《數字政府政務云建設網絡安全法律風險合規指引（2023）（44頁）.pdf》由會員分享，可在線閱讀，更多相關《數字政府政務云建設網絡安全法律風險合規指引（2023）（44頁）.pdf（44頁珍藏版）》請在三個皮匠報告上搜索。

1、合規指引3近年來，國家大力推動數字政府建設。自 2018 年以來，關于加快推進全國一體化在線政務服務平臺建設的指導意見關于加快推進政務服務“跨省通辦”的指導意見等一系列文件相繼印發。2021 年 12 月國家發展改革委印發“十四五”推進國家政務信息化規劃提出“要加快建設數字政府、提升政務服務水平?！?022年 6 月國務院發布關于加強數字政府建設的指導意見要求構建數字政府全方位安全保障體系，加強關鍵信息基礎設施安全保障，強化安全防護技術應用，切實筑牢數字政府建設安全防線。數字政府基礎設施是包括云、網、數據共享、應用支撐一體化的基礎支撐體系，政務云是其關鍵基礎支撐。具體來說，政務云是指運用云計算

2、技術，統籌使用政府已有的機房、計算、存儲、網絡、安全、應用支撐、信息數據等資源，為政府部門提供基礎設施、支撐軟件、應用系統、信息資源、運行保障和信息安全等綜合服務的平臺。1云服務商可以充分利用新一代信息技術，積極參與到數字政府政務云建設中。目前我國已發布網絡安全法數據安全法個人信息保護法等網絡安全領域法律法規，為政務云的網絡安全工作提供了基礎法律依據。本指引旨在梳理法律相關規定，以具體場景為牽引，為企業參與數字政府政務云建設提供網絡安全法律風險合規指引。參編單位 中國移動通信集團有限公司法律與監管事務部 中國移動通信集團有限公司信息安全管理與運行中心 1云計算開源產業聯盟：中國政務云發展白皮書

3、（2018）數字政府政務云建設網絡安全法律風險4（一）中華人民共和國網絡安全法 01（二）中華人民共和國數據安全法 02（三）中華人民共和國個人信息保護法 02（四）中華人民共和國反電信網絡詐騙法 04（五）關鍵信息基礎設施安全保護條例 05（一）法律法規要求 07（二）合規風險分析 08（三）合規管理建議 09（一）法律法規要求 11（二）合規風險分析 13（三）合規管理建議 15網絡安全“四法一條例”關于政務云建設的規定黨政部門與云服務商之間的法律關系云服務牌照管理010203合規指引5（一）法律法規要求 22（二）合規風險分析 23（三）合規管理建議 24（一）法律法規要求 17（二）合

4、規風險分析 19（三）合規管理建議 20（一）法律法規要求 26（二）合規風險分析 29（三）合規管理建議 30（一）法律法規要求 32（二）合規風險分析 33（三）合規管理建議 34（一）法律法規要求 36（二）合規風險分析 28（三）合規管理建議 39云計算服務安全評估云平臺定級備案商用密碼應用供應鏈安全政務數據安全0504060708（一）中華人民共和國網絡安全法（二）中華人民共和國數據安全法（三）中華人民共和國個人信息保護法（四）中華人民共和國反電信網絡詐騙法（五）關鍵信息基礎設施安全保護條例01網絡安全“四法一條例”關于政務云建設的規定合規指引1網絡安全“四法一條例”關于政務云建設的

5、規定（全國人民代表大會常務委員會，2016 年 11 月 7 日通過）中華人民共和國網絡安全法（以下簡稱網絡安全法）由全國人民代表大會常務委員會于 2016 年 11 月 7 日通過，自 2017 年 6 月 1 日起施行。網絡安全法是我國第一部全面規范網絡空間安全的基礎性法律，是我國網絡空間法治建設的重要里程碑，是讓互聯網在法治軌道上健康運行的重要保障。根據網絡安全法的要求，政務云的安全建設需要重點關注以下幾個方面：中華人民共和國網絡安全法（一）應遵循國家網絡安全等級保護制度。作為關鍵信息基礎設施的政務云，采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的安

6、全審查。建立網絡安全監測預警和信息通報制度，深化政務云網絡安全防護體系，實現全天候全方位感知網絡安全態勢。作為關鍵信息基礎設施的政務云，其安全建設應在網絡安全等級保護建設的基礎上，實行重點防護。涉及大量公民個人信息的政務云，應建立健全信息管理制度與體系。13524數字政府政務云建設網絡安全法律風險2（全國人民代表大會常務委員會，2021 年 6 月 10 日通過）中華人民共和國數據安全法（以下簡稱數據安全法）由全國人民代表大會常務委員會于 2021 年 6 月 10 日通過，自 2021 年 9 月 1 日起施行。數據安全法明確提出“建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據

7、安全”，要求國家機關依照法律、行政法規的規定，建立健全數據安全管理制度，保障政務數據安全。根據數據安全法的要求，政務云的安全建設需要重點關注以下幾個方面：（全國人民代表大會常務委員會，2021 年 8 月 20 日通過）中華人民共和國數據安全法中華人民共和國個人信息保護法（二）（三）應建立健全政務云數據安全管理制度，落實數據安全保護主體責任，保障政務數據安全。應構建統一規范、互聯互通、安全可控的政務數據開放平臺，按照國家規定推動政務數據開放利用。委托他人建設、維護電子政務系統，存儲、加工政務數據，應當經過嚴格的批準程序，并應當監督受托方履行相應的數據安全保護義務。受托方應當依照法律、法規的規定

