DB37 T 4647-2023 政务云平台监管基本要求.pdf

1、 ICS 35.240.99 CCS L 67 37 山东省地方标准 DB37/T 46472023 政务云平台监管基本要求 Basic requirements for government cloud platform regulatory2023 08 31 发布2023 09 30 实施山东省市场监督管理局发 布 DB37/T 46472023 I 目次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 缩略语.1 5 监管框架.1 6 监管角色.2 监管方.2 6.1 监管对象.2 6.2 7 监管方式.2 概述.2 7.1 自动获取.2 7.2 人工获取.3

2、 7.3 8 监管内容.3 对云服务商的监管内容.3 8.1 对云服务使用方的监管内容.4 8.2 参考文献.5 DB37/T 46472023 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由山东省大数据局提出、归口并组织实施。DB37/T 46472023 1 政务云平台监管基本要求 1 范围 本文件规定了政务云平台的监管框架、监管角色、监管方式和监管内容。本文件适用于对各政务云平台的监管。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而

3、构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 324002015 信息技术 云计算 概览与词汇 GB/T 379722019 信息安全技术 云计算服务运行监管框架 3 术语和定义 GB/T 324002015和GB/T 379722019界定的术语和定义适用于本文件。4 缩略语 下列缩略语适用于本文件。CPU：中央处理器（Central Processing Unit）GPU：图形处理器（Graphics Processing Unit）IP：网际互联协议（Internet Proto

4、col）5 监管框架 政务云平台的监管框架见图1，包括监管角色、监管方式、监管内容三部分：a)监管角色包括监管方和监管对象，监管对象包括云服务商和云服务使用方；b)监管方式包括自动获取和人工获取；c)监管内容包括：1)对云服务商的监管：包括政务云平台运行情况、政务云平台服务情况、重大变更情况、安全保障情况、应急响应情况等；2)对云服务使用方的监管：包括资源使用情况、资源利用情况、优化调整情况、安全措施实施情况等。DB37/T 46472023 2 图1 监管框架 6 监管角色 监管方 6.1 应制定服务监管要求，对云服务商和云服务使用方进行监管，将监管评估结果反馈云服务商、云服务使用方，并督导

5、云服务商、云服务使用方及时整改。监管对象 6.2 6.2.1 云服务商 对云服务商的要求包括但不限于：a)应按照监管方要求提供相关监管接口和材料，并配合监管方做好监管材料的现场核验；b)应根据监管评估结果采取相关措施及时整改，并将整改情况反馈监管方、云服务使用方；c)应按照与云服务使用方的服务协议，做好政务云服务的提供和运行保障工作，配合云服务使用方做好政务云服务的优化调整。6.2.2 云服务使用方 应配合监管方做好政务云服务使用情况的监管，根据监管评估结果采取相关措施及时整改，并将整改情况反馈监管方。7 监管方式 概述 7.1 政务云平台监管数据、监管材料的获取方式包括自动获取和人工获取两种

6、方式。自动获取 7.2 自动获取方式包括接口调用、系统日志、探针等方式。DB37/T 46472023 3 人工获取 7.3 人工获取方式包括线下材料提交、手工上报等方式。8 监管内容 对云服务商的监管内容 8.1 8.1.1 概述 监管方应对云服务商的政务云平台运行情况、政务云平台服务情况、重大变更情况、安全保障情况、应急响应情况等进行监管。8.1.2 政务云平台运行情况 政务云平台运行情况监管内容包括但不限于：a)计算资源：包括计算资源整体运行状态和运行时长、计算资源使用和利用情况、镜像信息、告警事件等；b)存储资源：包括存储资源整体使用情况、存储容量情况、存储资源读写速率、告警事件等；c

7、)网络资源：包括整体网络结构、网络健康情况、网络流量情况、网络接收和发送数据速率、IP 地址、告警事件等；d)机房环境：包括机房基础设施运行情况、能源消耗情况等。8.1.3 政务云平台服务情况 政务云平台服务情况监管内容包括但不限于：a)服务的可用情况：包括服务交付符合率、服务可用率、资源利用率的监控、资源可持续性等；b)服务的可靠情况：包括服务中断次数、服务的恢复能力、关键设施冗余、容灾能力等；c)服务的响应情况：包括响应机制执行情况、服务请求响应及时性、资源配置及时性、资源弹性和可扩展性等。8.1.4 重大变更情况 重大变更情况监管内容包括但不限于：a)云服务商的变更：包括云服务商名称、主

8、体等的变更；b)云服务商合作方的变更：包括电信运营商、系统软件合作方、运维服务方、安全服务方等的变更；c)政务云平台架构的重大变更：包括网络架构、系统架构、安全架构等的变更；d)政务云平台基础设施的变更：包括机房环境、服务器、网络设备、存储设备、安全设备等的重大变更；e)政务云平台软件版本的变更：包括政务云平台支撑组件、运维管理平台、运营管理平台等的变更。8.1.5 安全保障情况 安全保障情况监管内容包括但不限于：a)安全管理制度制定及实施情况；b)安全事件及安全事件响应情况；DB37/T 46472023 4 c)安全控制措施提供情况：包括保障云平台基础环境、数据、网络、应用等采取的安全控制

9、措施，具体监管内容和监管要求参见 GB/T 379722019 的表 B.1；d)安全策略配置及更新情况；e)安全评估情况：包括安全等级保护测评、商用密码应用安全性测评、云计算服务安全评估、安全检查开展情况、重大安全事件上报及时性、安全事件处理及时性、异常安全事件自监控情况、风险防护能力和处置情况等。8.1.6 应急响应情况 应急响应情况监管内容包括但不限于：a)应急响应计划制定及更新情况；b)应急演练开展情况；c)应急响应情况的处置机制、过程及结果；注：应急响应事件包括政务云平台宕机、网络线路故障、数据泄露事件、非授权访问事件、安全攻击事件、自然灾害事件、机房环境异常事件等。对云服务使用方的

10、监管内容 8.2 8.2.1 概述 监管方应对云服务使用方的资源使用情况、资源利用情况、优化调整情况、安全措施实施情况等进行监管。8.2.2 资源使用情况 资源使用情况监管内容包括但不限于：a)计算资源：包括 CPU、GPU、内存等计算资源的使用量及增量等；b)存储资源：包括存储使用量及增量等；c)网络资源：包括网络带宽、IP 地址等网络资源的使用量及增量等；d)资源变更：包括上述资源的主体变更、用途变化等。8.2.3 资源利用情况 资源利用情况监管内容包括但不限于CPU、GPU、内存、存储、网络等资源的利用情况。8.2.4 优化调整情况 优化调整情况监管内容包括但不限于资源释放及资源扩缩容情况等。8.2.5 安全措施实施情况 安全措施实施情况监管内容包括但不限于安全控制措施情况、安全检查情况、安全事件响应情况、漏洞修复情况、系统升级情况、弱口令整改情况等。DB37/T 46472023 5 参考文献 1 GB/T 311672014 信息安全技术 云计算服务安全指南 2 GB/T 338502017 信息技术服务 质量评价指标体系 3 GB/T 34080.12017 基于云计算的电子政务公共平台安全规范 第1部分：总体要求 4 GB/T 377362019 信息技术 云计算 云资源监控通用要求 5 GB/T 379382019 信息技术 云资源监控指标体系