信息安全技術(shù)

信息安全技術(shù)云計算服務(wù)安全指南1范圍本標準描述了云計算可能面臨的主要安全風險，提出了政府部門采用云計算服務(wù)的安全管理基本要求及云計算服務(wù)的生命周期各階段的安全管理和技術(shù)要求。本標準為政府部門采用云計算服務(wù)，特別是采用社會化的云計算服務(wù)提供全生命周期的安全指導，適用于政府部門采購和使用云計算服務(wù)，也可供重點行業(yè)和其他企事業(yè)單位參考。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本 （包括所有的修改單）適用于本文件。GB/T25069—-20RR信息安全技術(shù)術(shù)語GB/T31168—-20RR信息安全技術(shù)云計算服務(wù)安全能力要求3術(shù)語和定義GB/T25069—-20RR界定的以及下列術(shù)語和定義適用于本文件。云計算cloudcomputing通過網(wǎng)絡(luò)訪問可擴展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理資源的模式。注：資源實例包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲設(shè)備等。云計算服務(wù)cloudcomputingservice使用定義的接口，借助云計算提供一種或多種資源的能力。云服務(wù)商cloudserviceprovider云計算服務(wù)的供應(yīng)方。注：云服務(wù)商管理、運營、支撐云計算的基礎(chǔ)設(shè)施及軟件，通過網(wǎng)絡(luò)交付云計算的資源。云服務(wù)客戶cloudservicecustomer為使用云計算服務(wù)同云服務(wù)商建立業(yè)務(wù)關(guān)系的參與方。注：本標準中云服務(wù)客戶簡稱客戶。第三方評估機構(gòu)ThirdPartRAssessmentOrganizations；3PAO獨立于云計算服務(wù)相關(guān)方的專業(yè)評估機構(gòu)。云計算基礎(chǔ)設(shè)施cloudcomputinginfrastructure由硬件資源和資源抽象控制組件構(gòu)成的支撐云計算的基礎(chǔ)設(shè)施。注：硬件資源包括所有的物理計算資源，包括服務(wù)器（CPU內(nèi)存等）、存儲組件（硬盤等）、網(wǎng)絡(luò)組件（路由器、防火墻、交換機、網(wǎng)絡(luò)鏈路和接口等）及其他物理計算基礎(chǔ)元素。資源抽象控制組件對物理計算資源進行軟件抽象， 云服務(wù)商通過這些組件提供和管理對物理計算資源的訪問。云計算平臺cloudcomputingplatform云服務(wù)商提供的云計算基礎(chǔ)設(shè)施及其上的服務(wù)軟件的集合。云計算環(huán)境cloudcomputingenvironment云服務(wù)商提供的云計算平臺及客戶在云計算平臺之上部署的軟件及相關(guān)組件的集合。4云計算概述4.1云計算的主要特征云計算具有以下主要特征：a） 按需自助服務(wù)。在不需或較少云服務(wù)商的人員參與情況下，客戶能根據(jù)需要獲得所需計算資源，如自助確定資源占用時間和數(shù)量。b） 泛在接入。客戶通過標準接入機制，利用計算機、移動電話、平板等各種終端通過網(wǎng)絡(luò)隨時隨地使用服務(wù)。c） 資源池化。云服務(wù)商將資源（如：計算資源、存儲資源、網(wǎng)路資源）能供給多個客戶使用，這些物理的、虛擬的資源根據(jù)客戶的需求進行動態(tài)分配或重新分配。d） 快速伸縮性?？蛻艨梢愿鶕?jù)需要快速、靈活、方便地獲取和釋放計算資源。對于客戶來講，這種資源是“無限”的，能在任何時候獲得所需資源量。e） 服務(wù)可計量。