关于印发《宿州市政务云管理办法(试行)》的通知
宿数资〔2021〕7号
市有关单位,各县、区人民政府:
为加强政务云管理和使用,统筹推进政务数据资源基础设施与安全保障体系建设,参照《安徽省省级政务云管理办法(试行)》,制定了《宿州市政务云管理办法(试行)》。现印发给你们,请遵照执行。
宿州市数据资源管理局
2021年4月22日
《宿州市政务云管理办法(试行)》
第一章 总 则
第一条 为加快建设“数字宿州”,强化政务云(以下简称政务云)的管理和使用,推进政务数据资源基础设施与安全保障体系建设,根据相关法律法规、政策和技术标准,结合宿州实际,制定本办法。
第二条 本办法适用于政务云的建设、应用、运维、安全、考核评价等过程的各类活动。
第三条 本办法所称的政务云是指运用云计算技术,统筹利用计算、存储、网络、安全、信息、应用支撑等资源和条件,基于市电子政务外网和互联网,按照“政府按需购买服务、企业建设和运维”模式建设运营,为非涉密政务信息系统提供统一基础设施及其支撑服务的综合性服务平台。
第四条 市直各单位、各县(区、园区)应当充分利用政务云开展政务信息化建设,原则上不得新建数据中心、机房等通用基础设施,不得自行采购政务云已具备服务能力的软、硬件产品及网络、安全服务,法律法规、政府规章另有规定的除外。除涉密或网络安全等级保护四级(含)以上信息系统外,新建信息系统依托政务云建设,已建信息系统逐步迁移到政务云。
第五条 使用政务云的任何单位和个人必须遵守国家有关法律法规,不得利用政务云侵犯国家、集体利益以及公民的合法权益,严禁利用政务云从事违法犯罪活动。
第二章 职责分工
第六条 政务云的建设、安全运行和管理等日常工作,主要涉及政务云的主管部门、管理机构、使用单位和云服务商。
第七条 政务云的主管部门(以下简称云主管部门)是指宿州市数据资源管理局。云主管部门负责政务云的统筹规划、重大决策审议、重要问题协调解决;政务云相关标准体系和管理制度的制定;政务云资源申请批准;指导协调与行业云、县(区)级政务云的互联互通;推动各单位新建和已建政务信息系统迁移上云。
第八条 政务云的管理机构(以下简称云管理机构)是指云主管部门所属的市大数据中心。云管理机构具体负责政务云建设、运维、安全的技术管理,政务云使用情况统计分析、绩效评价,组织制定政务云总体应急预案;承担对云服务商日常安全监管、运维监督和服务质量考核,对使用单位进行上云指导等日常工作。
第九条 使用单位是指所有使用政务云服务的财政资金建设、运维的数据资源、政务信息化项目(涉密除外)建设单位。使用单位应积极推进本部门新建和已建政务信息系统向云上迁移,根据本单位信息化系统建设需要,向云主管部门申请云资源服务需求,并负责本单位应用系统开发测试、迁移部署、运行维护、监控管理、安全管理等工作,配合完成政务云安全检查、应急演练、统计评价等工作。
第十条 云服务商是指提供云资源和运维服务的供应商。云服务商按照云主管部门、云管理机构的要求,负责政务云的建设、咨询、服务开通、日常运行维护和安全保障,并配合使用单位做好信息系统迁移部署、运维保障和安全保障等工作。
第三章 运行管理
第十一条 政务云的日常运行维护由云服务商负责。内容主要包括机房、服务器、存储、网络、安全等基础设施日常运行维护,提供云技术咨询和方案优化,配合使用单位完成应用系统上线和迁移,监控云资源使用,及时解决云故障,并定期(每月不少于1次)向云管理机构和使用单位提供云资源利用情况表、运行维护报告和优化建议。
第十二条 云服务商应建立健全内部管理制度,加强政务云相关人员管理和安全保密教育工作,定期主办云技术培训和安全保密教育,明确对外服务流程,提供符合行业服务质量标准的7×24小时服务,确保政务云安全稳定运行。
第十三条 云服务商对政务云实施升级、优化、调整等重大变更前,要向云管理机构报送调整方案。可能影响使用单位信息系统正常运行的,云服务商要提前告知使用单位,并制定应急预案。由于政务云重大变更导致使用单位信息系统故障、数据丢失等情况的,云服务商承担相应责任和损失。
第十四条 使用单位应当在职责范围内合理使用云资源,管理应用系统的日常运行,监控运行状况,及时发现问题并向云服务商反映,确保应用系统安全稳定。迁移上云的已建信息化系统,原系统至少保留3个月,作为应急回退措施。
第十五条 云管理机构加强对政务云资源使用情况的管理,对业务量变化幅度较大,或资源实际占有率过大或过小的应用系统,组织使用单位和云服务商确定资源扩容、降配或回收方案,并开展实施。
第四章 安全和应急管理
第十六条 信息系统迁移部署到政务云后,按照“安全管理责任不变、数据归属关系不变、安全管理标准不变、数据敏感信息不出境”原则,云主管部门、云管理机构、使用单位和云服务商按要求履行各自安全和应急管理职责。
第十七条 云主管部门在网信部门指导下,会同公安部门加强政务云的安全监督管理,统筹协调处置网络安全事件,组织开展对重要系统和数据库进行容灾备份工作。云管理机构组织使用单位和云服务商定期开展安全培训、应急演练,做好安全事件的应急响应,定期开展安全检查工作,对发现的安全风险问题及时督促相关单位整改。
第十八条 使用单位应安排专人负责应用系统管理、安全保密和安全审计,按照国家网络安全等级保护制度相关规定,明确应用系统的信息安全等级保护级别。云服务商配合使用单位按照相应级别开展安全建设,加强日常监控,保障应用系统的安全运行。原则上系统上云部署6个月内,使用单位要完成网络安全等级保护定级、备案及测评工作,并向云管理机构提交公安部门信息系统安全等级保护备案证明及测评报告。
第十九条 云服务商要按照国家相关法规政策和技术标准,做好政务云安全监控和安全防御工作,做好数据备份,每月发布安全公告和每年开展至少一次应急演练,确保政务云安全运行。云服务商按规定做好政务云网络安全等级保护备案测评工作。云服务商应按照《云计算服务安全评估办法》要求申报并通过安全评估。
第二十条 云服务商要建立健全应急预案及处置机制,遇到突发事件按规定和流程及时处理,遇到重大突发事件应及时上报网信、公安及云主管部门和云管理机构,并告知相关使用单位,同时采取一切必要手段和措施,把危害和损失降到最低。
第二十一条 未经使用单位授权,任何单位和个人不得进入使用单位在政务云中的各类资源,不得利用、泄露、篡改、毁损、复制使用单位数据;非法获取数据构成犯罪的,移送有权机关依法追究其刑事责任。
第五章 考核评价
第二十二条 云主管部门组织对云服务商进行考核,考核内容包括且不限于服务响应、服务满意度和服务质量等方面,并根据实际情况引入第三方机构进行服务质量检测。使用单位对云服务商进行综合评价,其评价意见作为对云服务商考评的重要依据。
第六章 附 则
第二十三条 本试行办法由宿州市数据资源管理局负责解释和修订。
第二十四条 本办法自发布之日起试行。