DB32T-政務(wù)“一朵云”安全管理體系規(guī)范 第1部分：安全運行監(jiān)測編制說明

《政務(wù)“一朵云”安全管理體系規(guī)范第1部分：安全運行監(jiān)測》（征求意見稿）編制說明一、目的意義黨的二十大報告中提出“必須堅定不移貫徹總體國家安全觀”，中共中央、國務(wù)院印發(fā)的《數(shù)字中國建設(shè)整體布局規(guī)劃》將“筑牢可信可控的數(shù)字安全屏障”列為強化數(shù)字中國的關(guān)鍵能力之一，提出切實維護網(wǎng)絡(luò)安全，完善網(wǎng)絡(luò)安全法律法規(guī)和政策體系。網(wǎng)絡(luò)安全法第五章監(jiān)測預(yù)警與應(yīng)急處置中明確提出負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門應(yīng)當建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，并按照規(guī)定報送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息。政務(wù)云是我省承載政務(wù)應(yīng)用、政務(wù)數(shù)據(jù)等的基礎(chǔ)算力底座，隨著政務(wù)信息化不斷發(fā)展，信息系統(tǒng)集約上云部署，數(shù)據(jù)加快匯聚歸集，隨之而來的對于政務(wù)云等基礎(chǔ)設(shè)施運行管理與安全防護難度加大，易遭受攻擊面廣，受安全攻擊影響大。全省政務(wù)“一朵云”建設(shè)方案對政務(wù)云安全體系建設(shè)提出更高要求，政務(wù)云面對的網(wǎng)絡(luò)安全形勢和態(tài)勢愈加嚴峻、緊迫，亟需建立健全科學高效的主動監(jiān)測預(yù)警體系，規(guī)范運行和管理，進一步加強和完善全省安全運行一體協(xié)同聯(lián)動工作機制。當前，在政務(wù)云領(lǐng)域與安全運行監(jiān)測方面相關(guān)的標準規(guī)范仍是空白，因此，加快制定全省政務(wù)云安全運行監(jiān)測標準，一方面是順應(yīng)國家對數(shù)字政府高質(zhì)量建設(shè)的要求，另一方面也是對國家標準化建設(shè)的有力落實。二、任務(wù)來源本標準文件由江蘇省大數(shù)據(jù)管理中心申報。2023年8月，江蘇省市場監(jiān)督管理局發(fā)布《省市場監(jiān)管局關(guān)于下達2023年度江蘇省地方標準項目計劃的通知》，批準《電子政務(wù)外網(wǎng)安全管理體系規(guī)范》立項，標準項目承擔單位為江蘇省大數(shù)據(jù)管理中心。標準編制啟動后，根據(jù)新一輪機構(gòu)改革調(diào)整設(shè)置情況，聽取政府數(shù)字化轉(zhuǎn)型各方專家和設(shè)區(qū)市意見建議，進一步明確標準制定目標和適用范圍，增強標準的針對性和實操性。為使標準內(nèi)容更加準確符合指導(dǎo)全省政務(wù)云安全運行的實際定位，將標準名稱修改為《政務(wù)“一朵云”安全管理體系規(guī)范》。本次立項的《政務(wù)“一朵云”安全管理體系規(guī)范》共有3個部分，本標準文件是第1部分“安全運行監(jiān)測”，標準的編制周期為1年。三、編制過程本標準主要編制工作過程如下：成立標準編制小組2023年3月，省大數(shù)據(jù)管理中心成立標準編寫小組，基于前期預(yù)研，結(jié)合江蘇實際情況和政務(wù)云場景，撰寫標準立項申請書、項目建議書，提交省市監(jiān)局；2023年9月，項目任務(wù)下達后，溝通明確標準研制背景、研制周期、任務(wù)分工等內(nèi)容。確定標準章節(jié)框架2023年10月，標準編制小組搭建了章節(jié)框架，包括總體要求、基本原則、基本要求、資產(chǎn)監(jiān)測、風險監(jiān)測、可用性監(jiān)測、安全事件監(jiān)測、重保與應(yīng)急、安全協(xié)同、安全檢查、供應(yīng)鏈安全、運行效果評價、安全審計、安全管理等，并根據(jù)需求變化及時調(diào)整、更新。研究分析相關(guān)資料2023年11月-12月，標準編制小組通過匯總分析百余份國家、行業(yè)、江蘇省級法律法規(guī)、政策文件、標準規(guī)范等，提煉政務(wù)云基礎(chǔ)設(shè)施安全運行監(jiān)測工作重點，編制運行監(jiān)測規(guī)范要求，形成標準初稿。