北京市级政务云服务指南

1、北京市市级政务云服务指南北京市经济和信息化委员会2016年6月目录1指南概述31.1编写目的31.2适用对象31.3文档结构32系统入云42.1入云意向52.2入云需求调研52.3项目申报准备62.4项目申报及预算落实62.5云服务商选择及协议签订62.6系统部署与测试72.7云资源交付82.8其他相关工作83系统云环境运行93.1故障处理93.2变更管理93.3资源监控103.4信息安全事件处置103.5信息安全舆情发布103.6服务中断104云服务退出115系统安全建议115.1合规性要求125.2安全建议136附件156.1政务云服务热线156.2服务机构联系方式156.3云服务参考材料

2、161 指南概述1.1 编写目的根据北京市经济和信息化委员会关于印发的通知（以下简称“管理办法”）的有关规定，为规范市级政务云使用流程，市经济信息化委以流程和问题为导向，制定了北京市市级政务云服务指南（以下简称“指南”），帮助政务云使用单位快速了解政务云使用流程和服务内容。指南将根据市级政务云平台使用需要不断更新和完善。1.2 适用对象本文档适用于政务云使用单位、管理单位、云服务商、云安全监管服务商及其他相关单位。政务云使用单位，指使用北京市市级政务云资源的市属行政事业单位。管理单位，包括北京市经济和信息化委员会（以下简称“市经信委”）、北京市公共信息服务中心（以下简称“市公服中心”）。云服务

3、商：指经市经信委公开招标确定的，承担市级政务云建设及运维的单位。云安全监管服务商：指经过公开招标确定的，承担市级政务云安全监管的单位。1.3 文档结构本文档包括指南概述、入云阶段、云环境运行阶段、云服务退出阶段、系统安全建议、附件六个部分。1. 指南概述：介绍本指南的使用范围、适用对象，简要阐述本指南的使用方法。2. 系统入云：针对使用单位从入云意向开始，到云资源交付为止的过程指南，包括提出入云意向、入云需求调研、项目申报准备、项目申报及预算落实、云服务商选择及协议签订、系统部署和云资源交付等。3. 系统云环境运行：针对使用单位的系统进入政务云环境开始正式运行，直至退出政务云服务期间的过程指南

4、，包括故障处理、变更管理、资源监控、信息安全事件处置、信息安全舆情发布、服务中断等。4. 云服务退出：使用单位服务期满不再续签或服务协议中止的情况下，使用单位的系统退出政务云的过程中的指南。5. 系统安全建议：综合考虑合规性和安全风险分析，建议入云单位开展“两个体系、三个阶段”的信息安全工作，为入云系统提供北京市政务信息系统入云安全指南，协助使用单位建立全面的安全保障体系。6. 附件：包括政务云服务热线、服务机构的联系方式，以及使用本指南需要用到的表单模板材料信息。2 系统入云系统入云阶段是从使用单位有入云意向开始至云资源交付为止，依次完成入云需求调研、项目申报准备、项目申报及落实预算等环节，

5、选定云服务商并完成系统部署和云资源交付的全业务流程指南。入云流程按照下图进行：2.1 入云意向使用单位依据自身业务需要提出入云意向。此阶段建议使用单位了解云服务商的服务能力、服务方式、服务内容和收费标准，向云服务商咨询系统入云初步建议，邀请云服务商开展详细入云方案设计。2.2 入云需求调研使用单位可参考云服务需求调研表提前准备调研资料。使用单位与云服务商共同梳理入云需求，云服务商提出入云建议。参考文档：附件1云服务需求调研表模板2.3 项目申报准备 对于需要履行项目申报流程的信息化项目，使用单位在提出项目申报书前，就系统是否使用政务云资源等问题与市经信委进行沟通和商讨，进而指导项目方案及预算的

6、制定。如经过沟通协商，各方在是否入云的问题上存在分歧，市经信委可组织市信息化专家咨询委员会的专家开展咨询论证，由专家对系统入云问题提出咨询论证意见。在专家咨询论证前，使用单位需准备当年信息化项目基础环境建设汇报PPT、信息化项目基础环境建设方案、信息化项目整体情况介绍、系统的详细技术方案及其他相关材料。2.4 项目申报及预算落实 使用单位正式提交项目申报书并落实预算。新建/升级改造项目，由使用单位按照北京市经济和信息化委员会关于加强政府投资信息化项目全流程管理的通知编写项目申报书、准备项目评审材料，提交给市经信委按照项目评审流程执行。此后按照相关流程落实项目预算。说明：对于不需要市经济信息化委

