《政务云平台安全管理规范(试行)》.docxVIP

《政务云平台安全管理规范(试行)》

政务云平台安全管理遵循“安全可控、责任明确、动态防护、全面覆盖”原则，适用于各级政务部门使用的云平台及依托平台部署的政务信息系统，涵盖基础设施、数据资源、应用服务等全生命周期安全管理。参与主体包括云服务商、政务部门（含使用单位）、第三方服务商，各方需签订安全责任协议，明确安全义务与边界。

一、安全责任体系

云服务商承担平台基础设施、基础软件的安全主体责任，需具备工信部云计算服务安全能力认证（增强级）或同等资质，设立专门安全管理机构，配备不少于平台运维人员10%的专职安全人员，定期开展安全培训（每年不少于40课时）。政务部门作为使用单位，负责本部门业务系统及数据的安全管理，指定安全责任人，建立内部安全管理制度，审核云服务商安全承诺的履约情况。第三方服务商（如应用开发商）需遵守平台安全接入要求，签订安全保密协议，配合开展安全检测。

二、基础设施安全

物理环境需符合《电子信息系统机房设计规范》（GB50174）A级标准，机房应部署双路市电+备用发电机+UPS（续航≥2小时）供电系统，设置电子门禁、视频监控（存储≥90天）、温湿度监控（温度23±1℃，湿度40%-55%）、气体灭火装置，禁止非授权人员进入核心区域。网络安全方面，平台需划分管理网、业务网、存储网等逻辑隔离区域，边界部署硬件防火墙（支持国密算法）、入侵检测/防御系统（IDS/IPS），实现