《政务云平台监管基本要求.docx》由会员分享,可在线阅读,更多相关《政务云平台监管基本要求.docx(4页珍藏版)》请在第一文库网上搜索。
1、政务云平台监管基本要求1范围本文件规定了政务云平台的监管框架、监管角色、监管方式和监管内容。本文件适用于对各政务云平台的监管。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于木文件。GB/T324002015信息技术云计算概览与词汇GB/T37972-2019信息安全技术云计算服务运行监管框架3术语和定义GB/T324002015和61/T379722019界定的术语和定义适用于本文件。4缩略语下列缩略语适用于本文件。CPU:中央处理器(Centra1
2、ProcessingUnit)GPU:图形处理器(GraphicsProcessingUnit)IP:网际互联协议(InternetProtoco1)5监管框架政务云平台的监管框架见图1,包括监管角色、监管方式、监管内容三部分:a)监管角色包括监管方和监管对象,监管对象包括云服务商和云服务使用方Nb)监管方式包括自动获取和人工获取;c)监管内容包括:1)对云服务商的监管:包括政务云平台运行情况、政务云平台服务情况、重大变更情况、安全保障情况、应急响应情况等;2)对云服务使用方的监管:包括资源使用情况、资源利用情况、优化调整情况、安全措施实施情况等。监管方云服务使用方安全措施实施情况剁调整情况资
3、源利用情况资源使用情况门动荻取应急响应情况云服务商安全保障情况重大变更情况政务公平台服务情况政务云平台运行情况监管对象监管内容图1监管框架6监管角色6.1 监管方应制定服务监管要求,对云服务商和云服务使用方进行监管,将监管评估结果反馈云服务商、云服务使用方,并督导云服务商、云服务使用方及时整改。6.2 监管对象6 .2.1云服务商对云服务商的要求包括但不限于:a)应按照监管方要求提供相关监管接口和材料,并配合监管方做好监管材料的现场核验;b)应根据监管评估结果采取相关措施及时整改,并将整改情况反馈监管方、云服务使用方;c)应按照与云服务使用方的服务协议,做好政务云服务的提供和运行保障工作,配合
4、云服务使用方做好政务云服务的优化调整。7 .2.2云服务使用方应配合监管方做好政务云服务使用情况的监管,根据监管评估结果采取相关措施及时整改,并将整改情况反馈监管方。7监管方式7.1 概述政务云平台监管数据、监管材料的获取方式包括自动获取和人工获取两种方式。7.2 自动获取自动获取方式包括接口调用、系统日志、探针等方式。7.3 人工获取人工获取方式包括线下材料提交、手工上报等方式。8监管内容8.1 对云服务商的监管内容8.1.1 概述监管方应对云服务商的政务云平台运行情况、政务云平台服务情况、重大变更情况、安全保障情况、应急响应情况等进行监管。8.1.2 政务云平台运行情况政务云平台运行情况监
5、管内容包括但不限于:a)计算资源:包括计算资源整体运行状态和运行时长、计算资源使用和利用情况、镜像信息、告警事件等;b)存储资源:包括存储资源整体使用情况、存储容量情况、存储资源读写速率、告警事件等:c)网络资源:包括整体网络结构、网络健康情况、网络流量情况、网络接收和发送数据速率、IP地址、告警事件等;d)机房环境:包括机房基础设施运行情况、能源消耗情况等。8.1.3 政务云平台服务情况政务云平台服务情况监管内容包括但不限于:a)服务的可用情况:包括服务交付符合率、服务可用率、资源利用率的监控、资源可持续性等;b)服务的可靠情况:包括服务中断次数、服务的恢复能力、关键设施冗余、容灾能力等;c
6、)服务的响应情况:包括响应机制执行情况、服务请求响应及时性、资源配置及时性、资源弹性和可扩展性等。8.1.4 1.4重大变更情况重大变更情况监管内容包括但不限于:a)云服务商的变更:包括云服务商名称、主体等的变更;b)云服务商合作方的变更:包括电信运营商、系统软件合作方、运维服务方、安全服务方等的变更;c)政务云平台架构的重大变更:包括网络架构、系统架构、安全架构等的变更;d)政务云平台基础设施的变更:包括机房环境、服务器、网络设备、存储设备、安全设备等的重大变更;e)政务云平台软件版本的变更:包括政务云平台支撑组件、运维管理平台、运营管理平台等的变更。8.1.5 安全保障情况安全保障情况监管
7、内容包括但不限于:a)安全管理制度制定及实施情况;b)安全事件及安全事件响应情况;c)安全控制措施提供情况:包括保障云平台基础环境、数据、网络、应用等采取的安全控制措施,具体监管内容和监管要求参见GB/T379722019的表B.1;d)安全策略配置及更新情况;e)安全评估情况:包括安全等级保护测评、商用密码应用安全性测评、云计算服务安全评估、安全检查开展情况、重大安全事件上报及时性、安全事件处理及时性、异常安全事件自监控情况、风险防护能力和处置情况等。8.1.6 应急响应情况应急响应情况监管内容包括但不限于:a)应急响应计划制定及更新情况;b)应急演练开展情况;c)应急响应情况的处置机制、过
8、程及结果;注:应急响应事件包括政务云平台宕机、网络线路故障、数据泄露事件、非授权访问事件、安全攻击事件、自然灾害事件、机房环境异常事件等。8.2 对云服务使用方的监管内容8.2.1 概述监管方应对云服务使用方的资源使用情况、资源利用情况、优化调整情况、安全措施实施情况等进行监管。8.2.2 资源使用情况资源使用情况监管内容包括但不限于:a)计算资源:包括CPU、GPU、内存等计算资源的使用量及增量等;b)存储资源:包括存储使用量及增量等;c)网络资源:包括网络带宽、IP地址等网络资源的使用量及增量等;d)资源变更:包括上述资源的主体变更、用途变化等。8.2.3 资源利用情况资源利用情况监管内容
9、包括但不限于CPU、GPU、内存、存储、网络等资源的利用情况。8.2.4 优化调整情况优化调整情况监管内容包括但不限于资源释放及资源扩缩容情况等。8.2.5 安全措施实施情况安全措施实施情况监管内容包括但不限于安全控制措施情况、安全检查情况、安全事件响应情况、漏洞修复情况、系统升级情况、弱口令整改情况等。参考文献1 GB/T31167-2014信息安全技术云计算服务安全指南2 GB/T33850-2017信息技术服务质量评价指标体系3 GB/T34080.1-2017基于云计算的电子政务公共平XX全规范第1部分:总体要4 GB/T37736-2019信息技术云计算云资源监控通用要求5 GB/T37938-2019信息技术云资源监控指标体系