7、前置评审的项目，由使用单位在系统入云前，向市经济信息化委提出系统入云的书面申请，说明拟入云系统的名称、云资源需求概述、计划入云的时间等。参考文档：北京市经济和信息化委员会关于加强政府投资信息化项目全流程管理的通知（京经信委发20161号）2.5 云服务商选择及协议签订使用单位选择云服务商后，签订政务云服务意向表，待预算落实后与云服务商签订服务协议。说明：1. 政务云服务意向表应在系统入云测试前由使用单位提供，以便云服务商安排政务云测试资源，市公服中心申请政务外网等资源。该表由使用单位加盖本单位信息中心或主管处室章，至少一式三份，使用单位一份，云服务商一份，市公服中心一份。2. 编制服务协议，可

8、参考关于北京市市级政务云服务协议的有关建议。参考文档：附件2政务云服务意向表模板、附件10关于北京市市级政务云服务协议的有关建议2.6 系统部署与测试在签订政务云服务意向表且云资源落实后，使用单位组织制定迁移方案，将系统部署至政务云测试区，在测试区完成系统部署、测试、试运行等工作。系统迁移或部署至政务云的详细操作过程和技术要点，可参考北京市市级政务云迁移指南。说明：1. 系统在测试区部署前，使用单位细化资源需求，填写资源需求列表；参考迁移方案提纲制定迁移方案，开展操作系统、数据库、中间件及应用软件等部署、测试、试运行工作。2. 云服务商依据资源需求列表、迁移方案，分配测试资源、协助完成系统迁移

9、或部署过程。3. 系统测试通过后，建议系统承建单位向云服务商出具测试通过的书面报告并签字，作为系统正式上线运行的凭证。4. 新建项目或升级改造项目入云，可在系统具备初验条件后，部署至政务云平台测试区，经测试通过后再迁移至正式环境，随后进行项目初验、试运行和终验。5. 现有系统迁移入云建议在测试区进行试运行后，再迁入正式环境。参考文档：附件3迁移方案提纲、附件4资源需求列表、附件8北京市市级政务云迁移指南2.7 云资源交付云服务商为使用单位正式开通云资源，使用单位将系统从测试区平移至正式环境，并投入运行过程。说明：使用单位系统正式上线运行，云服务商依据附件4资源需求列表正式开通云资源，并提供上线

10、技术支持。2.8 其他相关工作2.8.1 政务外网IP申请依据政务云服务意向表，市公服中心代理使用单位，向北京市政务网络管理中心（以下简称“网管中心”）办理政务外网IP申请并做备案；云服务商负责分配和管理政务外网IP。说明：1. 如需要10网段IP地址，使用单位需在入云测试前至少2周提交政务云服务意向表。2. 使用单位应向市公服中心提供系统定级备案材料、等保评测报告及备案材料，以便市公服中心代使用单位做政务外网IP备案。建议已完成定级备案和等保测评的系统，在签订政务云服务意向表时提供上述2个材料；新建系统在完成等级保护测评后再提供相应材料。2.8.2 互联网网站ICP备案入云使用单位需要向工业

11、和信息化部进行网站ICP备案时，向云服务商提交ICP备案所需资料清单所列的材料，云服务商协助用户完成申请、审批等工作，并取得工业和信息化部发放的ICP备案编号。参考文档：附件5ICP备案所需资料清单3 系统云环境运行系统云环境运行指使用单位的系统进入政务云环境开始正式运行，直至退出政务云服务阶段。北京市市级政务云提供远程或本地两种维护模式，使用单位可与云服务商协商确定适合本单位的方式。本章节针对系统运行中的常见工作（如：故障、变更、信息安全事件、监控预警）提出建议。3.1 故障处理北京市市级政务云提供统一的服务热线为所有使用单位提供服务，使用单位在使用或维护过程中发现运行故障，向服务热线提出故

