DB37∕T 4647-2023 政务云平台监管基本要求

ICS35.240.99

CCSL67

37

山东省地方标准

DB37/T4647—2023

政务云平台监管基本要求

Basicrequirementsforgovernmentcloudplatformregulatory

2023—08—31发布2023—09—30实施

山东省市场监督管理局发布

DB37/T4647—2023

目次

前言.................................................................................II

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4缩略语.............................................................................1

5监管框架...........................................................................1

6监管角色...........................................................................2

6.1监管方.........................................................................2

6.2监管对象.......................................................................2

7监管方式...........................................................................2

7.1概述...........................................................................2

7.2自动获取.......................................................................2

7.3人工获取.......................................................................3

8监管内容...........................................................................3

8.1对云服务商的监管内容...........................................................3

8.2对云服务使用方的监管内容.......................................................4

参考文献..............................................................................5

I

DB37/T4647—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由山东省大数据局提出、归口并组织实施。

II

DB37/T4647—2023

政务云平台监管基本要求

1范围

本文件规定了政务云平台的监管框架、监管角色、监管方式和监管内容。

本文件适用于对各政务云平台的监管。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T32400—2015信息技术云计算概览与词汇

GB/T37972—2019信息安全技术云计算服务运行监管框架

3术语和定义

GB/T32400—2015和GB/T37972—2019界定的术语和定义适用于本文件。

4缩略语

下列缩略语适用于本文件。

CPU：中央处理器（CentralProcessingUnit）

GPU：图形处理器（GraphicsProcessingUnit）

IP：网际互联协议（InternetProtocol）

5监管框架

政务云平台的监管框架见图1，包括监管角色、监管方式、监管内容三部分：

a)监管角色包括监管方和监管对象，监管对象包括云服务商和云服务使用方；

b)监管方式包括自动获取和人工获取；

c)监管内容包括：

1)对云服务商的监管：包括政务云平台运行情况、政务云平台服务情况、重大变更情况、

安全保障情况、应急响应情况等；

2)对云服务使用方的监管：包括资源使用情况、资源利用情况、优化调整情况、安全措施

实施情况等。

1

DB37/T4647—2023

图1监管框架

6监管角色

6.1监管方

应制定服务监管要求，对云服务商和云服务使用方进行监管，将监管评估结果反馈云服务商、云服

务使用方，并督导云服务商、云服务使用方及时整改。

6.2监管对象

6.2.1云服务商

对云服务商的要求包括但不限于：

a)应按照监管方要求提供相关监管接口和材料，并配合监管方做好监管材料的现场核验；

b)应根据监管评估结果采取相关措施及时整改，并将整改情况反馈监管方、云服务使用方；

c)应按照与云服务使用方的服务协议，做好政务云服务的提供和运行保障工作，配合云服务使

用方做好政务云服务的优化调整。

6.2.2云服务使用方

应配合监管方做好政务云服务使用情况的监管，根据监管评估结果采取相关措施及时整改，并将整

改情况反馈监管方。

7监管方式

7.1概述

政务云平台监管数据、监管材料的获取方式包括自动获取和人工获取两种方式。

7.2自动获取

自动获取方式包括接口调用、系统日志、探针等方式。

2

DB37/T4647—2023

7.3人工获取

人工获取方式包括线下材料提交、手工上报等方式。

8监管内容

8.1对云服务商的监管内容

8.1.1概述

监管方应对云服务商的政务云平台运行情况、政务云平台服务情况、重大变更情况、安全保障情况、

应急响应情况等进行监管。

8.1.2政务云平台运行情况

政务云平台运行情况监管内容包括但不限于：

a)计算资源：包括计算资源整体运行状态和运行时长、计算资源使用和利用情况、镜像信息、

告警事件等；

b)存储资源：包括存储资源整体使用情况、存储容量情况、存储资源读写速率、告警事件等；

c)网络资源：包括整体网络结构、网络健康情况、网络流量情况、网络接收和发送数据速率、

IP地址、告警事件等；

d)机房环境：包括机房基础设施运行情况、能源消耗情况等。

8.1.3政务云平台服务情况

政务云平台服务情况监管内容包括但不限于：

a)服务的可用情况：包括服务交付符合率、服务可用率、资源利用率的监控、资源可持续性等；

b)服务的可靠情况：包括服务中断次数、服务的恢复能力、关键设施冗余、容灾能力等；

c)服务的响应情况：包括响应机制执行情况、服务请求响应及时性、资源配置及时性、资源弹

性和可扩展性等。

8.1.4重大变更情况

重大变更情况监管内容包括但不限于：

a)云服务商的变更：包括云服务商名称、主体等的变更；

b)云服务商合作方的变更：包括电信运营商、系统软件合作方、运维服务方、安全服务方等的

变更；

c)政务云平台架构的重大变更：包括网络架构、系统架构、安全架构等的变更；

d)政务云平台基础设施的变更：包括机房环境、服务器、网络设备、存储设备、安全设备等的

重大变更；

e)政务云平台软件版本的变更：包括政务云平台支撑组件、运维管理平台、运营管理平台等的

变更。

8.1.5安全保障情况

安全保障情况监管内容包括但不限于：

a)安全管理制度制定及实施情况；

b)安全事件及安全事件响应情况；

3

DB37/T4647—2023

c)安全控制措施提供情况：包括保障云平台基础环境、数据、网络、应用等采取的安全控制措

施，具体监管内容和监管要求参见GB/T37972—2019的表B.1；

d)安全策略配置及更新情况；

e)安全评估情况：包括安全等级保护测评、商用密码应用安全性测评、云计算服务安全评估、

安全检查开展情况、重大安全事件上报及时性、安全事件处理及时性、异常安全事件自监控

情况、风险防护能力和处置情况等。

8.1.6应急响应情况

应急响应情况监管内容包括但不限于：

a)应急响应计划制定及更新情况；

b)应急演练开展情况；

c)应急响应情况的处置机制、过程及结果；

注：应急响应事件包括政务云平台宕机、网络线路故障、数据泄露事件、非授权访问事件、安全攻击事件、自然灾

害事件、机房环境异常事件等。

8.2对云服务使用方的监管内容

8.2.1概述

监管方应对云服务使用方的资源使用情况、资源利用情况、优化调整情况、安全措施实施情况等进

行监管。

8.2.2资源使用情况

资源使用情况监管内容包括但不限于：

a)计算资源：包括CPU、GPU、内存等计算资源的使用量及增量等；

b)存储资源：包括存储使用量及增量等；

c)网络资源：包括网络带宽、IP地址等网络资源的使用量及增量等；

d)资源变更：包括上述资源的主体变更、用途变化等。

8.2.3资源利用情况

资源利用情况监管内容包括但