財政部唯一指定政府采購信息網絡發布媒體 國家級政府采購專業網站

服務熱線:400-810-1996

當前位置:首頁 » 資訊動態

政采云平臺成為首個通過中央網信辦網絡安全審查的PaaS和SaaS云平臺

彩票55客服 www.ihxmo.icu 2019年05月24日 09:40 來源:政采云平臺打印

  5月9日,中共中央網絡安全和信息化委員會辦公室(以下簡稱“中央網信辦”)公布2019年黨政部門云計算服務網絡安全審查結果,政采云有限公司的政府采購云平臺(以下簡稱“政采云平臺”)順利通過SaaS、PaaS云計算服務網絡安全審查,成為國內首家IaaS、PaaS、SaaS均通過安全審查的云服務平臺。這意味著政采云平臺在安全性、可用性等方面獲得國家最高網絡安全管理機構的認可。 

  2014年12月,中央網信辦發布的《關于加強黨政部門云計算服務網絡安全管理的意見》(中網辦發文〔2014〕14號)明確規定:“中央網信辦會同有關部門建立云計算服務安全審查機制,對為黨政部門提供云計算服務的服務商,參照有關網絡安全國家標準,組織第三方機構進行網絡安全審查,重點審查云計算服務的安全性、可控性。黨政部門采購云計算服務時,應逐步通過采購文件或合同等手段,明確要求服務商應通過安全審查。鼓勵重點行業優先采購和使用通過安全審查的服務商提供的云計算服務?!?/span> 

  這項審查是中央網信辦依據國家標準《GB/T 31168-2014 信息安全技術 云計算服務安全能力要求》的相關安全要求和標準,組織中國電子技術標準化研究院進行的第三方網絡安全審查。整體的審查工作歷時10個月,對政采云平臺在物理安全、應用安全、數據安全、業務安全等10多個重點方面進行了嚴格的審查,最終認定政采云平臺滿足黨政部門云計算服務安全能力的要求,并認定為滿足增強級要求。通過該項網絡安全審查,意味著政采云平臺的安全能力和成熟度完全滿足重要政務業務和敏感類信息“上云”的高安全要求。 

  中國電子技術標準化研究院審查部總監何延哲介紹說:“在安全評估的過程中,專家委員會對政采云平臺PaaS、SaaS層云計算服務的安全能力水平進行了充分的驗證,政采云平臺在網絡安全和隱私領域的設計符合中央網信辦對政務云的增強級別安全要求?!?/span> 

  安全、穩定,在線、智能,是政府采購對數字化平臺的基本要求。業內人士認為,政采云平臺的安全能力已經成為其核心優勢之一,再輔以強大的大數據、云計算、人工智能等能力,能夠及時從海量的安全數據中抓取到攻擊線索、漏洞信息和威脅情報等高價值信息,提升用戶的整體安全水平。 

  目前,廣西壯族自治區財政廳、云南省財政廳、重慶市財政局、全國稅務系統等政府部門已經與政采云建立合作,成為政采云平臺PaaS、SaaS應用的典范。 

  

 

  關于加強黨政部門云計算服務網絡安全管理的意見 

  中網辦發文〔2014〕14號 

  各省、自治區、直轄市黨委網絡安全和信息化領導小組辦公室,中央和國家機關各部委、各人民團體網絡安全和信息化相關工作機構: 

  為加強黨政部門云計算服務網絡安全管理,維護國家網絡安全,現就黨政部門云計算服務網絡安全管理提出以下意見。 

  一、充分認識加強黨政部門云計算服務網絡安全管理的必要性 

  云計算服務是以云計算技術與模式為主要特征的信息技術服務,包括SaaS(軟件即服務)、PaaS(平臺即服務)、IaaS(基礎設施即服務)等。黨政部門采購云計算服務,有利于提高資源利用率和為民服務效率與水平,同時,安全風險也很突出:用戶對數據、系統的控制管理能力減弱;安全責任不明確,一些單位可能由于數據和業務的外包而放松安全管理;云計算平臺更加復雜,風險和隱患增多,控制和監管手段不足;云計算平臺間的互操作和移植比較困難,用戶數據和業務遷移到云計算平臺后容易形成對云計算服務提供者(以下稱服務商)的過度依賴。對此,各級黨政部門務必高度重視,增強風險意識、責任意識,切實加強采購和使用云計算服務過程中的網絡安全管理。 

  二、進一步明確黨政部門云計算服務網絡安全管理的基本要求黨政部門在采購使用云計算服務過程中應遵守,并通過合同等手段要求為黨政部門提供云計算服務的服務商遵守以下要求: 

