北京市政务信息系统入云安全指南 （v1.0） 北京市经济和信息化委员会 2016 年 6 月 目录 1. 2. 概述........................................................................................................................1 入云安全及流程...................................................................................................2 2.1. 政务云概况....................................................................................................2 2.2. 政务云安全框架........................................................................................... 4 2.3. 入云安全环节................................................................................................6 2.4. 相关角色........................................................................................................ 7 3. 入云安全准备.......................................................................................................8 3.1. 需求分析........................................................................................................ 9 3.2. 入云工作方案............................................................................................. 12 3.3. 服务商选择..................................................................................................13 3.3.1. 3.3.2. 4. 服务商确定...................................................................................................... 13 合同签订...........................................................................................................15 入云安全实施.....................................................................................................15 4.1. 安全建设......................................................................................................15 4.1.1. 4.1.2. 4.1.3. 4.1.4. 4.1.5. 4.2. 资源准备...........................................................................................................16 软件开发...........................................................................................................18 系统部署...........................................................................................................20 安全优化...........................................................................................................22 制度建设...........................................................................................................25 安全迁移......................................................................................................26 4.2.1. 4.2.2. 4.2.3. 4.2.4. 迁移准备...........................................................................................................26 应用迁移...........................................................................................................27 应用切换...........................................................................................................28 应用回退...........................................................................................................30 安全交付............................................................................................................. 30 5.1. 系统试运行..................................................................................................31 5.2. 安全验收测试............................................................................................. 31 5.3. 安全交付成果............................................................................................. 32 附件 A：《北京市政务信息系统入云安全建设工作方案》大纲示例..................... 33 附件 B：《北京市政务信息系统安全迁移工作方案》大纲示例..............................35 5. 1. 概述 目前，北京市市级政务云（以下简称市级政务云）已经投入使用。 《北京市市级政务云管理办法（试行）》（京经信委函〔2016〕4 号） 指出，除公安、安全等部门以及涉密和信息安全等级保护四级（含） 以上信息系统外，按照“上云为常态、不上云为例外”原则，北京市 各部门现有信息系统应逐步迁移上云，停止服务器、存储等相关软硬 件采购。确有特殊原因暂不能上云的，须经市信息化专家咨询委员会 组织的专家论证会同意。 在大力推动北京市市级政务信息系统入云的同时，云计算安全受 到广泛重视。在云计算环境中，传统的信息系统安全问题大多依然存 在，同时还出现了一些新的信息安全风险。为了管控云计算安全风险， 国家出台了相关政策文件和标准。《关于加强党政部门云计算服务网 络安全管理的意见》 （中网办发文〔2014〕14 号）提出了安全管理责 任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境的 “四不”原则，要求合理确定采用云计算服务的数据和业务范围、统 一组织党政部门云计算服务网络安全审查、加强云计算服务过程的持 续指导和监督以及强化保密审查和安全意识培养； 《信息安全技术 云 计算服务安全指南》 （GB/T 31167-2014）描述了云计算服务可能面临 的主要安全风险，提出了政府部门采用云计算服务的安全管理基本要 求以及云计算服务生命周期各阶段的安全管理和技术要求；《信息安 全技术 云计算服务安全能力要求》（GB/T 31168-2014）描述了以社 会化方式为特定客户提供云计算服务时，云服务商应具备的安全技术 1 能力。 为更好保障政务信息系统入云建设和迁移工作的安全实施，北京 市经济和信息化委员会(以下简称市经济信息化委)特制订了《北京市 政务信息系统入云安全指南》 （以下简称入云指南）。入云指南目的是 指导北京市市级政务云使用单位在政务信息系统入云过程中如何采 取安全措施和执行安全活动，控制安全风险，保障政务信息系统入云 安全。 本指南适用于政务信息系统基于政务云基础设施即服务（IaaS） 进行建设时同步开展的信息安全建设，也适用于已有政务信息系统迁 移到提供 IaaS 服务的政务云时同步开展的信息安全建设。本指南不 适用于政务信息系统准备入云前的项目安全立项申报以及入云后的 安全运营和安全退出等。 本指南主要为北京市市级政务云使用单位提供指导，市级政务云 的云服务商、云安全监管服务商、管理单位等也可参考使用。 2. 入云安全及流程 2.1. 政务云概况 北京市市级政务云由市经济信息化委统筹规划和统一管