《重庆市电子政务云平台安全管理办法(试行)》(以下简称《管理办法(试行)》)经市政府同意后,于2022年2月10日公布、实施。为便于各级各部门和社会公众广泛知晓政策内容,现做出如下解读:
一、《管理办法(试行)》制定背景
基于四方面考虑,市大数据发展局联合市委网信办、市公安局着手制定政务云平台安全管理制度。一是2021年1月,陈敏尔书记、唐良智市长在《关于2020年全市网络安全重大风险排查工作有关情况的报告》上批示要求确保政务云平台安全可控。按照市领导批示精神,我们起草了《管理办法(试行)》。二是在今年的市委巡视工作中,我们自查自纠指出政务云平台存在安全风险。为落实中央、市委巡视整改要求,有必要建立安全管理制度。三是经市政府同意后,2021年6月,我局联合市财政局印发《重庆市电子政务云平台管理暂行办法》,奠定了政务云平台管理的制度框架。其中,第三十四条明确要求市大数据发展局制定政务云平台安全管理制度,细化抓好落实。四是政务云平台承载非涉密应用系统2000余个,使用服务器上万台,已成为全市电子政务工程的重要支撑平台。若政务云平台发生安全事故,将引发系统性网络安全事故。政务云平台的使用单位以及网信、国安、公安等监管部门普遍希望加强政务云平台安全管理。
二、《管理办法(试行)》制定过程
市大数据发展局坚持问题导向,广泛征求意见,认真做好起草工作。一是邀请专业机构(重庆市信息通信咨询设计院网安分院)全程参与决策咨询,提升起草工作的专业水平;二是与政务云服务商专题协商,充分了解现状、听取建议;三是与市发展改革委、市财政局专题协商,将政务云平台安全管理与政务信息化项目管理同部署、同推进;四是邀请市委网信办、市公安局、市国安局等部门人员及网络安全技术专家进行专题论证,确保《管理办法(试行)》相关制度的合法性、合理性;五是公开向市级各部门、各区县(开发区)大数据主管部门征求意见建议。据不完全统计,累计征求意见建议71条,研究吸纳68条;未采纳的3条,未采纳的原因我们已做好解释工作。
三、《管理办法(试行)》主要内容
《管理办法(试行)》共7章37条,主要包括总则、基础设施安全、数据与应用安全、运维安全、应急管理、监督管理等。
(一)总则。主要明确政务云平台安全管理的适用范围、基本要、职责分工、责任划分等。
(二)基础设施安全。一是政务云平台应落实“三同步”要求;二是政务云平台的租户信息及变更情况应及时向相关主管部门报备;三是政务云平台应及时通过云计算服务安全评估;四是政务云平台各区域之间应实行安全隔离;五是保障政务云平台的机房、设备及其供应链安全。
(三)数据与应用安全。一是政务云平台应建立必要的容灾备份机制;二是政务云服务商和云租户应确保数据安全;三是加强应用迁移过程管理和日志审计管理。
(四)运维安全。一是政务云服务商应建立合理规模的本地化运维团队;二是市大数据主管部门和政务云服务商应对政务云平台的安全人员进行必要的背景调查,加强录用审查和离岗管理;三是政务云服务商应当定期开展安全巡检,及时处置安全风险隐患;四是政务云服务商应根据用户单位需求,优化和调整访问控制策略。
(五)应急管理。一是政务云服务商应定期开展安全培训,制定政务云平台应急预案,并定期开展应急演练;二是政务云服务商和云租户加强应急值守;三是依法依规报告、处置网络安全事件,加强网络安全风险预警。
(六)监督管理。一是将政务云平台安全管理与政务信息化项目管理同部署、同推进;二是建立政务云平台的安全检查、监测机制,不定期通报突出问题;三是发生重大网络安全事故后,依法与政务云服务商解除合同,有序开展责任追究、损失追偿、应用下线、数据销毁等工作。
