关于加强党政部门云计算服务网络安全管理的意见

（中网办发文[2015]14号）

各省、自治区、直辖市党委网络安全和信息化领导小组办公室，中央和国家机关各部委、各人民团体网络安全和信息化相关工作机构：

为加强党政部门云计算服务网络安全管理，维护国家网络安全，现就党政部门云计算服务网络安全管理提出以下意见。

一、充分认识加强党政部门云计算服务网络安全管理的必要性

云计算服务是以云计算技术与模式为主要特征的信息技术服务，包括SaaS（软件即服务）、PaaS（平台即服务）、IaaS（基础设施即服务）等。党政部门采购云计算服务，有利于提高资源利用率和为民服务效率与水平，同时，安全风险也很突出：用户对数据、系统的控制管理能力减弱；安全责任不明确，一些单位可能由于数据和业务的外包而放松安全管理；云计算平台更加复杂，风险和隐患增多，控制和监管手段不足；云计算平台间的互操作和移植比较困难，用户数据和业务迁移到云计算平台后容易形成对云计算服务提供者（以下称服务商）的过度依赖。对此，各级党政部门务必高度重视，增强风险意识、责任意识，切实加强采购和使用云计算服务过程中的网络安全管理。

二、进一步明确党政部门云计算服务网络安全管理的基本要求

党政部门在采购使用云计算服务过程中应遵守，并通过合同等手段要求为党政部门提供云计算服务的服务商遵守以下要求：

——安全管理责任不变。网络安全管理责任不随服务外包而外包，无论党政部门数据和业务是位于内部信息系统还是服务商云计算平台上，党政部门始终是网络安全的最终责任人，应加强安全管理，通过签订合同、持续监督等方式要求服务商严格履行安全责任和义务，确保党政部门数据和业务的机密性、完整性、可用性，以及互操作性、可移植性。

——数据归属关系不变。党政部门提供给服务商的数据、设备等资源，以及云计算平台上党政业务系统运行过程中收集、产生、存储的数据和文档等资源属党政部门所有。服务商应保障党政部门对这些资源的访问、利用、支配，未经党政部门授权，不得访问、修改、披露、利用、转让、销毁党政部门数据；在服务合同终止时，应按要求做好数据、文档等资源的移交和清除工作。

——安全管理标准不变。承载党政部门数据和业务的云计算平台要参照党政信息系统进行网络安全管理，服务商应遵守党政信息系统的网络安全政策规定、信息安全等级保护要求、技术标准，落实安全管理和防护措施，接受党政部门和网络安全主管部门的网络安全监管。

——敏感信息不出境。为党政部门提供服务的云计算服务平台、数据中心等要设在境内。敏感信息未经批准不得在境外传输、处理、存储。

三、合理确定采用云计算服务的数据和业务范围

党政部门要参照《信息安全技术 云计算服务安全指南》等国家标准，对数据的敏感程度、业务的重要性进行分类，全面分析、综合平衡采用云计算服务后的安全风险和效益，科学规划和确定采用云计算服务的数据、业务范围和进度安排。对于涉及国家秘密、工作秘密的业务，不得采用社会化云计算服务。对于包含大量敏感信息和公民隐私信息、直接影响党政机关运转和公众生活工作的关键业务，应在确保安全的前提下再考虑向云计算平台迁移。对于保护等级四级以上的信息系统，以及一旦出现问题可能造成重大经济损失，甚至危害国家安全的业务不宜采用社会化云计算服务。