云計算按照多種計量方式（如按次付費或充值使用等）自動控制或量化資源，計量的對象可以是存儲空間、計算能力、網(wǎng)路帶寬或賬戶等。4.2服務(wù)模式根據(jù)云服務(wù)商提供的資源類型不同，云計算的服務(wù)模式主要可分為三類：a）軟件即服務(wù)（SaaS:在SaaS模式下，云服務(wù)商向客戶提供的是運行在云基礎(chǔ)設(shè)施之上的應(yīng)用軟件?？蛻舨恍枰徺I、開發(fā)軟件，可利用不同設(shè)備上的客戶端（如web”覽器）或程序接口通過網(wǎng)絡(luò)訪問和使用云服務(wù)商提供的應(yīng)用軟件，如電子郵件系統(tǒng)、協(xié)同辦公系統(tǒng)等。客戶通常不能管理或控制支撐應(yīng)用軟件運行的低層資源，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲等，但可對應(yīng)用軟件進行有限的配置管理。b） 平臺即服務(wù)（PaaS）:在PaaS模式下，云服務(wù)商向客戶提供的是運行在云計算基礎(chǔ)設(shè)

施之上的軟件開發(fā)和運行平臺， 如:標準語言與工具、數(shù)據(jù)訪問、通用接口等。客戶可利用該平臺開發(fā)和部署自己的軟件?？蛻敉ǔ２荒芄芾砘蚩刂浦纹脚_運行所需的低層資源，如網(wǎng)絡(luò)、服務(wù)器、 操作系統(tǒng)、存儲等，但可對應(yīng)用的運行環(huán)境進行配置，控制自己部署的應(yīng)用。c） 基礎(chǔ)設(shè)施即服務(wù)（IaaS）:在IaaS模式下，云服務(wù)商向客戶提供虛擬計算機、存儲、網(wǎng)絡(luò)等計算資源，提供訪問云計算基礎(chǔ)設(shè)施的服務(wù)接口?？蛻艨稍谶@些資源上部署或運行操作系統(tǒng)、中間件、數(shù)據(jù)庫和應(yīng)用軟件等?？蛻敉ǔ２荒芄芾砘蚩刂圃朴嬎慊A(chǔ)設(shè)施，但能控制自己部署的操 作系統(tǒng)、存儲和應(yīng)用，也能部分控制使用的網(wǎng)絡(luò)組件，如主機防火墻。4.3部署模式根據(jù)使用云計算平臺的客戶范圍的不同，將云計算分成私有云、公有云、社區(qū)云和混合云等四種部署模式:

a)私有云：云計算平臺僅提供給某個特定的客戶使用。a)私有云：云計算平臺僅提供給某個特定的客戶使用。公有云：云計算平臺的客戶范圍沒有限制。公有云的云計算基礎(chǔ)設(shè)施由云服務(wù)商擁有、管理和運營。社區(qū)云：云計算平臺限定為特定的客戶群體使用， 群體中的客戶具有共同的屬性(如職能、安全需求、策略等)。社區(qū)云的云計算基礎(chǔ)設(shè)施可由云服務(wù)商擁有、管理和運營，這種社區(qū)云稱為場外社區(qū)云；也可以由群體中的部分客戶自己建設(shè)、管理和運營，這種社區(qū)云稱為場內(nèi)社區(qū)云混合云：上述兩種或兩種以上部署模式的組合稱為混合云。4.4云計算的優(yōu)勢在云計算模式下，客戶不需要投入大量資金去建設(shè)、運維和管理自己專有的數(shù)據(jù)中心等基礎(chǔ)設(shè)施，只需要為動態(tài)占用的資源付費，即按需購買服務(wù)?？蛻舨捎迷朴嬎惴?wù)可獲得如下益處：減少開銷和能耗。采用云計算服務(wù)可以將硬件和基礎(chǔ)設(shè)施建設(shè)資金投入轉(zhuǎn)變?yōu)榘葱柚Ц斗?wù)費用，客戶只對使用的資源付費，無需承擔建設(shè)和維護基礎(chǔ)設(shè)施的費用，避免了自建數(shù)據(jù)中心的資金投入。云服務(wù)商使用虛擬化、動態(tài)遷移和工作負載整合等技術(shù)提升運行資源的利用效率，通過關(guān)閉空閑資源組件等降低能耗；多租戶共享機制、資源的集中共享可以滿足多個客戶不同時間段對資源的峰值要求，避免按峰值需求設(shè)計容量和性能而造成的資源浪費。資源利用效率的提高有效降低云計算服務(wù)的運營成本，減少能耗，實現(xiàn)綠色IT。