8、和合同約定履行數據安全保護義務，不得擅自留存、使用、泄露或者向他人提供政務數據。132合規指引3涉及處理個人信息的，應當遵守個人信息保護法的一般規定，合法收集和使用個人信息。不得公開其處理的個人信息，除非已取得個人單獨同意?？梢栽诤侠矸秶鷥忍幚韨€人已公開的個人信息，但涉及個人重大權益的，應當取得個人同意。只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可處理敏感個人信息，并且應當在處理前取得個人的單獨同意，法律、行政法規規定應當取得書面同意的，從其規定。關鍵信息基礎設施處理的個人信息應當在國內存儲，確需向境外提供的，應當進行數據出境安全評估。存在向第三方提供個人信息情況的，如

9、政務云服務方的個人信息是以告知-同意為基礎，則應當在對外提供前，向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。134562中華人民共和國個人信息保護法（以下簡稱個人信息保護法）由全國人民代表大會常務委員會于 2021 年 8 月 20 日通過，自 2021 年 11 月 1 日起施行。個人信息保護法明確提出“任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息”，數字政府業務系統中往往承載著大量個人信息，需要采取有效的技術手段和管理措施來保證個人信息安全。根據個人信息保護法的要求，政務云的安全建設需要重點關注以下幾個方面：數字政府政務云

10、建設網絡安全法律風險4（全國人民代表大會常務委員會，2022 年 9 月 2 日通過）中華人民共和國反電信網絡詐騙法（以下簡稱反電信網絡詐騙法）由全國人民代表大會常務委員會于 2022 年 9 月 2 日通過，自 2022 年 12 月 1日起施行。反電信網絡詐騙法強調預防、遏制和懲治電信網絡詐騙活動的工作，要求地方各級人民政府組織領導本行政區域內反電信網絡詐騙工作，確定反電信網絡詐騙目標任務和工作機制，開展綜合治理。根據反電信網絡詐騙法的要求，政務云的安全建設需要重點關注以下幾個方面：（國務院，2021 年 8 月 17 日發布）關鍵信息基礎設施安全保護條例（以下簡稱條例）由國務院于 202

11、1 年 8 月 17 日發布，自 2021 年 9 月 1 日起施行。條例明確指出電子中華人民共和國反電信網絡詐騙法關鍵信息基礎設施安全保護條例（四）（五）不得為他人針對境內實施電信網絡詐騙活動提供幫助。應推進反制技術措施研發、推進涉電信網絡詐騙樣本信息數據共享，加強涉詐用戶信息交叉核驗，建立有關涉詐異常信息、活動的監測識別、動態封堵和處置機制。應承擔風險防控責任，建立反電信網絡詐騙內部控制機制和安全責任制度，加強涉詐風險安全評估。132合規指引5應當建立健全網絡安全保護制度和責任制，保障人力、財力、物力的投入。設立專業安全管理機構，履行相應的安全保護職責。發生重大網絡安全事件或者發現重大網絡

12、安全威脅時，關鍵信息基礎設施運營者應當按照有關規定向保護工作部門、公安機關報告。應當自行或者委托網絡安全服務機構每年至少進行一次網絡安全檢測和風險評估，對發現的安全問題及時整改，并按照保護工作部門要求報送情況。應當優先采購安全可信的網絡產品和服務；采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查。采購網絡產品和服務，應當按照國家有關規定與網絡產品和服務提供者簽訂安全保密協議，明確提供者的技術支持和安全保密義務與責任，并對義務與責任履行情況進行監督。關鍵基礎設施運營者發生合并、分立、解散等情況，應當及時報告保護工作部門，并按照保護工作部門的要求對關鍵信息基礎設施進行處置

13、，確保安全。應當設置專門安全管理機構，對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查，保障機構的有效運營。13456782政務領域的重要網絡設施、信息系統屬于關鍵信息基礎設施，采取監測、防御、處置等安全措施，實行重點保護。根據條例的要求，作為關鍵信息基礎設施的政務云，其安全建設需要重點關注以下幾個方面：數字政府政務云建設網絡安全法律風險602（一）法律法規要求（二）合規風險分析（三）合規管理建議黨政部門與云服務商之間的法律關系合規指引7 中華人民共和國網絡安全法（全國人民代表大會常務委員會，2016 年11 月 7 日通過）第三十四條 除本法第二十一條的規定外，關鍵信息基礎設施的運營者

14、還應當履行下列安全保護義務：（一）設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查；（二）定期對從業人員進行網絡安全教育、技術培訓和技能考核；（三）對重要系統和數據庫進行容災備份；（四）制定網絡安全事件應急預案，并定期進行演練；（五）法律、行政法規規定的其他義務。中華人民共和國數據安全法（全國人民代表大 會常務委員會，2021年 6 月 10 日通過）第四十條 國家機關委托他人建設、維護電子政務系統，存儲、加工政務數據，應當經過嚴格的批準程序，并應當監督受托方履行相應的數據安全保護義務。受托方應當依照法律、法規的規定和合同約定履行數據安全保護義務，不得擅自留存

