各省@@、自治区@@、直辖市党委网络安全@@和信息化领导小组办公室@@,中央和国家机关各部委@@、各人民团体网络安全@@和信息化相关工作机构@@:

  为加强党政部门云计算@@服务网络安全@@管理@@,维护国家网络安全@@@@,现就党政部门云计算@@服务网络安全@@管理提出以下意见@@。

  一@@、充分认识加强党政部门云计算@@服务网络安全@@管理的必要性@@

  云计算@@服务是@@以云计算@@技术与模式为主要特征的信息技术服务@@,包括@@SaaS(软件即服务@@)、PaaS(平台@@即服务@@)、IaaS(基础设施即服务@@)等@@。党政部门采购云计算@@服务@@,有利于提高资源利用@@率和为民服务效率与水平@@,同时@@,安全风险也很突出@@:用户对数据@@@@、系统的控制管理能力减弱@@;安全责任不明确@@,一@@些单位可能由于数据@@和业务的外包而放松安全管理@@;云计算@@平台@@更加复杂@@,风险和隐患增多@@,控制和监管手段不足@@;云计算@@平台@@间的互操作和移植比较困难@@,用户数据@@和业务迁移到云计算@@平台@@后容易形成对云计算@@服务提供者@@(以下称服务商@@)的过度依赖@@。对此@@,各级党政部门务必高度重视@@,增强风险意识@@、责任意识@@,切实加强采购和使用云计算@@服务过程中的网络安全@@管理@@。

  二@@、进一@@步明确党政部门云计算@@服务网络安全@@管理的基本要求@@

  党政部门在采购使用云计算@@服务过程中应遵守@@,并通过合同等@@手段要求为党政部门提供云计算@@服务的服务商遵守以下要求@@:

  ——安全管理责任不变@@。网络安全@@管理责任不随服务外包而外包@@,无论党政部门数据@@和业务是位于内部信息系统还是服务商云计算@@平台@@上@@,党政部门始终是网络安全@@的最终责任人@@,应加强安全管理@@,通过签订合同@@、持续监督等@@方式要求服务商严格履行安全责任和义务@@,确保党政部门数据@@和业务的机密性@@、完整性@@、可用性@@,以及互操作性@@、可移植性@@。

  ——数据@@归属关系不变@@。党政部门提供给服务商的数据@@@@、设备等@@资源@@,以及云计算@@平台@@上党政业务系统运行过程中收集@@、产生@@、存储@@的数据@@和文档等@@资源属党政部门所有@@。服务商应保障党政部门对这些资源的访问@@、利用@@、支配@@,未经党政部门授权@@,不得访问@@、修改@@、披露@@、利用@@、转让@@、销毁党政部门数据@@@@;在服务合同终止时@@,应按要求做好数据@@@@、文档等@@资源的移交和清除工作@@。

  ——安全管理标@@准不变@@。承载党政部门数据@@和业务的云计算@@平台@@要参照党政信息系统进行网络安全@@管理@@,服务商应遵守党政信息系统的网络安全@@政策规定@@、信息安全等@@级保护要求@@、技术标@@准@@,落实安全管理和防护措施@@,接受党政部门和网络安全@@主管部门的网络安全@@监管@@。

  ——敏感信息不出境@@。为党政部门提供服务的云计算@@服务平台@@@@、数据@@中心等@@要设在境内@@。敏感信息未经批准不得在境外传输@@、处理@@、存储@@。

  三@@、合理确定采用云计算@@服务的数据@@和业务范围@@

  党政部门要参照@@《信息安全技术@@ 云计算@@服务安全指南@@》等@@国家标@@准@@,对数据@@的敏感程度@@、业务的重要性进行分类@@,全面分析@@、综合平衡采用云计算@@服务后的安全风险和效益@@,科学规划和确定采用云计算@@服务的数据@@@@、业务范围和进度安排@@。对于涉及国家秘密@@、工作秘密的业务@@,不得采用社会化云计算@@服务@@。对于包含大量敏感信息和公民隐私信息@@、直接影响党政机关运转和公众生活工作的关键业务@@,应在确保安全的前提下再考虑向云计算@@平台@@迁移@@。对于保护等@@级四@@级以上的信息系统@@,以及一@@旦出现问题@@可能造成重大经济损失@@,甚至危害国家安全的业务不宜采用社会化云计算@@服务@@。

  四@@、统一@@组织党政部门云计算@@服务网络安全@@审查@@

  中央网信办会同有关部门建立云计算@@服务安全审查机制@@,对为党政部门提供云计算@@服务的服务商@@,参照有关网络安全@@国家标@@准@@,组织第三@@方机构进行网络安全@@审查@@,重点审查云计算@@服务的安全性@@、可控性@@。党政部门采购云计算@@服务@@时@@,应逐步通过采购文件或合同等@@手段@@,明确要求服务商应通过安全审查@@。鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算@@服务@@。

  五@@、加强云计算@@服务过程的持续指导和监督@@

  党政部门应按照合同管理等@@有关要求@@,参考相关技术标@@准@@和指南@@,同服务商签订服务合同@@、协议@@。合同和协议@@要充分体现网络安全@@管理要求@@,明确合同双方的网络安全@@责任义务@@。直接参与党政业务系统运行管理的服务商人员应签订安全保密协议@@@@,必要时要对其进行背景调查@@。

  党政部门要认真履行合同规定的责任义务@@,监督服务商加强安全防护管理@@,要求服务商在发生网络安全@@案件或重大事件时@@,及时向有关部门报告@@,配合开展调查工作@@。要组织对云计算@@服务的安全监测@@,加强安全检查@@,及时发现和通报安全隐患@@。

  六@@、强化保密审查和安全意识培养@@

  党政部门应建立健全云计算@@服务保密审查制度@@,指定机构和人员负责对迁移到云计算@@平台@@上的数据@@@@、业务进行保密审查@@,确保数据@@和业务不涉及国家秘密@@。综合分析数据@@关联性@@,防止因数据@@汇聚涉及国家秘密@@,不得使用非涉密网络中的云计算@@平台@@处理@@涉及国家秘密的信息@@。党政部门在使用云计算@@服务前@@,要集中组织开展机关工作人员网络安全@@和保密教育培训@@,明示使用云计算@@服务面临的安全保密风险@@;要求服务商加强对员工的安全和保密教育@@,自觉维护党政部门云计算@@服务安全@@。

  中央网络安全@@和信息化领导小组办公室@@

  2014年@@12月@@30日@@