DB37-T 4647-2023 政务云平台监管基本要求

35.240.99CCS

L

6737 DB37/T

4647—2023政务云平台监管基本要求Basic

platform

regulatory2023

—

—

2023

—

—

山东省市场监督管理局 发

布DB37/T

4647—2023 前言

.................................................................................

II1

...............................................................................

12 规范性引用文件

.....................................................................

13 术语和定义

.........................................................................

14 缩略语

.............................................................................

15 监管框架

...........................................................................

16 监管角色

...........................................................................

26.1 监管方

.........................................................................

26.2 监管对象

.......................................................................

27 监管方式

...........................................................................

27.1 概述

...........................................................................

27.2 自动获取

.......................................................................

27.3 人工获取

.......................................................................

38 监管内容

...........................................................................

38.1 对云服务商的监管内容

...........................................................

38.2 对云服务使用方的监管内容

.......................................................

4参考文献

..............................................................................

5DB37/T

4647—2023 本文件按照GB/T

—《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由山东省大数据局提出、归口并组织实施。IIDB37/T

4647—20231 范围本文件规定了政务云平台的监管框架、监管角色、监管方式和监管内容。本文件适用于对各政务云平台的监管。2 规范性引用文件文件。GB/T

32400—2015信息技术云计算 概览与词汇GB/T

37972—2019 信息安全技术 云计算服务运行监管框架3 术语和定义GB/T

32400—2015和GB/T

37972—2019界定的术语和定义适用于本文件。4 缩略语下列缩略语适用于本文件。CPU：中央处理器（

Processing

Unit）GPU：图形处理器（

Processing

Unit）IP：网际互联协议（Internet

Protocol）5 监管框架政务云平台的监管框架见图1，包括监管角色、监管方式、监管内容三部分：a)

监管角色包括监管方和监管对象，监管对象包括云服务商和云服务使用方；b)

监管方式包括自动获取和人工获取；c)

监管内容包括：1)

对云服务商的监管：包括政务云平台运行情况、政务云平台服务情况、重大变更情况、安全保障情况、应急响应情况等；2)

对云服务使用方的监管：包括资源使用情况、资源利用情况、优化调整情况、安全措施实施情况等。DB37/T

4647—2023图1 监管框架6 监管角色6.1 监管方务使用方，并督导云服务商、云服务使用方及时整改。6.2 监管对象6.2.1 云服务商对云服务商的要求包括但不限于：a)

应按照监管方要求提供相关监管接口和材料，并配合监管方做好监管材料的现场核验；b)

应根据监管评估结果采取相关措施及时整改，并将整改情况反馈监管方、云服务使用方；c)

应按照与云服务使用方的服务协议，做好政务云服务的提供和运行保障工作，配合云服务使用方做好政务云服务的优化调整。6.2.2 云服务使用方改情况反馈监管方。7 监管方式7.1 概述政务云平台监管数据、监管材料的获取方式包括自动获取和人工获取两种方式。7.2 自动获取自动获取方式包括接口调用、系统日志、探针等方式。DB37/T

4647—20237.3 人工获取人工获取方式包括线下材料提交、手工上报等方式。8 监管内容8.1 对云服务商的监管内容8.1.1 概述应急响应情况等进行监管。8.1.2 政务云平台运行情况政务云平台运行情况监管内容包括但不限于：a)

计算资源：包括计算资源整体运行状态和运行时长、计算资源使用和利用情况、镜像信息、告警事件等；b)

存储资源：包括存储资源整体使用情况、存储容量情况、存储资源读写速率、告警事件等；c)

网络资源：包括整体网络结构、网络健康情况、网络流量情况、网络接收和发送数据速率、IP

地址、告警事件等；d)

机房环境：机房基础设施运行情况、能源消耗情况等。8.1.3 政务云平台服务情况政务云平台服务情况监管内容包括但不限于：a)

b)

服务的可靠情况：包括服务中断次数、服务的恢复能力、关键设施冗余、容灾能力等；c)

服务的响应情况：包括响应机制执行情况、服务请求响应及时性、资源配置及时性、资源弹性和可扩展性等。8.1.4 重大变更情况重大变更情况监管内容包括但不限于：a)

云服务商的变更：包括云服务商名称、主体等的变更；b)

云服务商合作方的变更：包括电信运营商、系统软件合作方、运维服务方、安全服务方等的变更；c)

政务云平台架构的重大变更：包括网络架构、系统架构、安全架构等的变更；d)

政务云平台基础设施的变更：包括机房环境、服务器、网络设备、存储设备、安全设备等的重大变更；e)

政务云平台软件版本的变更：包括政务云平台支撑组件、运维管理平台、运营管理平台等的变更。8.1.5 安全保障情况安全保障情况监管内容包括但不限于：a)

安全管理制度制定及实施情况；b)

安全事件及安全事件响应情况；DB37/T

4647—2023c)

安全控制措施提供情况：包括保障云平台基础环境、数据、网络、应用等采取的安全控制措施，具体监管内容和监管要求参见

GB/T

37972—

B.1；d)

安全策略配置及更新情况；e)

安全评估情况：包括安全等级保护测评、商用密码应用安全性测评、云计算服务安全评估、安全检查开展情况、重大安全事件上报及时性、安全事件处理及时性、异常安全事件自监控情况、风险防护能力和处置情况等。8.1.6 应急响应情况应急响应情况监管内容包括但不限于：a)

应急响应计划制定及更新情况；b)

应急演练开展情况；c)

应急响应情况的处置机制、过程及结果；8.2 对云服务使用方的监管内容8.2.1 概述行监管。8.2.2 资源使用情况资源使用情况监管内容包括但不限于：a)

计算资源：包括

CPU、、内存等计算资源的使用量及增量等；b)

存储资源：包括存储使用量及增量等；c)

网络资源：包括网络带宽、IP

地址等网络资源的使用量及增量等；d)

资源变更：包括上述资源的主体变更、用途变化等。8.2.3 资源利用情况资源利用情况监管内容包括但不限于CPU、GPU、内存、存储、网络等资源的利用情况。8.2.4 优化调整情况优化调整情况监管内容包括但不限于资源释放及资源扩缩容情况等。8.2.5 安全措施实施情况安全措施实施情况监管内容包括但不限于安全控制措施情况、安全检查情况、安全事件响应情况、漏洞修复情况、系统升级情况、弱口令整改情况等。DB37/T