增加業(yè)務(wù)的靈活性?？蛻舨捎迷朴嬎惴?wù)不需要建設(shè)專門的信息系統(tǒng)，縮短業(yè)務(wù)系實現(xiàn)業(yè)務(wù)系統(tǒng)的快速部使部署在云計算平能避免因需求突增統(tǒng)建設(shè)周期，使客戶能專注于業(yè)務(wù)的功能和創(chuàng)新，提升業(yè)務(wù)響應(yīng)速度和服務(wù)質(zhì)量，署。實現(xiàn)業(yè)務(wù)系統(tǒng)的快速部使部署在云計算平能避免因需求突增提高業(yè)務(wù)系統(tǒng)的可用性。云計算的資源池化和快速伸縮性特征，臺上的客戶業(yè)務(wù)系統(tǒng)可動態(tài)擴展，滿足業(yè)務(wù)需求資源的迅速擴充與釋放，而導致客戶業(yè)務(wù)系統(tǒng)的異?；蛑袛?。云計算的備份和多副本機制可提高業(yè)務(wù)系統(tǒng)的健壯性，避免數(shù)據(jù)丟失和業(yè)務(wù)中斷。提升專業(yè)性。云服務(wù)商具有專業(yè)技術(shù)團隊，能夠及時更新或采用先進技術(shù)和設(shè)備，可以提供更加專業(yè)的技術(shù)、管理和人員支撐，使客戶能獲得更加專業(yè)和先進的技術(shù)服務(wù)。5云計算的風險管理概述云計算作為一種新興的計算資源利用方式，還在不斷發(fā)展之中，傳統(tǒng)信息系統(tǒng)的安全問題在云計算環(huán)境中大多依然存在，與此同時還出現(xiàn)了一些新的信息安全問題和風險。本章通過描述云計算帶來的信息安全風險，提出了客戶采用云計算服務(wù)應(yīng)遵守的基本要求，從規(guī)劃準備、選擇云服務(wù)商及部署、運行監(jiān)管、退出服務(wù)等四個階段簡要描述了客戶采購和使用云計算服務(wù)的生命周期安全管理。云計算安全風險客戶對數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱傳統(tǒng)模式下，客戶的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)都位于客戶的數(shù)據(jù)中心，在客戶的直接管理和控制下。在云計算環(huán)境里，客戶將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云計算平臺上，失去了對這些數(shù)據(jù)和業(yè)務(wù)的直接控制能力?？蛻魯?shù)據(jù)以及在后續(xù)運行過程中生成、獲取的數(shù)據(jù)都處于云服務(wù)商的直接控制下，云服務(wù)商具有訪問、利用或操控客戶數(shù)據(jù)的能力。將數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云計算平臺后，安全性主要依賴于云服務(wù)商及其所采取的安全

將數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云計算平臺后，安全性主要依賴于云服務(wù)商及其所采取的安全措施。云服務(wù)商通常把云計算平臺的安全措施及其狀態(tài)視為知識產(chǎn)權(quán)和商業(yè)秘密，客戶在缺乏必要的知情權(quán)的情況下，難以了解和掌握云服務(wù)商安全措施的實施情況和運行狀態(tài)，難以對這些安全措施進行有效監(jiān)督和管理，不能有效監(jiān)管云服務(wù)商的內(nèi)部人員對客戶數(shù)據(jù)的非授權(quán)訪問和使用，增加了客戶數(shù)據(jù)和業(yè)務(wù)的風險?？蛻襞c云服務(wù)商之間的責任難以界定傳統(tǒng)模式下，按照誰主管誰負責、誰運行誰負責的原則，信息安全責任相對清楚。在云計算模式下，云計算平臺的管理和運行主體與數(shù)據(jù)安全的責任主體不同，相互之間的責任如何界定，缺乏明確的規(guī)定。