15、、使用、泄露或者向他人提供政務數據。中華人民共和國個人信息保護法（全國人民代表大會常務委員會，2021 年 8 月 20 日通過）黨政部門與云服務商之間的法律關系法律法規要求（一）數字政府政務云建設網絡安全法律風險8第二十一條 個人信息處理者委托處理個人信息的，應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等，并對受托人的個人信息處理活動進行監督。受托人應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；委托合同不生效、無效、被撤銷或者終止的，受托人應當將個人信息返還個人信息處理者或者予以刪除，不得保留。未經個人信息處理者同意

16、，受托人不得轉委托他人處理個人信息。黨政部門2作為政務云主管單位，委托云服務商建設政務云基礎設施，二者分別屬于技術委托開發中的委托方與受托方，各自依據委托開發協議承擔相應的權利義務。此外，根據數據安全法第四十條的要求，黨政部門委托云服務商建設、維護云服務電子政務系統，存儲、加工政務數據，應當經過嚴格的批準程序，并應當監督云服務商履行相應的數據安全保護義務，因此云服務商有義務接受監管部門的監管，確保政務數據的安全與合規。由此來看，作為被委托方的云服務商一方面要承擔協議約定的各項義務，否則面臨承擔違約責任的風險；另一方面也要接受監管部門的監管，履行數據安全保護義務，否則面臨受到有關監管部門約談等行

17、政處罰的風險。合規風險分析（二）2根據關于加強黨政部門云計算服務網絡安全管理的意見（中網辦發文201414 號），黨政部門始終是網絡安全的最終責任人，應加強安全管理，通過簽訂合同、持續監督等方式要求服務商嚴格履行安全責任和義務，確保黨政部門數據和業務的機密性、完整性、可用性，以及互操作性、可移植性。合規指引9建議云服務商依照網絡安全法第三十四條、數據安全法第四十條、個人信息保護法第二十一條等規定和合同約定，履行數據合規義務以及數據安全保護義務，并接受監管部門的實時監管。在網絡安全方面，云服務商應遵守黨政信息系統的網絡安全政策規定、信息安全等級保護要求、技術標準，落實安全管理和防護措施，接受黨政

18、部門和網絡安全主管部門的網絡安全監管。在數據安全方面，云服務商作為受托方應當依照數據安全法的規定和與黨政部門簽訂的合同約定履行數據安全保護義務，不得擅自留存、使用、泄露或者向他人提供政務數據。在個人信息保護方面，云服務商作為受托方，應當按照與黨政部門簽訂的委托合同約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；委托合同不生效、無效、被撤銷或者終止的，云服務商應當將個人信息返還個人信息處理者或者予以刪除，不得保留。未經黨政部門同意，云服務商不得轉委托他人處理個人信息。合規管理建議（三）數字政府政務云建設網絡安全法律風險1003云服務牌照管理（一）法律法規要求（二）合規風險分析（

19、三）合規管理建議合規指引11云服務牌照管理云服務牌照管理中華人民共和國電信條例（國務院，2016 年 2 月 6 日修訂）第九條 經營增值電信業務，業務覆蓋范圍在兩個以上省、自治區、直轄市的，須經國務院信息產業主管部門審查批準，取得跨地區增值電信業務經營許可證；業務覆蓋范圍在一個省、自治區、直轄市行政區域內的，須經省、自治區、直轄市電信管理機構審查批準，取得增值電信業務經營許可證。第十三條 經營增值電信業務，應當具備下列條件：（一）經營者為依法設立的公司；（二）有與開展經營活動相適應的資金和專業人員；（三）有為用戶提供長期服務的信譽或者能力；（四）國家規定的其他條件。第六十九條 違反本條例規定

20、，有下列行為之一的，由國務院信息產業主管部門或者省、自治區、直轄市電信管理機構依據職權責令改正，沒收違法所得，處違法所得 3 倍以上 5 倍以下罰款；沒有違法所得或者違法所得不足 5 萬元的，處 10 萬元以上 100 萬元以下罰款；情節嚴重的，責令停業整頓：（一）違反本條例第七條第三款的規定或者有本條例第五十八條第（一）項所列行為，擅自經營電信業務的，或者超范圍經營電信業務的；（二）未通過國務院信息產業主管部門批準，設立國際通信出入口進行國際通信的；（三）擅自使用、轉讓、出租電信資源或者改變電信資源用途的；法律法規要求（一）數字政府政務云建設網絡安全法律風險12（四）擅自中斷網間互聯互通或者

21、接入服務的；（五）拒不履行普遍服務義務的。電信業務經營許可管理辦法（工業和信息化部，2017 年 7 月 3 日修訂）第八條 申請辦理增值電信業務經營許可證的，應當向電信管理機構提交下列申請材料：（一）公司法定代表人簽署的經營增值電信業務的書面申請，內容包括：申請經營電信業務的種類、業務覆蓋范圍、公司名稱和聯系方式等；（二）公司營業執照副本及復印件；（三）公司概況，包括：公司基本情況，擬從事電信業務的人員、場地和設施等情況；（四）公司章程、公司股權結構及股東的有關情況；（五）經營電信業務的業務發展和實施計劃及技術方案；（六）為用戶提供長期服務和質量保障的措施；（七）網絡與信息安全保障措施；（八

