《政務“一朵云”安全管理體系規范第1部分：安全運行監測》（征求意見稿）編制說明一、目的意義黨的二十大報告中提出“必須堅定不移貫徹總體國家安全觀”，中共中央、國務院印發的《數字中國建設整體布局規劃》將“筑牢可信可控的數字安全屏障”列為強化數字中國的關鍵能力之一，提出切實維護網絡安全，完善網絡安全法律法規和政策體系。網絡安全法第五章監測預警與應急處置中明確提出負責關鍵信息基礎設施安全保護工作的部門應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度，并按照規定報送網絡安全監測預警信息。政務云是我省承載政務應用、政務數據等的基礎算力底座，隨著政務信息化不斷發展，信息系統集約上云部署，數據加快匯聚歸集，隨之而來的對于政務云等基礎設施運行管理與安全防護難度加大，易遭受攻擊面廣，受安全攻擊影響大。全省政務“一朵云”建設方案對政務云安全體系建設提出更高要求，政務云面對的網絡安全形勢和態勢愈加嚴峻、緊迫，亟需建立健全科學高效的主動監測預警體系，規范運行和管理，進一步加強和完善全省安全運行一體協同聯動工作機制。當前，在政務云領域與安全運行監測方面相關的標準規范仍是空白，因此，加快制定全省政務云安全運行監測標準，一方面是順應國家對數字政府高質量建設的要求，另一方面也是對國家標準化建設的有力落實。二、任務來源本標準文件由江蘇省大數據管理中心申報。2023年8月，江蘇省市場監督管理局發布《省市場監管局關于下達2023年度江蘇省地方標準項目計劃的通知》，批準《電子政務外網安全管理體系規范》立項，標準項目承擔單位為江蘇省大數據管理中心。標準編制啟動后，根據新一輪機構改革調整設置情況，聽取政府數字化轉型各方專家和設區市意見建議，進一步明確標準制定目標和適用范圍，增強標準的針對性和實操性。為使標準內容更加準確符合指導全省政務云安全運行的實際定位，將標準名稱修改為《政務“一朵云”安全管理體系規范》。本次立項的《政務“一朵云”安全管理體系規范》共有3個部分，本標準文件是第1部分“安全運行監測”，標準的編制周期為1年。三、編制過程本標準主要編制工作過程如下：成立標準編制小組2023年3月，省大數據管理中心成立標準編寫小組，基于前期預研，結合江蘇實際情況和政務云場景，撰寫標準立項申請書、項目建議書，提交省市監局；2023年9月，項目任務下達后，溝通明確標準研制背景、研制周期、任務分工等內容。確定標準章節框架2023年10月，標準編制小組搭建了章節框架，包括總體要求、基本原則、基本要求、資產監測、風險監測、可用性監測、安全事件監測、重保與應急、安全協同、安全檢查、供應鏈安全、運行效果評價、安全審計、安全管理等，并根據需求變化及時調整、更新。研究分析相關資料2023年11月-12月，標準編制小組通過匯總分析百余份國家、行業、江蘇省級法律法規、政策文件、標準規范等，提煉政務云基礎設施安全運行監測工作重點，編制運行監測規范要求，形成標準初稿。進行多輪增減調整2024年1月-4月，標準編制小組對標準內容進行逐條審閱，結合江蘇省政務云建設實際情況及與省大數據管理中心內、外部專家多輪溝通討論意見，開展23輪增減調整，優化運行監測具體細節，更貼合江蘇省政務云實際需求。開展充分溝通研討2024年5月-6月，標準研制小組共組織召開8次專門研討會議，以及標準研制小組內部的數十次線上線下討論會議，廣泛吸納相關意見。標準編制小組按照收到的意見，補充查找相關資料，進一步修訂運行監測規范描述，規范標準格式，并開展多次討論會議等，持續修訂完善標準。吸納的內部專家意見包括：增加政務云出入口可用性監測要求，增加設備設施故障事件監測要求，優化橫向協同、縱向協同相關要求，增補網信辦1小時上報制要求，強調主動防御能力等方面。四、主要內容和技術指標確立本文件深入總結、分析國家、行業以及江蘇省發布的政策中有關政務云基礎設施安全運行監測的要求，規定了政務云基礎設施安全運行監測工作的總體要求、基本原則、基本要求、資產監測、風險監測、可用性監測、安全事件監測等內容，為政務云管理機構開展政務云基礎設施安全運行管理工作提供指導。本文件以運行監測為切面，梳理省政務云涉及的兩類對象，7類資產，結合國家法律法規、政務行業網絡安全政策及網信辦等監管單位要求，明確11項運行監測工作，統籌體系化、主動防御、平戰融合理念，推動政務云基礎設施安全保障落實。五、與法律法規和相關標準的關系本文件遵循《網絡安全法》、《數據安全法》、《個人信息保護法》、《密碼法》、《網絡安全等級保護條例》、《關鍵信息基礎設施安全保護條例》、《商用密碼管理條例》等國家相關法律法規要求，參照《省政府辦公廳關于印發江蘇省政務“一朵云”建設總體方案的通知》等國家、行業、地方數字政府相關政策，引用《信息安全技術云計算服務安全能力要求》（GB/T31168-2023）、《信息安全技術關鍵信息基礎設施安全保護要求》（GB/T39204-2022）、《國家電子政務外網安全監測體系技術規范與實施指南》（GW0203-2014）等國家、行業標準、地方標準內容，整理歸納出政務云基礎設施安全運行監測規范要求。六、作為推薦性或強制性標準的建議建議作為推薦性標準發布實施。七、預期效果及貫徹實施標準的要求、措施等建議《政務“一朵云”安全管理體系規范第1部分安全運行監測》的編制與實施有助于加強政務云等基礎設施安全管理，持續提升安全運行監測能力和水平，提高安全風險預判、應對、處置能力，保障政務云基礎設施及云上承載信息系統安全穩定運行，支撐數字政府建設高質量發展。《政務“一朵云”安全管理體系規范第1部分安全運行監測》標準的使用對象為江蘇省內政務云管理機構、使用部門和相關云服務商。標準發布以后將對標準使用單位進行培訓、宣貫，對標準進行全面解讀、推廣；各標準使