不同的服務(wù)模式和部署模式、云計算環(huán)境的復雜性也增加了界定云服務(wù)商與客戶之間責任的難度。云服務(wù)商可能還會采購、使用其他云服務(wù)商的服務(wù)，如提供SaaS服務(wù)的云服務(wù)商可能將其服務(wù)建立在其他云服務(wù)商的PaaS或IaaS之上，這種情況導致了責任更加難以界定。5.2.3可能產(chǎn)生司法管轄權(quán)問題在云計算環(huán)境里，數(shù)據(jù)的實際存儲位置往往不受客戶控制， 客戶的數(shù)據(jù)可能存儲在境外數(shù)據(jù)中心，改變了數(shù)據(jù)和業(yè)務(wù)的司法管轄關(guān)系。注：一些國家的政府可能依據(jù)本國法律要求云服務(wù)商提供可以訪問這些數(shù)據(jù)中心的途徑，甚至要求云服務(wù)商提供位于他國數(shù)據(jù)中心的數(shù)據(jù)。5.2.4數(shù)據(jù)所有權(quán)保障面臨風險客戶將數(shù)據(jù)存放在云計算平臺上，沒有云服務(wù)商的配合很難獨自將數(shù)據(jù)安全遷出。 在服務(wù)終止或發(fā)生糾紛時，云服務(wù)商還可能以刪除或不歸還客戶數(shù)據(jù)為要挾， 損害客戶對數(shù)據(jù)的所有權(quán)和支配權(quán)。云服務(wù)商通過對客戶的資源消耗、通訊流量、繳費等數(shù)據(jù)的收集統(tǒng)計，可以獲取客戶的大量相關(guān)信息，對這些信息的歸屬往往沒有明確規(guī)定，容易引起糾紛。數(shù)據(jù)保護更加困難云計算平臺采用虛擬化等技術(shù)實現(xiàn)多客戶共享計算資源， 虛擬機之間的隔離和防護容易受到攻擊，跨虛擬機的非授權(quán)數(shù)據(jù)訪問風險突出。 云服務(wù)商可能會使用其他云服務(wù)商的服務(wù)，使用第三方的功能、性能組件，使云計算平臺結(jié)構(gòu)復雜且動態(tài)變化。隨著復雜性的增加，云計算平臺實施有效的數(shù)據(jù)保護措施更加困難， 客戶數(shù)據(jù)被未授權(quán)訪問、篡改、泄露和丟失的風險增大。數(shù)據(jù)殘留存儲客戶數(shù)據(jù)的存儲介質(zhì)由云服務(wù)商擁有， 客戶不能直接管理和控制存儲介質(zhì)。 當客戶退出云計算服務(wù)時，云服務(wù)商應(yīng)該完全刪除客戶的數(shù)據(jù)， 包括備份數(shù)據(jù)和運行過程中產(chǎn)生的客戶相關(guān)數(shù)據(jù)。目前，還缺乏有效的機制、標準或工具來驗證云服務(wù)商是否實施了完全刪除操作，客戶退出云計算服務(wù)后 其數(shù)據(jù)仍然可能完整保存或殘留在云計算平臺上。5.2.7容易產(chǎn)生對云服務(wù)商的過度依賴同樣往往不愿意同樣往往不愿意也難以從云計算平臺遷移回客戶的數(shù)據(jù)中心。 另外云服務(wù)商出于自身利益考慮，為客戶的數(shù)據(jù)和業(yè)務(wù)提供可遷移能力。這種對特定云服務(wù)商的潛在依賴可能導致客戶的業(yè)務(wù)隨云服務(wù)商的干擾或停止服務(wù)而停止運轉(zhuǎn)，也可能導致數(shù)據(jù)和業(yè)務(wù)遷移到其他云服務(wù)商的代價過高。由于云計算服務(wù)市場還未成熟，供客戶選擇的候選云服務(wù)商有限，也可能導致客戶對云服務(wù)商的過度依賴。云計算服務(wù)安全管理的主要角色及責任云計算服務(wù)安全管理的主要角色及責任如下：云服務(wù)商。為確保客戶數(shù)據(jù)和業(yè)務(wù)系統(tǒng)安全，云服務(wù)商應(yīng)先通過安全審查，才能向客戶提供云計算服務(wù)；積極配合客戶的運行監(jiān)管工作，對所提供的云計算服務(wù)進行運行監(jiān)視，確保持續(xù)滿足客戶安全需求；合同關(guān)系結(jié)束時應(yīng)滿足客戶數(shù)據(jù)和業(yè)務(wù)的遷移需求，確保數(shù)據(jù)安全?？