增強風險意識責任意識 加強采購使用云服務安全管理

　　為加強黨政部門云計算服務網絡安全管理，中央網信辦印發了《關于加強黨政部門云計算服務網絡安全管理的意見》(中網辦發文[2014]14號，簡稱《意見》)。《意見》對采購使用云計算服務的黨政部門及云服務商具有重要的指導意義。記者就《意見》出臺的有關背景、目的、主要措施等，采訪了中央網絡安全和信息化領導小組辦公室網絡安全協調局張恒同志，他對《意見》有關內容進行了解讀。

　　記者：當前云計算服務在各級黨政部門中的使用情況如何?

　　張恒：黨政部門采購云計算服務可以將各部門的IT資源整合，有利于政務信息系統的整體部署和共建共用，便于信息資源的匯聚共享，降低信息化建設成本，有利于推動電子政務集約化發展。國務院印發《關于促進云計算創新發展培育信息產業新業態的意見》，明確要求政府部門要加大采購云計算服務的力度。目前，云計算技術已在全國多個政府部門應用，政府采購和使用云計算服務的案例逐年增多，如國家食品藥品監管局的藥品監管云服務系統，使藥品流通效率和政府監管效率得到大幅提升;北京、上海、濟南、成都、無錫、襄陽等城市通過建設電子政務云，以按需分配、購買服務的方式向各部門提供存儲、計算等云計算資源，將各部門電子政務系統接入云計算平臺之中，實現了不同系統間信息的整合、共享、交換和業務協同，節省了建設和運營成本。

　　記者：黨政部門采用云計算服務面臨哪些安全風險?

　　張恒：黨政部門采購和使用云計算服務有利于提高資源利用率和為民服務效率與水平，同時，安全風險也很突出：如用戶對數據、系統的控制管理能力減弱，在云計算服務模式下，云計算服務所需的軟硬件資源由云服務商擁有、管理和運維，用戶很難直接接觸到基礎設施，很難準確知道數據在哪，減弱了用戶對數據和系統的控制力。一些單位可能由于服務的外包而放松安全管理，而云計算平臺的日益復雜也凸顯控制和監管手段的不足;各家云服務商采用不同技術標準建設云計算平臺，造成了不同平臺之間缺乏互操作性，云服務商可能會采用一些專有技術或接口來處理數據，這就給用戶數據和業務遷移帶來了困難，用戶容易形成對云服務商的過度依賴。因此，各級黨政部門應增強風險意識、責任意識，加強采購和使用云計算服務過程中的網絡安全管理。

　　記者：《意見》規定了哪些具體措施保障黨政部門應用云計算服務的網絡安全?

　　張恒：《意見》指出，各級黨政部門務必高度重視云計算服務網絡安全管理工作，重點從充分認識加強云計算服務網絡安全管理的必要性、明確云計算服務網絡安全管理的基本要求、合理確定采用云計算服務的數據和業務范圍、統一組織云計算服務網絡安全審查、加強云計算服務過程的持續指導和監督以及強化保密審查和安全意識培養等方面，對黨政部門采購使用云計算服務提出了安全管理要求。

　　《意見》要求，黨政部門在采購使用云計算服務過程中，應遵守并通過合同等手段要求為黨政部門提供云計算服務的服務商遵守“四不”要求，即安全管理責任不變、數據歸屬關系不變、安全管理標準不變、敏感信息不出境。

　　《意見》要求合理確定采用云計算服務的數據和業務范圍，黨政部門要參照《信息安全技術 云計算服務安全指南》等國家標準，對數據的敏感程度、業務的重要性進行分類，全面分析、綜合平衡采用云計算服務后的安全風險和效益，科學規劃和確定采用云計算服務的數據、業務范圍和進度安排。對于包含大量敏感信息和公民隱私信息、直接影響黨政機關運轉和公眾生活工作的關鍵業務，應在確保安全的前提下再考慮向云計算平臺遷移。對于安全保護等級四級以上的信息系統，以及一旦出現問題可能造成重大經濟損失，甚至危害國家安全的業務，不宜采用社會化云計算服務。

　　《意見》指出，中央網信辦將會同有關部門建立云計算服務安全審查機制，統一組織黨政部門云計算服務網絡安全審查，并要求黨政部門在采購云計算服務時，應逐步通過采購文件或合同等手段，明確要求服務商應通過安全審查。同時，鼓勵重點行業優先采購和使用通過安全審查的服務商提供的云計算服務。

　　此外，《意見》還就加強云計算服務過程的持續指導和監督以及強化保密審查和安全意識培養等問題作出要求。