突出风险管控 明确“四不”基本要求

 

　　《意见》指出，党政部门采购云计算服务有利于提高资源利用率和为民服务效率与水平，同时，安全风险也很突出：用户对数据、系统的控制管理能力减弱；安全责任不明确，一些单位可能由于数据和业务的外包而放松安全管理；云计算平台更加复杂，风险和隐患增多，控制和监管手段不足；云计算平台间的互操作和移植比较困难，用户数据和业务迁移到云计算平台后容易形成对云服务商的过度依赖。各级党政部门务必高度重视，增强风险意识、责任意识，切实加强采购和使用云计算服务过程中的网络安全管理。

 

　　《意见》要求，党政部门在采购使用云计算服务过程中应遵守，并通过合同等手段要求为党政部门提供云计算服务的服务商遵守“四不”要求，即安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境。

 

　　厘清应用范围 明确要求“先审后用”

 

　　《意见》要求合理确定采用云计算服务的数据和业务范围，党政部门要参照《信息安全技术 云计算服务安全指南》等国家标准，对数据的敏感程度、业务的重要性进行分类，全面分析、综合平衡采用云计算服务后的安全风险和效益，科学规划和确定采用云计算服务的数据、业务范围和进度安排。对于包含大量敏感信息和公民隐私信息、直接影响党政机关运转和公众生活工作的关键业务，应在确保安全的前提下再考虑向云计算平台迁移。对于安全保护等级四级以上的信息系统，以及一旦出现问题可能造成重大经济损失，甚至危害国家安全的业务不宜采用社会化云计算服务。

 

　　值得关注的是，《意见》指出，中央网信办将会同有关部门建立云计算服务安全审查机制，统一组织党政部门云计算服务网络安全审查，并要求党政部门采购云计算服务时，应逐步通过采购文件或合同等手段，明确要求服务商应通过安全审查。同时，鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务。

 

　　此外，《意见》还就加强云计算服务过程的持续指导和监督以及强化保密审查和安全意识培养等问题作出要求。Y