12、障处置需求，云服务商协助使用单位进行故障分析，并针对云服务资源使用部分提供解决方案。说明：1. 使用单位发现故障，可拨打云服务热线电话（010-）或指定联系人电话通报故障。2. 政务云平台操作系统及以上的故障，原则上由使用单位解决（按服务协议的具体要求，使用单位可要求云服务商配合解决）。3. 政务云平台操作系统以下的故障，由云服务商解决。3.2 变更管理云资源使用过程中，使用单位要进行云服务变更，填写政务云服务意向表（变更部分），云服务商依据政务云服务意向表进行变更操作。说明：政务云服务意向表至少一式三份，加盖单位信息中心或主管处室公章。参考文档：附件6政务云服务意向表（模板）3.3 资源监控

13、云服务商监控政务云平台资源，发现云主机资源、存储资源、网络资源的使用量超过使用单位预设值，向使用单位发送资源异常预警报告单，使用单位与云服务商共商处置。参考文档：附件6资源异常预警报告单（模板）3.4 信息安全事件处置出现信息安全事件后，使用单位可拨打云服务热线电话（010-）或指定联系人电话报告事件，由云服务商协助使用单位处置。说明：1. 使用单位、云服务商、云安全监管服务商、市公服中心发现信息安全事件，按照各自应急管理规定，进行上报和响应。2. 云服务商、云安全监管商协助使用单位对信息安全事件进行初步的应急处置，分析事件原因，提供解决建议。3. 政务云平台操作系统及以上层面的信息安全事件，

14、原则上由使用单位进行处置，云服务商和云安全监管商可做技术支持。4. 政务云平台操作系统以下的信息安全事件，由云服务商解决，并制定预防和控制措施。3.5 信息安全舆情发布云安全监管商定期收集、整理和发布信息安全舆情，并向云服务商、政务云管理单位发布，涉及具体使用单位的，由云服务商及时转发告知使用单位。使用单位、云服务商应针对舆情信息，自评估本单位的系统安全风险，做好相应防范措施。3.6 服务中断服务中断是指使用单位的系统在计划内/外维护时，需要临时中断业务系统，或者云服务商因不可抗力或计划内维护作业而需要中断整个政务云平台服务的过程。使用单位的系统在计划内服务中断，应提前一个工作日与云服务商联系

15、并提供政务云临时中断申请表；如遇特殊情况需要临时中断云服务，使用单位可随时联系云服务商协商后处置。如遇计划内维护作业而需要中断政务云平台服务，云服务商应提前至少5个工作日告知政务云管理单位和使用单位；如发生不可抗力事件导致政务云平台中断服务，云服务商应在不可抗力事件发生后立即通知政务云管理单位和使用单位，并 15 天内提供有关相关政府部门或公证机关出具的证明文件。说明：1. 使用单位的系统做计划内维护前，应提前通知云服务商中断时间和恢复时间，通过远程中断云服务或由云服务商中断云服务。维护工作结束后，使用单位（或由云服务商代理）恢复云服务。2. 如政务云使用单位出现严重影响政务云平台安全稳定运行

16、的事件时，云服务商可暂时中断该单位的云服务，并同步通知该单位，事件处理完毕后恢复服务。参考文档：附件7政务云临时中断申请表4 云服务退出云服务退出是指使用单位购买云服务期满不再续签或服务协议中止的情况下，使用单位的系统退出政务云的过程。使用单位需填写附件2政务云服务意向表（退出部分），提出云服务退出申请。使用单位有权要求云服务商无条件配合系统迁移，安全删除政务云平台中退出云服务的系统和数据。5 系统安全建议依据国务院关于促进云计算创新发展培育信息产业新业态的意见（国发20155号）和北京市信息化专家委员会提出关于利用政务云推进我市电子政务集约化发展的建议。北京市政务云平台以“企业投资建设，政府

17、购买服务”方式建设，于2015年12月份投入运营，实现了电子政务集约化发展。政务云平台按照国家等级保护三级，已建成底层安全防护体系，使用单位的系统迁入政务云平台后，应与政务云平台已有防护体系相结合，建立全面的信息安全防护体系。系统在传统模式下的安全风险不因入云而消失或减弱，与此同时，使用单位可能还会面临新增风险（参照信息安全技术 云计算服务安全指南（GB/T 31167-2014），包括对数据和系统控制力减弱、与云服务商之间责任难以界定、可能产生司法管辖权问题、数据所有权保障风险、数据保护更加困难、数据残留和容易产生对云服务商的过度依赖等）。根据国家和北京市针对信息安全方面的各种政策要求和标准