22、）證明公司信譽的有關材料；（九）公司法定代表人簽署的公司依法經營電信業務的承諾書。申請經營的電信業務依照法律、行政法規及國家有關規定須經有關主管部門事先審核同意的，應當提交有關主管部門審核同意的文件。第十四條 基礎電信業務經營許可證的有效期，根據電信業務種類分為5 年、10 年?？绲貐^增值電信業務經營許可證和省、自治區、直轄市范圍內的增值電信業務經營許可證的有效期為 5 年。第二十七條 經營許可證有效期屆滿需要繼續經營的，應當提前 90 日向原發證機關提出延續經營許可證的申請；不再繼續經營的，應當提前 90 日向原發證機關報告，并做好善后工作。合規指引131.因未取得經營地云服務牌照的法律風險

23、。未在前款規定期限內提出延續經營許可證的申請，或者在經營許可證有效期內未開通電信業務的，有效期屆滿不予延續。第二十八條 電信業務經營者或者其授權經營電信業務的公司，遇有因合并或者分立、股東變化等導致經營主體需要變更的情形，或者業務范圍需要變化的，應當自公司作出決定之日起 30 日內向原發證機關提出申請。電信業務經營者變更經營主體、股東的，應當符合本辦法第五條、第六條、第九條第三款的有關規定。第二十九條 在經營許可證的有效期內，變更公司名稱、法定代表人、注冊資本的，應當在完成公司的工商變更登記手續之日起 30 日內向原發證機關申請辦理電信業務經營許可證變更手續。第四十六條 違反本辦法第十六條第一

24、款、第二十八條第一款規定，擅自經營電信業務或者超范圍經營電信業務的，依照中華人民共和國電信條例第六十九條規定予以處罰，其中情節嚴重、給予責令停業整頓處罰的，直接列入電信業務經營失信名單。第四十八條 違反本辦法第四條第二款、第二十條、第二十二條、第二十三條、第二十四條、第二十九條、第三十一條或者第三十五條第三款規定的，由電信管理機構責令改正，給予警告，可以并處 5000 元以上 3 萬元以下的罰款。中華人民共和國網絡安全法中華人民共和國電信條例對前款規定的情形規定法律責任的，電信管理機構從其規定處理。合規風險分析（二）根據電信條例第九條的規定，經營增值電信業務，業務覆蓋范圍在兩個以上省、自治區、

25、直轄市的，須經國務院信息產業主管部門審查批準，取得跨數字政府政務云建設網絡安全法律風險14地區增值電信業務經營許可證；業務覆蓋范圍在一個省、自治區、直轄市行政區域內的，須經省、自治區、直轄市電信管理機構審查批準，取得增值電信業務經營許可證。云服務經營者經營增值電信業務，但未取得增值電信業務許可證的情況，屬于無證經營。根據電信條例第六十九條的規定，擅自經營電信業務的，或者超范圍經營電信業務的，由有關部門責令改正，沒收違法所得，處違法所得 3 倍以上 5 倍以下罰款；沒有違法所得或者違法所得不足 5 萬元的，處 10 萬元以上 100 萬元以下罰款；情節嚴重的，責令停業整頓。2.因云服務經營主體發

26、生相關變更未向主管單位申請相關信息的法律風險。根據電信業務經營許可管理辦法第二十八條、第二十九條的規定，云服務經營主體發生相關變更手續需向有關單位申請變更批準手續。一是，電信業務經營者或者其授權經營電信業務的公司，遇有因合并或者分立、股東變化等導致經營主體需要變更的情形，或者業務范圍需要變化的，應當自公司作出決定之日起 30 日內向原發證機關提出申請。二是，在經營許可證有效期內，變更公司名稱、法定代表人、注冊資本的，應當在完成公司的工商變更登記手續之日起 30 日內向原發證機關申請辦理電信業務經營許可證變更手續。違反第一項申請義務，根據電信業務經營許可管理辦法第四十六條、電信條例第六十九條的規

27、定擅自經營電信業務或者超范圍經營電信業務的，由有關部門責令改正，沒收違法所得，并處罰款；其中情節嚴重、給予責令停業整頓處罰的，直接列入電信業務經營失信名單。違反第二項申請義務的，根據電信業務經營許可管理辦法第四十八條的規定由電信管理機構責令改正，給予警告，可以并處一定罰款。合規指引153.因許可證過期或未及向主管單位延續許可申請的法律風險。根據電信業務經營許可管理辦法第十四條、第二十七條的規定，跨地區增值電信業務經營許可證和省、自治區、直轄市范圍內的增值電信業務經營許可證的有效期為 5 年，經營許可證有效期屆滿需要繼續經營的，應當提前90 日向原發證機關提出延續經營許可證的申請。云服務經營者未

28、及時申請延續手續時，云服務牌照過期導致云服務停滯等情況，有可能引發包括合同違約、損害賠償等一系列法律風險。合規管理建議（三）建議依法申請相應云服務的經營許可，嚴格把控經營范圍。云服務商申請辦理增值電信業務經營許可證時，應當嚴格按照電信業務經營許可管理辦法第八條的規定，向電信管理機構提交法定有效的申請材料。同時做好牌照管理，避免因牌照過期導致無法對外提供云服務等情況。數字政府政務云建設網絡安全法律風險1604云平臺定級備案（一）法律法規要求（二）合規風險分析（三）合規管理建議合規指引17云平臺定級備案中華人民共和國網絡安全法（全國人民代表大 會常務委員會，2016 年11 月 7 日通過）第二十