蛻?。從已通過安全審查的云服務(wù)商中選擇適合的云服務(wù)商?？蛻粜璩袚渴鸹蜻w移到云計算平臺上的數(shù)據(jù)和業(yè)務(wù)的最終安全責任；客戶應(yīng)開展云計算服務(wù)的運行監(jiān)管活動，根據(jù)相關(guān)規(guī)定開展信息安全檢査。第三方評估機構(gòu)。對云服務(wù)商及其提供的云計算服務(wù)開展獨立的安全評估。云計算服務(wù)安全管理基本要求采用云計算服務(wù)期間，客戶和云服務(wù)商應(yīng)遵守以下要求：安全管理責任不變。信息安全管理責任不應(yīng)隨服務(wù)外包而轉(zhuǎn)移，無論客戶數(shù)據(jù)和業(yè)務(wù)是位于內(nèi)部信息系統(tǒng)還是云服務(wù)商的云計算平臺上，客戶都是信息安全的最終責任人。資源的所有權(quán)不變?？蛻籼峁┙o云服務(wù)商的數(shù)據(jù)、設(shè)備等資源，以及云計算平臺上客戶業(yè)務(wù)系統(tǒng)運行過程中收集、產(chǎn)生、存儲的數(shù)據(jù)和文檔等都應(yīng)屬客戶所有，客戶對這些資源的訪問、利用、支配等權(quán)限不受限制。司法管轄關(guān)系不變?？蛻魯?shù)據(jù)和業(yè)務(wù)的司法管轄權(quán)不應(yīng)因采用云計算服務(wù)而改變。除非中國法律法規(guī)有明確規(guī)定，云服務(wù)商不得依據(jù)其他國家的法律和司法要求將客戶數(shù)據(jù)及相關(guān)信息提供給他國政府及組織。安全管理水平不變。承載客戶數(shù)據(jù)和業(yè)務(wù)的云計算平臺應(yīng)按照政府信息系統(tǒng)安全管理要求進行管理，為客戶提供云計算服務(wù)的云服務(wù)商應(yīng)遵守政府信息系統(tǒng)安全管理政策及標準。堅持先審后用原則。云服務(wù)商應(yīng)具備保障客戶數(shù)據(jù)和業(yè)務(wù)系統(tǒng)安全的能力，并通過安全審查。客戶應(yīng)選擇通過審查的云服務(wù)商，并監(jiān)督云服務(wù)商切實履行安全責任，落實安全管理和防護措施。云計算服務(wù)生命周期概述客戶采購和使用云計算服務(wù)的過程可分為四個階段 ：規(guī)劃準備、選擇服務(wù)商與部署、運行監(jiān)管、退出服務(wù)，如圖1所示。變更服務(wù)商

準備規(guī)劃>選擇服務(wù)商與部署運行監(jiān)管準備規(guī)劃>選擇服務(wù)商與部署運行監(jiān)管>退岀服務(wù)圖1云計算服務(wù)的生命周期5.5.2規(guī)劃準備在規(guī)劃準備階段，客戶應(yīng)分析采用云計算服務(wù)的效益，確定自身的數(shù)據(jù)和業(yè)務(wù)類型，判定是否適合采用云計算服務(wù)；根據(jù)數(shù)據(jù)和業(yè)務(wù)的類型確定云計算服務(wù)的安全能力要求；根據(jù)云計算服務(wù)的特點進行需求分析，形成決策報告。5.5.3選擇服務(wù)商與部署在選擇服務(wù)商與部署階段，客戶應(yīng)根據(jù)安全需求和云計算服務(wù)的安全能力選擇云服務(wù)商，與云服務(wù)商協(xié)商合同(包括服務(wù)水平協(xié)議、安全需求、保密要求等內(nèi)容)，完成數(shù)據(jù)和業(yè)務(wù)向云計算平臺的部署或遷移。5.5.4運行監(jiān)管在運行監(jiān)管階段，客戶應(yīng)指導監(jiān)督云服務(wù)商履行合同規(guī)定的責任義務(wù)，指導督促業(yè)務(wù)系統(tǒng)使用者遵守政府信息系統(tǒng)安全管理政策及標準，共同維護數(shù)據(jù)、業(yè)務(wù)及云計算環(huán)境的安全。