南宁市电子政务云暂行管理办法

第一章 总 则

第一条 为规范南宁市电子政务云（以下简称“政务云”）管理，提高云资源使用效益，促进集约化管理和应用，根据《广西壮族自治区大数据发展局关于印发壮美广西·政务云管理办法的通知》（桂数发〔2020〕10号）、《南宁市人民政府办公室关于印发南宁市推进政务数据“聚通用”工作方案的通知》（南府办函〔2019〕247号）等有关规定，制定本办法。

第二条 本办法所称政务云，是指通过政府购买云资源服务或统筹利用已有数据中心（含机房，下同）、计算、存储、网络、安全、应用支撑等资源，运用云计算技术，发挥高可靠性、高可扩展性及快速、按需、弹性服务等优势，承载全市非涉密信息系统和政务数据，为各部门各单位（以下统称“使用单位”）提供基础设施、支撑软件和信息安全等云服务。

政务云架构为“1+N”。其中，“1”为以市级政务云为支撑、“N”为市各部门各单位自建的行业云为补充，组成物理分散、逻辑集中、整体联动的政务云。

第三条 本办法所称云资源，是指依托政务云，为使用单位提供云计算、云存储、云数据库、云网络、云安全、云灾备及支撑软件等资源。

第四条 政务云按照统筹规划、分级管理、资源共享的原则建设和管理，采用政府购买服务方式统一采购云资源。市各部门各单位原则上不再新建云平台和数据中心，不得扩容已有的自建数据中心，不再租用第三方数据中心，不得自行对外购买第三方云资源服务，统一使用政务云提供的云资源。各部门各单位现有的非涉密信息系统应逐步迁移到政务云，新建和改扩建的非涉密信息系统基于政务云提供的云资源进行建设。

第五条 本办法适用于政务云的规划、建设、运维和管理。

第二章 职责分工

第六条 市大数据发展局是政务云主管部门，负责政务云统筹规划、建设应用、监督和安全管理。

第七条 市信息网络管理中心负责政务云的日常业务管理，承担市级政务云的建设、运维和安全管理，组织开展市本级存量数据中心认定和市本级非涉密信息系统迁移上云。

第八条 政务云服务商是指政务云承建单位（公司）或维护单位（公司），接受市大数据发展局监督和管理，负责政务云运行维护，保障政务云稳定、安全运行，协助市信息网络管理中心、使用单位做好信息系统上云相关工作。

第九条 政务云安全服务商是指为政务云及上云信息系统提供安全服务的单位（公司），接受市大数据发展局监督和管理，其主要提供安全监测、安全扫描、安全检查、驻场值班等安全服务，向市大数据发展局、市信息网络管理中心、政务云服务商、使用单位出具政务云、信息系统相关安全报告，协助开展安全整改工作。

第十条 市委网信办会同市国家保密局、市公安局负责政务云及其承载信息系统、政务数据的安全监管工作。

第十一条 市财政局负责市级政务云建设、升级扩容和运行维护等费用的统筹安排。

第十二条 各县（区）人民政府、开发区管委会负责统筹安排本级云资源使用费。

第十三条 使用单位按需合理提出云资源使用需求，负责本单位信息系统的开发测试、迁移部署、运行维护、监控管理、系统网络安全等级保护测评、安全防护等，配合完成政务云安全检查、应急演练、统计监测、服务质量评价考核等工作。

第十四条 各县（区、开发区）及以下原则上不建设云平台，基于政务云部署非涉密信息系统。

第三章 存量数据中心认定

第十五条 存量数据中心按建设方式分为自建数据中心和租用第三方数据中心。

第十六条 各部门各单位的自建数据中心应满足以下认定标准：

（一）网络。自建数据中心应与南宁市电子政务外网实现互联互通，原则上使用市级政务外网互联网出口，支持IPv6协议。

（二）技术。依托自建数据中心建设的云平台应满足《基于云计算的电子政务公共平台技术规范》（GB/T33780-2017），开发与开放相应数据接口，与南宁市多云监管平台实现对接。

