政务云平台监管基本要求

政务云平台监管基本要求1范围本文件规定了政务云平台的监管框架、监管角色、监管方式和监管内容本文件适用于对各政务云平台的监管2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中，注日期的引用文件,仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB/T32400—2015信息技术云计算概览与词汇GB/T37972—2019信息安全技术云计算服务运行监管框架3术语和定义GB/T32400—2015和GB/T37972—2019界定的术语和定义适用于本文件4缩略语下列缩略语适用于本文件CPU中央处理器（Central ProcessingUnit）GPU图形处理器（Graphics ProcessingUnit）IP网际互联协议（Internet Protocol）5监管框架政务云平台的监管框架见图1,包括监管角色、监管方式、监管内容三部分a）监管角色包括监管方和监管对象，监管对象包括云服务商和云服务使用方；b）监管方式包括自动获取和人工获取；c）监管内容包括1）对云服务商的监管包括政务云平台运行情况、政务云平台服务情况、重大变更情况、安全保障情况、应急响应情况等；2）对云服务使用方的监管包括资源使用情况、资源利用情况、优化调整情况、安全措施实施情况等监管方自人动工获获取取监管云服务商云服务使用方对象政政安务务全云云重安应资资优措平平大全急源源化监管台台变保响使利调施内容运服更障应用用整实施行务情情情情情情情情情况况况况况况况况况图1监管框架6监管角色

1.1监管方应制定服务监管要求，对云服务商和云服务使用方进行监管，将监管评估结果反馈云服务商、云服务使用方，并督导云服务商、云服务使用方及时整改

1.2监管对象

6.

2.1云服务商对云服务商的要求包括但不限于a）应按照监管方要求提供相关监管接口和材料，并配合监管方做好监管材料的现场核验；b）应根据监管评估结果采取相关措施及时整改，并将整改情况反馈监管方、云服务使用方；c）应按照与云服务使用方的服务协议，做好政务云服务的提供和运行保障工作，配合云服务使用方做好政务云服务的优化调整

7.

2.2云服务使用方应配合监管方做好政务云服务使用情况的监管，根据监管评估结果采取相关措施及时整改，并将整改情况反馈监管方7监管方式

7.1概述政务云平台监管数据、监管材料的获取方式包括自动获取和人工获取两种方式

7.2自动获取自动获取方式包括接口调用、系统日志、探针等方式

7.3人工获取人工获取方式包括线下材料提交、手工上报等方式8监管内容

8.1对云服务商的监管内容

8.

1.1概述监管方应对云服务商的政务云平台运行情况、政务云平台服务情况、重大变更情况、安全保障情况、应急响应情况等进行监管

8.

1.2政务云平台运行情况政务云平台运行情况监管内容包括但不限于a）计算资源包括计算资源整体运行状态和运行时长、计算资源使用和利用情况、镜像信息、告警事件等；b）存储资源包括存储资源整体使用情况、存储容量情况、存储资源读写速率、告警事件等；c）网络资源包括整体网络结构、网络健康情况、网络流量情况、网络接收和发送数据速率、IP地址、告警事件等；d）机房环境包括机房基础设施运行情况、能源消耗情况等

8.

1.3政务云平台服务情况政务云平台服务情况监管内容包括但不限于a）服务的可用情况包括服务交付符合率、服务可用率、资源利用率的监控、资源可持续性等；b）服务的可靠情况包括服务中断次数、服务的恢复能力、关键设施冗余、容灾能力等；c）服务的响应情况包括响应机制执行情况、服务请求响应及时性、资源配置及时性、资源弹性和可扩展性等

8.

1.

41.4重大变更情况重大变更情况监管内容包括但不限于a）云服务商的变更包括云服务商名称、主体等的变更；b）云服务商合作方的变更包括电信运营商、系统软件合作方、运维服务方、安全服务方等的变更；c）政务云平台架构的重大变更包括网络架构、系统架构、安全架构等的变更；d）政务云平台基础设施的变更包括机房环境、服务器、网络设备、存储设备、安全设备等的重大变更；e）政务云平台软件版本的变更包括政务云平台支撑组件、运维管理平台、运营管理平台等的变更

8.

1.5安全保障情况安全保障情况监管内容包括但不限于a）安全管理制度制定及实施情况；b）安全事件及安全事件响应情况；c）安全控制措施提供情况包括保障云平台基础环境、数据、网络、应用等采取的安全控制措施，具体监管内容和监管要求参见GB/T37972—2019的表B.1；d）安全策略配置及更新情况；e）安全评估情况包括安全等级保护测评、商用密码应用安全性测评、云计算服务安全评估、安全检查开展情况、重大安全事件上报及时性、安全事件处理及时性、异常安全事件自监控情况、风险防护能力和处置情况等

8.

1.6应急响应情况应急响应情况监管内容包括但不限于a）应急响应计划制定及更新情况；b）应急演练开展情况；c）应急响应情况的处置机制、过程及结果；注应急响应事件包括政务云平台宕机、网络线路故障、数据泄露事件、非授权访问事件、安全攻击事件、自然灾害事件、机房环境异常事件等

8.2对云服务使用方的监管内容

8.

2.1概述监管方应对云服务使用方的资源使用情况、资源利用情况、优化调整情况、安全措施实施情况等进行监管

8.

2.2资源使用情况资源使用情况监管内容包括但不限于a）计算资源包括CPU、GPU、内存等计算资源的使用量及增量等；b）存储资源包括存储使用量及增量等；c）网络资源包括网络带宽、IP地址等网络资源的使用量及增量等；d）资源变更包括上述资源的主体变更、用途变化等

8.

2.3资源利用情况资源利用情况监管内容包括但不限于CPU、GPU、内存、存储、网络等资源的利用情况

8.

2.4优化调整情况优化调整情况监管内容包括但不限于资源释放及资源扩缩容情况等

8.

2.5安全措施实施情况安全措施实施情况监管内容包括但不限于安全控制措施情况、安全检查情况、安全事件响应情况、漏洞修复情况、系统升级情况、弱口令整改情况等参考文献

[1]GB/T31167-2014信息安全技术云计算服务安全指南

[2]GB/T33850-2017信息技术服务质量评价指标体系

[3]GB/T

34080.1—2017基于云计算的电子政务公共平XX全规范第1部分总体要

[4]GB/T37736-2019信息技术云计算云资源监控通用要求

[5]GB/T37938—2019信息技术云资源监控指标体系。