29、一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（四）采取數據分類、重要數據備份和加密等措施；（五）法律、行政法規規定的其他義務。第五十九條 網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的，由有

30、關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。法律法規要求（一）數字政府政務云建設網絡安全法律風險18中華人民共和國計算機信息系統安全保護條例（國務院，2011 年 1 月 8日修訂）第九條 計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。信息安全等級保護管理辦法（公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室(已撤銷），2007 年 6 月 22 日發布并施行）第七條 信息系統的安全保護等級分為以下五級：第一級，信息系統受到破壞后

31、，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。GB/T 222392019 信息安全技術 網絡安全等級保護基本要求（國家市場監督管理總局、國家標準化管理委員會，2019 年 5 月 10 日發

32、布）7.2.1.1 基礎設施位置應保證云計算基礎設施位于中國境內。7.2.2 安全通信網絡7.2.2.1 網絡架構 本項要求包括：a)應保證云計算平臺不承載高于其安全保護等級的業務應用系統；b)應實現不同云服務客戶虛擬網絡之間的隔離；c)應具有根據云服務客戶業務需求提供通信傳輸、邊界防護、入侵防范等合規指引19安全機制的能力。7.2.3 安全區域邊界 7.2.3.1 訪問控制 本項要求包括：a)應在虛擬化網絡邊界部署訪問控制機制，并設置訪問控制規則；b)應在不同等級的網絡區域邊界部署訪問控制機制，設置訪問控制規則。7.2.3.2 入侵防范 本項要求包括：a)應能檢測到云服務客戶發起的網絡攻擊行

33、為，并能記錄攻擊類型、攻擊時間、攻擊流量等；b)應能檢測到對虛擬網絡節點的網絡攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等；c)應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量。合規風險分析（二）1.未履行網絡安全等級保護義務的法律風險。2007 年，信息安全等級保護管理辦法正式發布，標志著網絡安全等級保護正式啟動。2017 年，網絡安全法的正式實施，從法律層面明確“國家實行網絡安全等級保護制度?！备鶕W絡安全法第二十一條、計算機信息系統安全保護條例第九條的要求，我國實行網絡安全等級保護。為了更好地適用于云計算環境，GB/T 222392019 信息安全技術 網絡安全等級保護基本要求

34、在網絡安全等級保護基本要求中增加了云計算安全擴展要求。數據安全法第二十七條規定，利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。數字政府政務云建設網絡安全法律風險20網絡運營者應當按照網絡安全等級保護制度要求履行相關安全保護義務，云服務商作為云平臺的運營者也應遵守這一要求。否則，根據網絡安全法第五十九條，云服務商不履行網絡安全等級保護義務的，由有關主管部門責令改正，給予警告，拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。合規管理建議（三）根據網絡安全法第二十一條、計算機信息系

35、統安全保護條例第九條，數據安全法第二十七條的要求，我國對所有聯網系統實行網絡安全等級保護制度。建議云服務商提供政務云相關服務時，根據信息安全等級保護管理辦法第七條，在運維聯網政務云平臺情況下，應當至少滿足第二級以上信息系統安全等級保護。同時，應根據所搭建政務云服務平臺的類型，滿足國家推薦性標準 GB/T 222392019 信息安全技術 網絡安全等級保護基本要求中第二、三、四級的云計算安全擴展要求。合規指引2105云計算服務安全評估（一）法律法規要求（二）合規風險分析（三）合規管理建議數字政府政務云建設網絡安全法律風險22云計算服務安全評估云計算服務安全評估辦法（國家互聯網信息辦公室、國家發展

36、和改革委員會(含原國家發展計劃委員會、原國家計劃委員會)、工業和信息化部、財政部，2019 年 7 月 2 日發布）第三條 云計算服務安全評估重點評估以下內容：（一）云平臺管理運營者(以下簡稱“云服務商”）的征信、經營狀況等基本情況；（二）云服務商人員背景及穩定性，特別是能夠訪問客戶數據、能夠收集相關元數據的人員；（三）云平臺技術、產品和服務供應鏈安全情況；（四）云服務商安全管理能力及云平臺安全防護情況；（五）客戶遷移數據的可行性和便捷性；（六）云服務商的業務連續性；（七）其他可能影響云服務安全的因素。第五條 云服務商可申請對面向黨政機關、關鍵信息基礎設施提供云計算服務的云平臺進行安全評估。第

37、六條 申請安全評估的云服務商應向辦公室提交以下材料：（一）申報書；（二）云計算服務系統安全計劃；（三）業務連續性和供應鏈安全報告；（四）客戶數據可遷移性分析報告；法律法規要求（一）合規指引23（五）安全評估工作需要的其他材料。第十二條 云計算服務安全評估結果有效期 3 年。有效期屆滿需要延續保持評估結果的，云服務商應在屆滿前至少 6 個月向辦公室申請復評。有效期內，云服務商因股權變更、企業重組等導致實控人或控股權發生變化的，應重新申請安全評估。第十四條 通過評估的云平臺停止提供服務時，云服務商應至少提前 6 個月通知客戶和辦公室，并配合客戶做好遷移工作。第十五條 云服務商對所提供申報材料的真實