  ——安全管理責任不變。網絡安全管理責任不隨服務外包而外包,無論黨政部門數據和業務是位于內部信息系統還是服務商云計算平臺上,黨政部門始終是網絡安全的最終責任人,應加強安全管理,通過簽訂合同、持續監督等方式要求服務商嚴格履行安全責任和義務,確保黨政部門數據和業務的機密性、完整性、可用性,以及互操作性、可移植性。 

  ——數據歸屬關系不變。黨政部門提供給服務商的數據、設備等資源,以及云計算平臺上黨政業務系統運行過程中收集、產生、存儲的數據和文檔等資源屬黨政部門所有。服務商應保障黨政部門對這些資源的訪問、利用、支配,未經黨政部門授權,不得訪問、修改、披露、利用、轉讓、銷毀黨政部門數據;在服務合同終止時,應按要求做好數據、文檔等資源的移交和清除工作。 

  ——安全管理標準不變。承載黨政部門數據和業務的云計算平臺要參照黨政信息系統進行網絡安全管理,服務商應遵守黨政信息系統的網絡安全政策規定、信息安全等級?;ひ?、技術標準,落實安全管理和防護措施,接受黨政部門和網絡安全主管部門的網絡安全監管。 

  ——敏感信息不出境。為黨政部門提供服務的云計算服務平臺、數據中心等要設在境內。敏感信息未經批準不得在境外傳輸、處理、存儲。 

  三、合理確定采用云計算服務的數據和業務范圍 

  黨政部門要參照《信息安全技術 云計算服務安全指南》等國家標準,對數據的敏感程度、業務的重要性進行分類,全面分析、綜合平衡采用云計算服務后的安全風險和效益,科學規劃和確定采用云計算服務的數據、業務范圍和進度安排。對于涉及國家秘密、工作秘密的業務,不得采用社會化云計算服務。對于包含大量敏感信息和公民隱私信息、直接影響黨政機關運轉和公眾生活工作的關鍵業務,應在確保安全的前提下再考慮向云計算平臺遷移。對于?;さ燃端募兌隕系男畔⑾低?,以及一旦出現問題可能造成重大經濟損失,甚至危害國家安全的業務不宜采用社會化云計算服務。 

  四、統一組織黨政部門云計算服務網絡安全審查 

  中央網信辦會同有關部門建立云計算服務安全審查機制,對為黨政部門提供云計算服務的服務商,參照有關網絡安全國家標準,組織第三方機構進行網絡安全審查,重點審查云計算服務的安全性、可控性。黨政部門采購云計算服務時,應逐步通過采購文件或合同等手段,明確要求服務商應通過安全審查。鼓勵重點行業優先采購和使用通過安全審查的服務商提供的云計算服務。 

  五、加強云計算服務過程的持續指導和監督 

  黨政部門應按照合同管理等有關要求,參考相關技術標準和指南,同服務商簽訂服務合同、協議。合同和協議要充分體現網絡安全管理要求,明確合同雙方的網絡安全責任義務。直接參與黨政業務系統運行管理的服務商人員應簽訂安全保密協議,必要時要對其進行背景調查。 

  黨政部門要認真履行合同規定的責任義務,監督服務商加強安全防護管理,要求服務商在發生網絡安全案件或重大事件時,及時向有關部門報告,配合開展調查工作。要組織對云計算服務的安全監測,加強安全檢查,及時發現和通報安全隱患。 

  六、強化保密審查和安全意識培養 

  黨政部門應建立健全云計算服務保密審查制度,指定機構和人員負責對遷移到云計算平臺上的數據、業務進行保密審查,確保數據和業務不涉及國家秘密。綜合分析數據關聯性,防止因數據匯聚涉及國家秘密,不得使用非涉密網絡中的云計算平臺處理涉及國家秘密的信息。黨政部門在使用云計算服務前,要集中組織開展機關工作人員網絡安全和保密教育培訓,明示使用云計算服務面臨的安全保密風險;要求服務商加強對員工的安全和保密教育,自覺維護黨政部門云計算服務安全。 

  中央網絡安全和信息化領導小組辦公室 

  2014年12月30日 

 

相關文章

赛车pk10官网开奖结果 全盛棋牌6元app不洗牌 时时十 三公扑克牌出千技巧 云南时时平台哪个好 二人斗地主吉祥棋牌 大乐透最新期预测 mg娱乐官网客服 时时彩后一稳赚买法 时时彩稳赚技巧和经验 3d定胆极精准的方法 北京pk开奖直播网 排列三组选六6码遗漏乐彩网 云南时时开奖中心 重庆时时彩龙虎和漏洞 四码倍投