進行多輪增減調(diào)整2024年1月-4月，標準編制小組對標準內(nèi)容進行逐條審閱，結(jié)合江蘇省政務(wù)云建設(shè)實際情況及與省大數(shù)據(jù)管理中心內(nèi)、外部專家多輪溝通討論意見，開展23輪增減調(diào)整，優(yōu)化運行監(jiān)測具體細節(jié)，更貼合江蘇省政務(wù)云實際需求。開展充分溝通研討2024年5月-6月，標準研制小組共組織召開8次專門研討會議，以及標準研制小組內(nèi)部的數(shù)十次線上線下討論會議，廣泛吸納相關(guān)意見。標準編制小組按照收到的意見，補充查找相關(guān)資料，進一步修訂運行監(jiān)測規(guī)范描述，規(guī)范標準格式，并開展多次討論會議等，持續(xù)修訂完善標準。吸納的內(nèi)部專家意見包括：增加政務(wù)云出入口可用性監(jiān)測要求，增加設(shè)備設(shè)施故障事件監(jiān)測要求，優(yōu)化橫向協(xié)同、縱向協(xié)同相關(guān)要求，增補網(wǎng)信辦1小時上報制要求，強調(diào)主動防御能力等方面。四、主要內(nèi)容和技術(shù)指標確立本文件深入總結(jié)、分析國家、行業(yè)以及江蘇省發(fā)布的政策中有關(guān)政務(wù)云基礎(chǔ)設(shè)施安全運行監(jiān)測的要求，規(guī)定了政務(wù)云基礎(chǔ)設(shè)施安全運行監(jiān)測工作的總體要求、基本原則、基本要求、資產(chǎn)監(jiān)測、風險監(jiān)測、可用性監(jiān)測、安全事件監(jiān)測等內(nèi)容，為政務(wù)云管理機構(gòu)開展政務(wù)云基礎(chǔ)設(shè)施安全運行管理工作提供指導(dǎo)。本文件以運行監(jiān)測為切面，梳理省政務(wù)云涉及的兩類對象，7類資產(chǎn)，結(jié)合國家法律法規(guī)、政務(wù)行業(yè)網(wǎng)絡(luò)安全政策及網(wǎng)信辦等監(jiān)管單位要求，明確11項運行監(jiān)測工作，統(tǒng)籌體系化、主動防御、平戰(zhàn)融合理念，推動政務(wù)云基礎(chǔ)設(shè)施安全保障落實。五、與法律法規(guī)和相關(guān)標準的關(guān)系本文件遵循《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》、《密碼法》、《網(wǎng)絡(luò)安全等級保護條例》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》、《商用密碼管理條例》等國家相關(guān)法律法規(guī)要求，參照《省政府辦公廳關(guān)于印發(fā)江蘇省政務(wù)“一朵云”建設(shè)總體方案的通知》等國家、行業(yè)、地方數(shù)字政府相關(guān)政策，引用《信息安全技術(shù)云計算服務(wù)安全能力要求》（GB/T31168-2023）、《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》（GB/T39204-2022）、《國家電子政務(wù)外網(wǎng)安全監(jiān)測體系技術(shù)規(guī)范與實施指南》（GW0203-2014）等國家、行業(yè)標準、地方標準內(nèi)容，整理歸納出政務(wù)云基礎(chǔ)設(shè)施安全運行監(jiān)測規(guī)范要求。六、作為推薦性或強制性標準的建議建議作為推薦性標準發(fā)布實施。七、預(yù)期效果及貫徹實施標準的要求、措施等建議《政務(wù)“一朵云”安全管理體系規(guī)范第1部分安全運行監(jiān)測》的編制與實施有助于加強政務(wù)云等基礎(chǔ)設(shè)施安全管理，持續(xù)提升安全運行監(jiān)測能力和水平，提高安全風險預(yù)判、應(yīng)對、處置能力，保障政務(wù)云基礎(chǔ)設(shè)施及云上承載信息系統(tǒng)安全穩(wěn)定運行，支撐數(shù)字政府建設(shè)高質(zhì)量發(fā)展?！墩?wù)“一朵云”安全管理體系規(guī)范第1部分安全運行監(jiān)測》標準的使用對象為江蘇省內(nèi)政務(wù)云管理機構(gòu)、使用部門和相關(guān)云服務(wù)商。標準發(fā)布以后將對標準使用單位進行培訓、宣貫，對標準進行全面解讀、推廣；各標準使