38、性負責。在評估過程中拒絕按要求提供材料或故意 提供虛假材料的，按評估不通過處理。合規風險分析（二）1.沒有申請云計算服務安全評估的法律風險2.云服務安全評估失效的法律風險根據云計算服務安全評估辦法第一條、第五條規定，云計算服務安全評估是依據云服務商申請，對面向黨政機關、關鍵信息基礎設施提供云計算服務的云平臺進行的安全評估。同一云服務商運營的不同云平臺，需要分別申請安全評估。前期已經通過黨政部門云計算服務網絡安全審查的云平臺，視同為已通過云計算服務安全評估，不需要再重新申請。否則依據網絡安全法第七十二條，將由其上級機關或者有關機關責令改正；對直接負責的主管人員和其他直接責任人員依法給予處分。根據

39、云計算服務安全評估辦法第十二條，云計算服務安全評估結果有效期 3 年。有效期屆滿需要延續保持評估結果的，云服務商應在屆滿前至少 6 個月數字政府政務云建設網絡安全法律風險24向辦公室申請復評。以延續保持評估結果。此外，有效期內，云服務商因股權變更、企業重組等導致實控人或控股權發生變化的，應重新申請安全評估。否則，依據云計算服務安全評估辦法第十三條，通過評估的云平臺已不再滿足要求的，將被撤銷評估通過結果。3.未對標云評估標準開展云計算服務安全管理的法律風險根據云計算服務安全評估辦法第八條規定，云評估主要參考云計算服務安全指南和云計算服務安全能力要求。兩個標準構成了云計算服務安全管理的基礎標準，云

40、計算服務安全指南面向黨政部門，提出了使用云計算服務時的信息安全管理和技術要求，云計算服務安全能力要求面向云服務商，提出了為黨政部門提供服務時應該具備的信息安全能力要求。其中云計算服務安全能力要求從系統開發與供應鏈安全、系統與通信保護、訪問控制、配置管理、維護、應急響應與災備、審計、風險評估與持續監控、安全組織與人員、物理與環境安全等方面提出要求。未對標云評估標準開展云計算服務安全管理的，依據數據安全法第四十四條，在發現數據處理活動存在較大安全風險的情況下，由有關主管部門按照規定的權限和程序進行約談，并要求采取措施進行整改，消除隱患。合規管理建議（三）建議云服務商在開展面向關鍵基礎設施、黨政機關

41、業務時高度重視云計算服務安全評估工作，根據云計算服務安全評估辦法第六條的規定，切實做好所提交各項材料的真實性與可靠性。保證云技術的安全性和可靠性，包括但不限于加強系統漏洞掃描能力、應急能力、災難恢復能力等技術能力；保障云服務相關證照有效性，包括但不限于許可證到期的延續、許可證內容的更新等。合規指引2506商用密碼應用（一）法律法規要求（二）合規風險分析（三）合規管理建議數字政府政務云建設網絡安全法律風險26商用密碼應用中華人民共和國密碼法（全國人民代表大會常務委員會，2019 年 10月 26 日通過）第二十六條 涉及國家安全、國計民生、社會公共利益的商用密碼產品，應當依法列入網絡關鍵設備和網

42、絡安全專用產品目錄，由具備資格的機構檢測認證合格后，方可銷售或者提供。商用密碼產品檢測認證適用中華人民共和國網絡安全法的有關規定，避免重復檢測認證。商用密碼服務使用網絡關鍵設備和網絡安全專用產品的，應當經商用密碼認證機構對該商用密碼服務認證合格。第二十七條 法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接，避免重復評估、測評。關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務，可能影響國家安全

43、的，應當按照中華人民共和國網絡安全法的規定，通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。第三十六條 違反本法第二十六條規定，銷售或者提供未經檢測認證或者檢測認證不合格的商用密碼產品，或者提供未經認證或者認證不合格的商用密碼服務的，由市場監督管理部門會同密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法產品和違法所得；違法所得十萬元以上的，可以并處違法所得一倍以上三倍以下罰款；沒有違法所得或者違法所得不足十萬元的，可以并處三萬法律法規要求（一）合規指引27元以上十萬元以下罰款。第三十七條 關鍵信息基礎設施的運營者違反本法第二十七條第一款規定，未按照要求使用商用密碼，或

44、者未按照要求開展商用密碼應用安全性評估的，由密碼管理部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。關鍵信息基礎設施的運營者違反本法第二十七條第二款規定，使用未經安全審查或者安全審查未通過的產品或者服務的，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。國家政務信息化項目建設管理辦法（國務院辦公廳，2020 年 1 月 21日發布）第十五條 項目建設單位應當落實國家密碼管理有關法律法規和標準規范的要求，同步規劃、同步建設、同步

45、運行密碼保障系統并定期進行評估。第二十五條 國家政務信息化項目建成后半年內，項目建設單位應當按照國家有關規定申請審批部門組織驗收，提交驗收申請報告時應當一并附上項目建設總結、財務報告、審計報告、安全風險評估報告（包括涉密信息系統安全保密測評報告或者非涉密信息系統網絡安全等級保護測評報告等）、密碼應用安全性評估報告等材料。項目建設單位不能按期申請驗收的，應當向項目審批部門提出延期驗收申請。項目審批部門應當及時組織驗收。驗收完成后，項目建設單位應當將驗收報告等材料報項目審批部門備案。第三十條 各部門應當嚴格遵守有關保密等法律法規規定，構建全方位、多層次、一致性的防護體系，按要求采用密碼技術，并定期