（三）规模。每个自建数据中心面积不小于140平米，机架数不少于30个，配套有消防系统、UPS系统、空调系统、视频监控系统、门禁系统等。

（四）运维。自建数据中心应具备不少于3人的专职运维团队，具备7×24小时运维服务能力。

（五）安全。自建数据中心应满足《网络安全等级保护基本要求》（GB/T22239-2019）的第三级安全通用和云计算安全扩展要求，并通过网络安全等级保护测评。

第十七条 各部门各单位的自建数据中心应执行以下认定流程：

（一）自查。各部门各单位全面自查存量数据中心情况，向市大数据发展局报送相关信息。

（二）申请。各部门各单位对照本办法第十六条，向市大数据发展局提出自建数据中心的认定申请，提交经批复的自建数据中心项目实施方案或可行性研究报告或初步设计方案（根据项目总投资确定，下同）及批复文件。

（三）评估。市信息网络管理中心组织开展现场勘查，必要时组织技术评审，应在15个工作日内提出评估意见。

（四）审批。市大数据发展局应在5个工作日内完成认定审批。通过认定审批的，可暂时保留，保留期限为3年。

（五）迁移上云。对通过认定审批的自建数据中心，其承载的非涉密信息系统可认定为已暂时完成迁移上云；保留期满后，在1年内完成其承载的非涉密信息系统迁移到政务云。

对未通过认定审批的自建数据中心，在迁移过渡期内完成其承载的非涉密信息系统迁移到政务云。

第十八条 对未通过认定审批的市有关部门自建数据中心，自认定审批完成之日起，按照下列标准设立迁移过渡期：

（一）对现有机架数少于10（含）个的，迁移过渡期为1年。

（二）对机架数多于10个且少于20（含）个的，迁移过渡期为2年。

（三）除本条第一、二款外，其他未通过认定的自建数据中心迁移过渡期为3年。

第十九条 对未通过认定审批的市有关部门自建数据中心，在迁移过渡期内，按照以下流程完成其承载的非涉密信息系统迁移上云工作：

（一）制定计划。市有关部门制定非涉密信息系统迁移上云计划，报送市大数据发展局。

（二）迁移上云。市有关部门按照本办法第二十四条规定申请使用云资源。经批准后，会同市信息网络管理中心组织实施非涉密信息系统迁移上云工作。对因整合而关停并转的非涉密信息系统及其数据，按照其网络安全等级保护要求进行妥善安全处理。

（三）撤销。完成迁移上云后，市有关部门撤销自建数据中心，仅保留用于本部门内部办公的网络设备机房。

（四）统筹利用。市大数据发展局统筹利用已撤销自建数据中心的计算、存储、网络、安全、应用支撑等资源。

第二十条 对承载国家安全、社会稳定、应急处置等敏感数据的自建数据中心，市有关部门向市大数据发展局提出自建数据中心的认定申请。经市信息网络管理中心组织评估后，市大数据发展局应在5个工作日内完成认定审批。通过认定审批的，可暂时保留，保留期限为3年。

第二十一条 对通过认定审批的市有关部门自建数据中心，保留期内，应纳入政务云管理，由原主管部门负责其运维工作；保留期满后，市财政局不再安排通过认定审批的自建数据中心运维资金，因特殊情况仍需暂时保留的，需再次提出自建数据中心的认定申请。

第二十二条 对租用第三方数据中心，市有关部门应按照第十九条第一、二款规定，在现有的租用合约期内完成其承载的非涉密信息系统迁移上云工作，不得以任何形式延长租用合约期。

第四章 使用管理

第二十三条 市大数据发展局负责统一调度政务云资源，统筹利用已有的自建数据中心资源。

第二十四条 市各部门各单位按以下流程申请云资源：

（一）申请。使用单位向市大数据发展局提出云资源使用申请。对新建和改扩建信息系统，需提交经批复的项目实施方案或可行性研究报告或初步设计方案及批复文件；对现有非涉密信息系统，需提交非涉密信息系统迁移上云方案、信息系统性能和安全检测报告。

（二）评估。市信息网络管理中心等相关部门应在7个工作日内提出云资源使用需求的评估意见。对新建和改扩建信息系统，以经批复的项目实施方案或可行性研究报告或初步设计方案及批复文件作为评估依据；对现有非涉密信息系统，由市信息网络管理中心组织开展现场勘查，必要时组织技术评审。