18、，使用单位作为安全的责任主体，需要重视系统入云后的信息安全建设和安全运维工作，逐步建立全面的信息安全保障体系。5.1 合规性要求使用单位应深入学习关于加强党政部门云计算服务网络安全管理的意见（中网办发文201414号）文件和北京市市级政务云管理办法（试行），明确安全管理责任，强化安全技术和安全管理手段，确保入云系统安全、可控。1. 关于加强党政部门云计算服务网络安全管理的意见（中网办发文201414号）要求：（1） 安全管理责任不变。网络安全管理责任不随服务外包而外包，无论党政部门数据和业务是位于内部信息系统还是服务商云计算平台上，党政部门始终是网络安全的最终责任人。（2） 数据归属关系不变。

19、党政部门提供给服务商的数据、设备等资源，以及云计算平台上党政业务系统运行过程中收集、产生、存储的数据和文档等资源属党政部门所有。（3） 安全管理标准不变。承载党政部门数据和业务的云计算平台要参照党政信息系统进行网络安全管理，服务商应遵守党政信息系统的网络安全政策规定、信息安全等级保护要求、技术标准，落实安全管理和防护措施，接受党政部门和网络安全主管部门的网络安全监管。（4） 敏感信息不出境。为党政部门提供服务的云计算服务平台、数据中心等要设在境内。敏感信息未经批准不得在境外传输、处理、存储。（5） 党政部门应加强云计算服务过程的持续指导和监督。2. 关于印发北京市市级政务云管理办法（试行）的通

20、知（京经信委函20164号）要求：（1） 政务云平台自身安全，与使用单位系统安全责任边界以操作系统进行划分，操作系统（不含）以下安全由云服务商负责。（2） 使用单位应加强入云系统自身的安全管理，落实系统相关的安全责任，包括主机、应用和数据安全，如操作系统、数据库、中间件和应用系统的安全配置检查和加固，应用系统的升级维护和日常代码审计、渗透测试等，以及业务数据的加密和备份等工作。5.2 安全建议综合考虑业务安全风险控制和合规性需求，建议系统入云使用单位强化云服务商的管理，提升云服务交付质量。同时，建议从“两个体系、三个阶段”来做好信息安全防护工作，为入云系统安全、可靠运行保驾护航。1. 两个安全

21、体系（1） 等级保护安全体系建设：贯彻国家等级保护制度，借助等级保护工作的开展，强化云环境下的系统安全保障体系建设，同时，规范信息安全建设、运维过程，不断提升系统安全保障能力。（2） 系统全生命周期安全防护体系：“网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施”。从系统建设的角度来说，必须从规划立项、需求分析、详细设计、开发建设、验收上线和运维等多个阶段，充分考虑安全需求，实现系统建设与信息安全同步规划、同步建设、同步运行，建立系统生命周期的安全防护体系。2. 政务云使用三个阶段安全管理从政务云平台的使用角度来说，使用单位应加强入云阶段、云服务运行阶段和云

22、服务退出阶段的安全管理和建设，减少由于安全责任不明确、数据残留，以及云环境下新型安全威胁带来的安全风险，提升对业务数据的安全管理能力，增强系统的安全性。（1）入云阶段开展入云迁移及运行阶段的技术架构选择、安全保障方案设计、迁移风险评估，推动入云系统信息安全等级保护定级备案、测评等工作；结合系统等级保护定级情况，按照等级保护要求和系统安全防护需求，强化入云系统的操作系统、数据库、中间件以及应用程序的脆弱性检测和安全加固优化工作，并同步做好数据加密、网页防篡改等相关安全技术措施。该阶段具体安全工作可参考北京市政务信息系统入云安全指南。参考文档：附件9北京市政务信息系统入云安全指南（2）云服务运行阶段在系统运行阶段，应持续开展安全保障工作，根据国家等级保护制度和业务安全需求，从技术、管理和运维三个方面建立并持续改进保障体系，降低云模式下的安全运行风险。1) 技术方面：开展云主机、中间件、数据库和系统等运行安全监控，强化关键业务完整性、保密性和可用性保护，根据系统重要程度，适度建立系统的应用双活和备份与恢复机制。2) 管理方面：制定适合云环境下的安全管理规章制度，定期开展安全培训，提升内外部人员安全意识。3) 系统运维：定期开展系统的常规安全检测（例如：云主机安全巡检、云主机脆弱性检测、代码审计、渗透测试、风险评估工作等）和安