5.5.5退出服務(wù)在退出云計算服務(wù)時，客戶應(yīng)要求云服務(wù)商履行相關(guān)責任和義務(wù)，確保退出云計算服務(wù)階段數(shù)據(jù)和業(yè)務(wù)安全，如安全返還客戶數(shù)據(jù)、徹底清除云計算平臺上的客戶數(shù)據(jù)等。需變更云服務(wù)商時，客戶應(yīng)按要求選擇新的云服務(wù)商，重點關(guān)注云計算服務(wù)遷移過程的數(shù)據(jù)和業(yè)務(wù)安全；也應(yīng)要求原云服務(wù)商履行相關(guān)責任和義務(wù)。6規(guī)劃準備6.1概述5.2對云計算面臨的安全風險及新問題進行了闡述，云計算服務(wù)并非適合所有的客戶，更不是所有應(yīng)用都適合部署到云計算環(huán)境。是否采用云計算服務(wù)，特別是采用社會化的云計算服務(wù)，應(yīng)該綜合平衡采用云計算服務(wù)后獲得的效益、可能面臨的信息安全風險、可以采取的安全措施后做出決策。只有當安全風險在客戶可以承受、容忍的范圍內(nèi)，或安全風險引起的信息安全事件有適當?shù)目刂苹蜓a救措施時方可采用云計算服務(wù)。6.2效益評估效益是采用云計算服務(wù)的最主要動因，只有在可能獲得明顯的經(jīng)濟和社會效益，或初期效益不一定十分明顯，但從發(fā)展的角度看潛在效益很大，并且信息安全風險可控時，才宜采用云計算服務(wù)。云計算服務(wù)的效益主要從以下幾個方面進行分析比較：建設(shè)成本。傳統(tǒng)的自建信息系統(tǒng)，需要建設(shè)運行環(huán)境、采購服務(wù)器等硬件設(shè)施、定制開發(fā)或采購軟件等；采用云計算服務(wù)，初期資金投入可能包括租用網(wǎng)絡(luò)帶寬、客戶采用的安全控制措施等。運維成本。傳統(tǒng)的自建信息系統(tǒng)，日常運行需要考慮設(shè)備運行能耗、設(shè)備維護、升級改造、增加硬件設(shè)備、擴建機房等成本；采用云計算服務(wù)，僅需為使用的服務(wù)和資源付費。人力成本。傳統(tǒng)的自建信息系統(tǒng)，需要維持相應(yīng)數(shù)量的專業(yè)技術(shù)人員，包括信息中心等專業(yè)機構(gòu)；采用云計算服務(wù)，僅需適當數(shù)量的專業(yè)技術(shù)和管理人員。性能和質(zhì)量。云計算服務(wù)由具備相當專業(yè)技術(shù)水準的云服務(wù)商提供，云計算平臺具有冗余措施、先進的技術(shù)和管理、完整的解決方案等特點，應(yīng)分析采用云計算服務(wù)后對業(yè)務(wù)的性能和質(zhì)量帶來的優(yōu)勢。創(chuàng)新性。通過采用云計算服務(wù)，客戶可以將更多的精力放在如何提升核心業(yè)務(wù)能力、創(chuàng)新公眾服務(wù)上，而不是業(yè)務(wù)的技術(shù)實現(xiàn)和實施；可以快速部署滿足新需求的業(yè)務(wù)，并按需隨時調(diào)整。6.3政府信息分類信息分類原則客戶將信息部署或遷移到云計算平臺之前，應(yīng)先明確信息的類型。本標準中的政府信息是指政府機關(guān)，包括受政府委托代行政府機關(guān)職能的機構(gòu)，在履行職責過程中，以及政府合同單位在完成政府委托任務(wù)過程中產(chǎn)生、獲取的，通過計算機等電子裝置處理、保存、傳輸?shù)臄?shù)據(jù)，相關(guān)的程序、文檔等。涉密信息的處理、保存、傳輸、利用按國家保密法規(guī)執(zhí)行。本標準將非涉密政府信息分為敏感信息、公開信息兩種類型。