109．中央网络安全和信息化领导小组办公室关于 加强党政部门云计算服务网络安全管理的意见 （中网办发文〔2014〕14 号） 各省、自治区、直辖市党委网络安全和信息化领导小组办公室，中央和国家机关各部委、 各人民团体网络安全和信息化相关工作机构： 为加强党政部门云计算服务网络安全管理，维护国家网络安全，现就党政部门云计 算服务网络安全管理提出以下意见。 一、充分认识加强党政部门云计算服务网络安全管理的必要性 云计算服务是以云计算技术与模式为主要特征的信息技术服务，包括 SaaS（软件即 服务）、PaaS（平台即服务）、IaaS（基础设施即服务）等。党政部门采购云计算服务， 有利于提高资源利用率和为民服务效率与水平，同时，安全风险也很突出：用户对数据、 系统的控制管理能力减弱；安全责任不明确，一些单位可能由于数据和业务的外包而放 松安全管理；云计算平台更加复杂，风险和隐患增多，控制和监管手段不足；云计算平 台间的互操作和移植比较困难，用户数据和业务迁移到云计算平台后容易形成对云计算 服务提供者（以下称服务商）的过度依赖。对此，各级党政部门务必高度重视，增强风 险意识、责任意识，切实加强采购和使用云计算服务过程中的网络安全管理。 二、进一步明确党政部门云计算服务网络安全管理的基本要求 党政部门在采购使用云计算服务过程中应遵守，并通过合同等手段要求为党政部门 提供云计算服务的服务商遵守以下要求： ——安全管理责任不变。网络安全管理责任不随服务外包而外包，无论党政部门数 据和业务是位于内部信息系统还是服务商云计算平台上，党政部门始终是网络安全的最 终责任人，应加强安全管理，通过签订合同、持续监督等方式要求服务商严格履行安全 责任和义务，确保党政部门数据和业务的机密性、完整性、可用性，以及互操作性、可 移植性。 ——数据归属关系不变。党政部门提供给服务商的数据、设备等资源，以及云计算 平台上党政业务系统运行过程中收集、产生、存储的数据和文档等资源属党政部门所有。 1 服务商应保障党政部门对这些资源的访问、利用、支配，未经党政部门授权，不得访问、 修改、披露、利用、转让、销毁党政部门数据；在服务合同终止时，应按要求做好数据、 文档等资源的移交和清除工作。 ——安全管理标准不变。承载党政部门数据和业务的云计算平台要参照党政信息系 统进行网络安全管理，服务商应遵守党政信息系统的网络安全政策规定、信息安全等级 保护要求、技术标准，落实安全管理和防护措施，接受党政部门和网络安全主管部门的 网络安全监管。 ——敏感信息不出境。为党政部门提供服务的云计算服务平台、数据中心等要设在 境内。敏感信息未经批准不得在境外传输、处理、存储。 三、合理确定采用云计算服务的数据和业务范围 党政部门要参照《信息安全技术云计算服务安全指南》等国家标准，对数据的敏感 程度、业务的重要性进行分类，全面分析、综合平衡采用云计算服务后的安全风险和效 益，科学规划和确定采用云计算服务的数据、业务范围和进度安排。对于涉及国家秘密、 工作秘密的业务，不得采用社会化云计算服务。对于包含大量敏感信息和公民隐私信息、 直接影响党政机关运转和公众生活工作的关键业务，应在确保安全的前提下再考虑向云 计算平台迁移。对于保护等级四级以上的信息系统，以及一旦出现问题可能造成重大经 济损失，甚至危害国家安全的业务不宜采用社会化云计算服务。 四、统一组织党政部门云计算服务网络安全审查 中央网信办会同有关部门建立云计算服务安全审查机制，对为党政部门提供云计算 服务的服务商，参照有关网络安全国家标准，组织第三方机构进行网络安全审查，重点 审查云计算服务的安全性、可控性。党政部门采购云计算服务时，应逐步通过采购文件 或合同等手段，明确要求服务商应通过安全审查。鼓励重点行业优先采购和使用通过安 全审查的服务商提供的云计算服务。 五、加强云计算服务过程的持续指导和监督 党政部门应按照合同管理等有关要求，参考相关技术标准和指南，同服务商签订服 务合同、协议。合同和协议要充分体现网络安全管理要求，明确合同双方的网络安全责 任义务。直接参与党政业务系统运行管理的服务商人员应签订安全保密协议，必要时要 2 对其进行背景调查。 党政部门要认真履行合同规定的责任义务，监督服务商加强安全防护管理，要求服 务商在发生网络安全案件或重大事件时，及时向有关部门报告，配合开展调查工作。要 组织对云计算服务的安全监测，加强安全检查，及时发现和通报安全隐患。 六、强化保密审查和安全意识培养 党政部门应建立健全云计算服务保密审查制度，指定机构和人员负责对迁移到云计 算平台上的数据、业务进行保密审查，确保数据和业务不涉及国家秘密。综合分析数据 关联性，防止因数据汇聚涉及国家秘密，不得使用非涉密网络中的云计算平台处理涉及 国家秘密的信息。党政部门在使用云计算服务前，要集中组织开展机关工作人员网络安 全和保密教育培训，明示使用云计算服务面临的安全保密风险；要求服务商加强对员工 的安全和保密教育，自觉维护党政部门云计算服务安全。 中央网络安全和信息化领导小组办公室 2014 年 12 月 30 日 3