使用情况。
海南
《海南省电子政务云计算中心管理办法》(琼府办〔2016〕185号)
云服务商负责云中心的日常运行维护工作,提供系统级全盘数据备份服务,负责系统支撑软件的补丁管理,监控云中心运行状况,对系统运行的各个环节进行质量控制,发现问题故障和异常现象要及时查明原因并及时解决存在问题,保障云平台安全可靠运行和运行维护服务质量。云服务商定期(每月不少于1次)向省党政信息中心和使用单位提供云中心运行维护报告、资源使用情况、优化建议或动态调整意见。

结语
在5G及云计算技术的加持下,政府数字化升级不断深化,政务上云也让政府的办事效率更上一层楼。与此同时,政务上云带来的安全风险也引发关注:云服务客户对数据、系统的控制管理能力减弱或引发安全责任不明确,云计算平台的复杂性可能导致风险和隐患增多,云计算平台间的互操作和移植困难也可能引发数据安全风险。
当前,各级政府对于数字政务安全的重视程度只增不减。电子政务云平台的安全保障等级是否跟得上政府数字化转型升级是衡量政务上云能否“安全行驶”的重要标准。我们理解,选取数据安全、平台稳定、技术规范的云服务商,签订有安全保障的服务协议,并持续有效地对电子政务云平台实施监管,是解决数字政务落地的必要保障。
注:
1.参见工业和信息化部2012年4月13日发布的《国家电子政务“十二五”规划》(工信部〔2011〕567号)。
2.例如,浙江省人民政府办公厅印发的《浙江省电子政务云计算平台管理办法》(浙政办发〔2015〕8号)规定,新的应用系统依托政务云平台建设,现有应用系统逐步迁移到政务云平台。北京市经济和信息化委员会印发的《北京市市级政务云管理办法(试行)》(京经信委函〔2016〕4号)规定,除公安、安全等部门以及涉密和信息安全等级保护四级(含)以上信息系统外,各单位现有信息系统应逐步迁移至政务云。山西省人民政府办公厅印发的《山西省级政务云平台建设推进实施方案》更明确强调,部门非涉密系统提出不迁移意见的,必须有法律、行政法规、政策依据,或报省政府批准。
3.参见工业和信息化部2013年2月20日印发的《基于云计算的电子政务公共平台顶层设计指南》(工信信函〔2013〕2号)。
4.上海市人民政府办公厅印发的《上海市电子政务云建设工作方案》(沪府办发〔2016〕47号)规定,政务云体系以“集中+分布”为建设原则,以政府购买服务的方式,依托政务外网,统一为各部门提供服务。各级行政机关应当充分利用全省统一的政务云平台开展电子政务应用,不再新建独立的机房或数据中心,不另行采购硬件、数据库、支撑软件、云计算和信息安全等基础设施。浙江省人民政府印发的《浙江省公共数据和电子政务管理办法》(浙江省人民政府令第354号)规定,县级以上人民政府建立公共数据平台,其他各级行政机关不得新建、扩建、改建独立的数据中心。浙江省人民政府办公厅印发的《浙江省电子政务云计算平台管理办法》(浙政办发〔2015〕8号)规定,各级行政机关应当充分利用全省统一的政务云平台开展电子政务应用,不再新建独立的机房或数据中心,不另行采购硬件、数据库、支撑软件、云计算和信息安全等基础设施。四川省人民政府办公厅印发的《四川省级政务云平台管理暂行办法》(川办发〔2017〕66号)规定,云平台按照“政府主导,企业运维”模式建设运营。政府向云服务商购买云平台运行所需的基础设施服务和各类公共服务,云服务商负责提供服务并实施运维保障。
5.云服务客户对计划迁移至云计算平台的网站进行需求分析,根据分析结果选择服务商,签订服务合同,做好政府网站迁移至云的准备工作。
6.云服务客户负责组织网站迁移、切换、交付等工作,云服务商和云服务代理商配合迁移工作。
7.云服务客户监督云服务商和云服务代理商履行合同规定的责任义务,对迁移至云计算平台的政府网站做好安全防范和监测工作,共同维护数据、业务及云计算环境的安全。
8.云服务客户要求云服务商履行相关责任和义务,重点关注退出过程中数据和业务的安全。
9.中共中央网络安全和信息化委员会办公室/国家互联网信息办公室于2019年11月19日发布《通过云计算服务安全评估的云平台》名单(http://www.cac.gov.cn/2019-11/19/c_1575697080388654.htm)。
10.数据来自可信云官网统计(http://kexinyun.org.cn/about/history)。
技术驱动法律,专业成就未来