敏感信息6.3.2.1敏感信息的概念敏感信息指不涉及國家秘密，但與國家安全、經(jīng)濟發(fā)展、社會穩(wěn)定，以及企業(yè)和公眾利益密切相關(guān)的信息，這些信息一旦未經(jīng)授權(quán)披露、丟失、濫用、篡改或銷毀可能造成以下后果：損害國防、國際關(guān)系；損害國家財產(chǎn)和公共利益，以及個人財產(chǎn)或人身安全；影響國家預防和打擊經(jīng)濟與軍事間諜、政治滲透、有組織犯罪等；影響行政機關(guān)依法調(diào)查處理違法、瀆職行為，或涉嫌違法、瀆職行為；干擾政府部門依法公正地開展監(jiān)督、管理、檢查、審計等行政活動，妨礙政府部門履行職責；危害國家關(guān)鍵基礎(chǔ)設(shè)施、政府信息系統(tǒng)安全；影響市場秩序，造成不公平競爭，破壞市場規(guī)律；可推論出國家秘密事項；侵犯個人隱私、企業(yè)商業(yè)秘密和知識產(chǎn)權(quán)；損害國家、企業(yè)、個人的其他利益和聲譽。6.322敏感信息的范圍敏感信息包括但不限于：應(yīng)該公開但正式發(fā)布前不宜泄露的信息，如規(guī)劃、統(tǒng)計、預算、招投標等的過程信息；執(zhí)法過程中生成的不宜公開的記錄文檔；一定精度和范圍的國家地理、資源等基礎(chǔ)數(shù)據(jù)；個人信息，或通過分析、統(tǒng)計等方法可以獲得個人隱私的相關(guān)信息；企業(yè)的商業(yè)秘密和知識產(chǎn)權(quán)中不宜公開的信息；關(guān)鍵基礎(chǔ)設(shè)施、政府信息系統(tǒng)安全防護計劃、策略、實施等相關(guān)信息；行政機構(gòu)內(nèi)部的人事規(guī)章和工作制度；政府部門內(nèi)部的人員晉升、獎勵、處分、能力評價等人事管理信息；根據(jù)國際條約、協(xié)議不宜公開的信息；法律法規(guī)確定的不宜公開信息；單位根據(jù)國家要求或本單位要求認定的敏感信息。公開信息公開信息指不涉及國家秘密且不是敏感信息的政府信息，包括但不限于：行政法規(guī)、規(guī)章和規(guī)范性文件，發(fā)展規(guī)劃及相關(guān)政策；統(tǒng)計信息，財政預算決算報告，行政事業(yè)性收費的項目、依據(jù)、標準；政府集中采購項目的目錄、標準及實施情況；行政許可的事項、依據(jù)、條件、數(shù)量、程序、期限以及申請行政許可需要提交的全部材料目錄及辦理流程；重大建設(shè)項目的批準和實施情況；扶貧、教育、醫(yī)療、社會保障、促進就業(yè)等方面的政策、措施及其實施情況；突發(fā)公共事件的應(yīng)急預案、預警信息及應(yīng)對情況；環(huán)境保護、公共衛(wèi)生、安全生產(chǎn)、食品藥品、產(chǎn)品質(zhì)量的監(jiān)督檢查情況等；其他根據(jù)相關(guān)法律法規(guī)應(yīng)該公開的信息。6.4政府業(yè)務(wù)分類業(yè)務(wù)分類原則確定了信息類型后，還需要對承載相關(guān)信息的業(yè)務(wù)進行分類。 根據(jù)業(yè)務(wù)不能正常開展時可能造成的影響范圍和程度，本標準將政府業(yè)務(wù)劃分為一般業(yè)務(wù)、 重要業(yè)務(wù)、關(guān)鍵業(yè)務(wù)等三種類型。一般業(yè)務(wù)一般業(yè)務(wù)出現(xiàn)短期服務(wù)中斷或無響應(yīng)不會影響政府部門的核心任務(wù),與生活造成對公眾的日常工作的影響范圍、程度有限。通常政府部門、社會公眾對一般業(yè)務(wù)中斷的容忍度以天為單位衡量。643重要業(yè)務(wù)重要業(yè)務(wù)一旦受到干擾或停頓，會對政府決策和運轉(zhuǎn)、對公服務(wù)產(chǎn)生較大影響，在一定范圍內(nèi)影響公眾的工作生活，造成財產(chǎn)損失，引發(fā)少數(shù)人對政府的不滿情緒。此類業(yè)務(wù)出現(xiàn)問題，造成的影響范圍、程度較大。滿足以下條件之一的業(yè)務(wù)可被認為是重要業(yè)務(wù)：—政府部門對業(yè)務(wù)中斷的容忍程度小于 24h