46、開展密碼應用安全性評估，確保政務信息系統運行安全和政務信息資源共享交換的數據安全。數字政府政務云建設網絡安全法律風險28商用密碼應用安全性評估管理辦法（試行）（國家密碼管理局，2017年 4 月 22 日實施）第三條 涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位（以下簡稱責任單位）應當健全密碼保障體系，實施商用密碼應用安全性評估。重要領域網絡和信息系統包括：基礎信息網絡、涉及國計民生和基礎信息資源的重要信息系統、重要工業控制系統、面向社會服務的政務信息系統，以及關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統。第八條 重要領域網絡和信息系統規劃階段、責任單位應

47、當依據商用密碼應用安全性有關標準，制定商用密碼應用建設方案，組織專家或委托測評機構進行評估。評估結果作為項目規劃立項的重要依據和申報使用財政性資金項目的必備材料。第九條 重要領域網絡和信息系統建設完成后，責任單位應當委托測評機構進行商用密碼應用安全性評估，評估結果作為項目建設驗收的必備材料。第十條 重要領域網絡和信息系統投入運行后，責任單位應當委托測評機構定期開展商用密碼應用安全性評估，評估未通過，責任單位應當限期整改并重新組織評估。關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統，每年至少評估一次，測評機構可將商用密碼應用安全性評估與關鍵信息基礎設施網絡安全測評、網絡安全等級保護測評同

48、步進行，其他信息系統定期開展檢查和抽查。第十一條 重要領域網絡和信息系統發生密碼相關重大安全事件、重大調整或特殊緊急情況，責任單位應當及時組織測評機構開展商用密碼應用安全性評估。第十二條 測評機構完成商用密碼應用安全性評估工作后，應在 30 個工作日內將評估結果報國家密碼管理部門備案。責任單位完成規劃、建設、運行和應合規指引29合規風險分析（二）1.未按法律要求購買使用商用密碼產品的法律風險2.未按法律要求開展商用密碼應用安全評估的法律風險根據密碼法第二十六條的要求，政務云服務涉及國家安全、國計民生和社會公共利益，云服務商應當選用依法列入網絡關鍵設備和網絡安全專用產品目錄的商用密碼產品。云服務

49、商未落實上述要求的，根據密碼法第三十六條的規定由有關部門責令改正，給予警告，拒不改正或者導致危害網絡安全等后果的，對運營者及其直接負責的主管人員處以一定數額罰款。根據密碼法第二十七條、國家政務信息化項目建設管理辦法第十五條、商用密碼應用安全性評估管理辦法（試行）第九條、第十條的要求，云服務商在立項前、結項后都應當進行商用密碼應用安全性評估。云服務商應當開展商用密碼應用安全性評估，可能影響國家安全的，應當通過有關部門組織的國家安全審查。云服務商未落實上述要求的，根據密碼法第三十七條的規定由有關部門責令改正，給予警告，拒不改正或者導致危害網絡安全等后果的，對運營者及其直接負責的主管人員處以一定數額

50、罰款。急評估后，應在 30 個工作日內將評估結果報主管部門及所在地區（部門）密碼管理部門備案，其中，網絡安全等級保護第三級及以上信息系統，評估結果應同時報所在地區公安部門備案。數字政府政務云建設網絡安全法律風險30合規管理建議（三）建議云服務商根據密碼法的規定，為政務信息系統的安全可靠運行提供全面高效的密碼支撐，保證云平臺底座和云上服務均達到國家密碼安全應用要求。涉及國家安全、國計民生、社會公共利益的商用密碼產品，云服務商應當采購依法列入網絡關鍵設備和網絡安全專用產品目錄的、并經檢測認證合格的商用密碼產品。同時，建議云服務商按照商用密碼應用安全性評估管理辦法（試行）第十二條的要求使用商用密碼，

51、開展商用密碼應用安全性評估。服務商采購涉及商用密碼的網絡產品和服務涉及國家安全時，應當通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。完成政務云建設后，應當向所在地區（部門）密碼管理部門、公安部門備案。合規指引3107供應鏈安全（一）法律法規要求（二）合規風險分析（三）合規管理建議數字政府政務云建設網絡安全法律風險32中華人民共和國網絡安全法（全國人民代表大會常務委員會，2016 年11 月 7 日通過）第三十五條 關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。第六十五條 關鍵信息基礎設施的運營者違反

52、本法第三十五條規定，使用未經安全審查或者安全審查未通過的網絡產品或者服務的，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。供應鏈安全法律法規要求（一）網絡安全審查辦法（國家互聯網信息辦公室、國家發展和改革委員會(含原國家發展計劃委員會、原國家計劃委員會)、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局，2021 年11 月 16 日通過）第五條 關鍵信息基礎設施運營者采購網絡產品和服務的，應當預判該產品和服

