关于印发《宿州市政务云资源管理规范(试行)》的通知 ( 宿数资〔2022〕51号)
关于印发《宿州市政务云资源管理规范(试行)》的通知
各相关单位:
现将《宿州市政务云资源管理规范(试行)》印发给你们,请认真贯彻执行。
2022年12月26日
《宿州市政务云资源管理规范(试行)》
为促进我市政务云资源集约利用和安全管理,根据《宿州市政务云管理办法(试行)》以及有关法律法规、政策文件和技术标准,结合本市实际,制定本规范。
一、适用范围
本规范适用于宿州市域范围内行政机关以及具有公共管理和服务职能的组织(以下统称政务云使用单位)使用和管理政务云资源(以下简称云资源)的活动。
二、主要职责
市数据资源管理局负责政务云使用单位云资源申请的审批、监督管理和绩效评价。
政务云使用单位负责本单位云资源的申请、使用效能管理、信息系统的安全管理(包括系统网络与信息安全、数据安全)。
政务云服务商负责云资源需求咨询、初审、技术支持和云平台的安全管理(包括云平台安全、云网络安全)。
三、流程管理
云资源使用全流程包含申请、审批、开通、变更和注销环节。
(一)云资源申请
申请云资源应满足如下条件:
1.申请使用政务云资源的项目包括:纳入政府财政信息化专项资金及部门预算建设的项目和政府托管机房迁云的项目等(需同步下架设备)。
2.政务云使用单位向市数据资源管理局发函提出使用申请,市数据资源管理局收到申请后安排政务云服务商与政务云使用单位进行对接,政务云服务商根据“最低初配、按需升配、动态降配”的原则,合理规划云平台服务器、存储、数据库、网络带宽等云资源,协助使用单位填写政务云资源需求申请表(附件1)。
3.政务云使用单位现有云资源利用率符合相关标准才能申请新增云资源,首次申请云资源的不受此限制。
(二)云资源审批
1.政务云服务商负责云资源申请材料完整性和准确性、申请主体资格、申请资源类型、申请条件审核,提出初步审批意见,初审意见应包含是否开通、云资源配置的建议。
2.政务云服务商提出初审意见后,市数据资源管理局负责云资源需求合理性审核,做出终审意见,终审意见应包含是否批准开通、云资源配置、使用期限等要素。
(三)云资源开通
1.市数据资源管理局审核通过后,政务云服务商负责云资源开通。
2.云资源开通后,利用率应于3个月内达标(CPU利用率峰值>20%或内存利用率峰值>35%或存储利用率峰值>40%,最低配置除外),政务云使用单位须配合政务云服务商优化资源配置(包括但不限于业务调整、资源降配等)。政务云使用单位云资源利用率3个月内未达标且未提供说明理由的,市数据资源管理局有权针对不达标资源进行强制降配或者注销。
3.政务云使用单位应当在云资源开通并达标后的5个工作日内盖章确认云资源开通情况(附件2),3个月内达标的自开通之日起开始计费,未达标的自达标之日起开始计费。
(四)云资源变更
1.云资源升配。政务云使用单位单个政务信息系统云资源利用率达标(CPU利用率峰值>20%或内存利用率峰值>35%或存储利用率峰值>40%)且负荷较高情况下,可申请云资源升配,需提供云资源利用率证明材料(附件3)。
2.云资源降配。政务云使用单位单个政务信息系统云资源利用率连续2个月不达标的(CPU利用率峰值<20%且内存利用率峰值<35%且存储利用率峰值<40%),应当申请云资源降配(最低配置的除外)或提供说明理由。
3.政务云服务商每月5日前向市数据资源管理局报送政务云资源使用情况分析报告,同步将政务云资源使用情况分别抄送至政务云使用单位。市数据资源管理局定期对云资源利用率进行核查,对云资源利用率连续2个月未达标的政务云使用单位下发整改通知书。政务云使用单位未按期完成整改或提供说明理由的,市数据资源管理局有权针对不达标资源进行强制降配或者注销,并暂停使用单位新增云资源的申请与审核。
(五)云资源注销
政务云使用单位不再使用云资源时,应当做好政务信息系统及数据迁移备份工作,申请云资源注销。
市数据资源管理局可注销利用率连续2个月未达标且无政务云使用单位认领的云资源,关停服务器1个月且无人认领后进行释放。
四、监管考核
(一)安全管理要求
1.未经云资源使用单位授权,任何单位和个人不得进入云主机、云数据库、云存储等用户资源,不得泄露、篡改、损毁、复制和利用用户数据。
2.市数据资源管理局负责政务云平台的安全监管,建立健全网络安全管理、评价考核制度,开展网络安全监测,并定期开展政务云平台及应用系统安全检查工作,对发现的安全风险问题督促相关单位及时整改。
3.政务云使用单位负责落实政务信息系统与网络安全同步规划、同步建设、同步使用要求,安排专人负责应用系统管理、安全保密和安全审计,明确应用系统的信息安全等级保护级别,并按照相应级别开展安全建设,加强日常监控,及时修复操作系统及应用系统漏洞,保障应用系统的安全运行。第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务,定期开展商用密码应用安全性评估。
4.政务云服务商应当按照国家信息安全相关规定,加强政务云平台的安全防御,监控网络行为,阻断网络攻击,做好数据备份,开展应急演练,确保政务云平台安全运行。因政务云平台系统升级或维护需要,政务云服务商需中断云计算服务时,应提前3个工作日提交申请,并通知受影响的相关单位。
(二)考核要求
1.政务云使用单位定期进行系统高危漏洞、高危端口、违规外联和弱口令检查,提高系统防篡改、防攻击、防病毒、防瘫痪、防窃取等防护能力。
2.政务云使用单位云资源利用率达标情况作为下一年度信息化项目申报审批条件。
3.政务云使用单位应及时将本单位淘汰、停用的“僵尸”系统涉及的云资源进行释放,市数据资源管理局发现并通知后一个月未进行处置的,暂停云资源申请审核。
符合下列任一条件的应用系统被认定为“僵尸”系统:(1)系统使用与实际业务流程长期脱节,运行维护停止更新服务的;(2)功能可被其他一个或多个系统完全替代的,且无法改造或改造成本较大的,有特殊规定的除外;(3)所占用资源长期处于空闲状态,使用范围小、频度低的,有特殊规定的除外。
4.政务云使用单位对分配给本单位的云资源只有使用权,并严格用于申请使用的政务信息系统,不得挪作他用。
(三)政务云服务商管理要求
政务云服务商应履行以下职责:(1)及时协助使用单位解决云资源使用问题;(2)及时完成使用单位云资源申请初审,提供云资源开通、变更、中断注销服务;(3)定期向市数据资源管理局及政务云使用单位提供云资源利用率报告;(4)提供重大活动与节假日期间运维保障服务;(5)因政务云平台自身原因,导致使用单位政务信息系统业务中断、发生安全事件的,及时修复故障、消除影响,并开展事件调查、责任认定工作。
五、附则
本管理规范自印发之日起施行。《宿州市政务云管理办法(试行)》同时废止。