53、務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查。關鍵信息基礎設施安全保護工作部門可以制定本行業、本領域預判指南。第六條 對于申報網絡安全審查的采購活動，關鍵信息基礎設施運營者應當合規指引33通過采購文件、協議等要求產品和服務提供者配合網絡安全審查，包括承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備，無正當理由不中斷產品供應或者必要的技術支持服務等。第十條 網絡安全審查重點評估相關對象或者情形的以下國家安全風險因素：（一）產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險；（二）產品和服務

54、供應中斷對關鍵信息基礎設施業務連續性的危害；（三）產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；（四）產品和服務提供者遵守中國法律、行政法規、部門規章情況；（五）核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險；（六）上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網絡信息安全風險；（七）其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的因素。第二十條 當事人違反本辦法規定的，依照中華人民共和國網絡安全法、中華人民共和國數據安全法的規定

55、處理。合規風險分析（二）1.采購網絡產品和服務未預判國家安全風險相關法律風險根據網絡安全法第三十五條、網絡安全審查辦法第五條的規定，云服務商基于關鍵信息基礎設施運營者的授權采購網絡產品和服務時，應當對其是數字政府政務云建設網絡安全法律風險345.2否可能導致國家安全風險具有預判，并及時向網絡安全審查辦公室申報網絡安全審查。關基運營者未申報審查的，根據網絡安全法第六十五條由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。合規管理建議（三）建議云服務商在與關鍵信息基礎設施運營者簽署相關協議時，仔細評估自己的有關合規義務，如

56、涉及有采購權的，應當根據法律的規定以及合同約定，發現網絡產品和服務可能導致國家安全風險的，應當通過采購文件、協議等要求產品和服務提供者配合有關部門進行安全審查，并要求提供者承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備，無正當理由不中斷產品供應或者必要的技術支持服務等。合規指引3508政務數據安全（一）法律法規要求（二）合規風險分析（三）合規管理建議數字政府政務云建設網絡安全法律風險36中華人民共和國網絡安全法（全國人民代表大會常務委員會，2016 年11 月 7 日通過）第三十七條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應

57、當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。第六十六條 關鍵信息基礎設施的運營者違反本法第三十七條規定，在境外存儲網絡數據，或者向境外提供網絡數據的，由有關主管部門責令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。供應鏈安全法律法規要求（一）中華人民共和國數據安全法（全國人民代表大會常務委員會，2021 年6 月 10 日通過）第三十一條

58、 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用中華人民共和國網絡安全法的規定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。第三十八條 國家機關為履行法定職責的需要收集、使用數據，應當在其履合規指引37中華人民共和國個人信息保護法（全國人民代表大會常務委員會，2021 年 8 月 20 日通過）第十三條 符合下列情形之一的，個人信息處理者方可處理個人信息：（一）取得個人的同意；（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實

59、施人力資源管理所必需；（三）為履行法定職責或者法定義務所必需；（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；（五）為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息；（六）依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；（七）法律、行政法規規定的其他情形。依照本法其他有關規定，處理個行法定職責的范圍內依照法律、行政法規規定的條件和程序進行；對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密，不得泄露或者非法向他人提供。第四十六條 違反本法第三十一條規定，向境外提供重要數據的，由有關

60、主管部門責令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；情節嚴重的，處一百萬元以上一千萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。數字政府政務云建設網絡安全法律風險38合規風險分析（二）1.未按照法律要求向境外提供數據的法律風險根據網絡安全法第六十六條、數據安全法第三十一條、個人信息人信息應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。第十四條 基于個人同意處理個人信息的，該同意應當由個

61、人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定。個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。第十六條 個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外。第十九條 除法律、行政法規另有規定外，個人信息的保存期限應當為實現處理目的所必要的最短時間。第二十三條 個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。

62、接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。第三十六條 國家機關處理的個人信息應當在中華人民共和國境內存儲；確需向境外提供的，應當進行安全評估。安全評估可以要求有關部門提供支持與協助。合規指引392.未履行個人信息和數據安全保護義務的法律風險根據數據安全法第三十八條、個人信息保護法第二十三條等規定，作為受托方的云服務商應當依照法律、法規的規定和合同約定履行數據安全保護義務，不得擅自留存、使用、泄露或者向他人提供在此過程中收集的個人信息。否則，根據個人信息保護法第六十六條等規定，由履行個人信息保護

63、職責的部門責令改正，給予警告，沒收違法所得，并對直接負責的主管人員和其他直接責任人員處一定罰款。上述情節嚴重的，可能被吊銷相關業務許可或者吊銷營業執照，并對直接負責的主管人員和其他直接責任人員處較高罰款。保護法第三十六條等規定，作為關鍵信息基礎設施的運營者，原則上不能向境外提供數據，若未按照法律規定向境外提供數據的，由有關主管部門責令改正，給予警告，并處以一定數額罰款。情節嚴重的，可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照等處罰。5.2合規管理建議（三）建議云服務商根據數據安全法第三十六條等規定，仔細評估在數據處理中的法律關系和法律地位，并根據評估結果確定對應的合規義務。同時，建議云服務商根據個人信息保護法第二十三條等規定，在接受委托期間應僅在委托方的授權范圍內處理個人信息和數據，依法采取嚴格的安全保護措施，配合委托方履行個人信息保護責任，并在服務終止后依法刪除委托方提供的相應數據。應從安全管理的角度把控政務云系統有序持久運行，加強漏洞風險的管理，建設整套體系化流程的安全保障措施框架。