（三）审批。市大数据发展局应在5个工作日完成云资源使用审批。

（四）测试。市信息网络管理中心应在2个工作日内提供试用环境，试用时限原则上为15—30个自然日,试用时间为8:00-16:00、17:00-18:00。使用单位在试用环境中部署信息系统开展测试，并与市信息网络管理中心签订托管协议。

（五）部署。市信息网络管理中心应按照信息系统正常运行所需要的合理值来分配计算、存储、网络带宽等云资源，业务量变化幅度较大的信息系统根据实时需要动态弹性调整所需云资源。使用单位组织信息系统承建公司或维护公司部署信息系统。

（六）上线前检查和整改。市信息网络管理中心组织政务云服务商、政务云安全服务商对信息系统进行安全核查，使用单位对核查发现的问题进行整改。对新建和改扩建信息系统，安全核查时需提交项目验收意见和等级保护测评得分不低于70分的测评报告，且无高危漏洞风险；现有非涉密信息系统迁移上云，安全核查时需提交等级保护测评得分不低于70分的测评报告，且无高危漏洞风险。未完成检查和整改的信息系统不允许上线运行使用，如需上线运行使用，由使用单位报数字南宁建设领导小组审批同意后，信息系统才可以上线运行使用。

（七）上线运行。经上线检查和整改通过后，信息系统才可以上线运行使用，使用单位按照政务云管理、信息系统托管协议等有关要求，做好信息系统运维和安全管理工作，确保信息系统安全、稳定运行。

（八）变更。对需调整云资源配置的，由使用单位向市大数据发展局提交变更申请。经市信息网络管理中心评估后，市大数据发展局应在3个工作日内完成变更审批。审批通过后，市信息网络管理中心应在3个工作日内完成变更。

（九）终止。使用单位不再使用云资源服务时，须做好信息系统下线和数据迁移备份工作，并向市大数据发展局提交终止申请。经市信息网络管理中心评估后，市大数据发展局应在5个工作日内完成终止审批。审批通过后，市信息网络管理中心应在3个工作日内回收资源，终止云资源服务。

第五章 运维管理

第二十五条 市信息网络管理中心做好市级政务云的日常运行维护监管和优化升级工作，实时监测、检查、评估、通报政务云运行和云资源利用情况。对使用效率偏低的信息系统，组织使用单位调低资源量或回收资源。

第二十六条 使用单位在职责范围内合理使用云资源，管理信息系统的日常运行情况，信息系统运行和操作日志信息至少保存6个月以上，建立健全信息系统运维管理制度和应急处置预案。

第六章 安全管理

第二十七条 信息系统部署到政务云后，按照“安全管理责任不变，数据归属关系不变，安全管理标准不变，敏感信息不出境”的原则，使用单位负责信息系统和数据资源的安全管理，市大数据发展局负责政务云的安全管理。

第二十八条 市大数据发展局会同市委网信办、市国家保密局、市公安局等部门定期开展政务云及信息系统安全检查工作，对发现的安全风险问题及时督促相关单位限期整改，未按照整改要求完成整改的信息系统做下线处理。市信息网络管理中心组织政务云服务商、政务云安全服务商对政务云、信息系统开展安全监测、漏洞扫描、安全核查等工作，对监测、扫描、核查发现的问题，市信息网络管理中心、使用单位组织开展整改，不按照整改要求完成整改的信息系统做下线处理。

第二十九条 市信息网络管理中心按照网络安全等级保护第三级对市级政务云实施安全防护，及时发现、定位、分析、控制安全事件，定期通报云安全状况，督促存在问题的使用单位进行整改。

市信息网络管理中心未经使用单位授权，不得访问、修改、披露、利用、转让、销毁使用单位数据资源。信息系统迁出或注销时，要做好数据资源的移交和清除工作。

第三十条 使用单位应加强信息系统日常安全监控，开展信息安全等级保护定级备案及测评工作，按照相应级别开展安全建设；严格按照国家和自治区相关法律、法规，对信息系统产生的数据资源进行安全管理，涉及商业秘密、个人隐私等敏感数据的，严格遵守隐私保护和数据脱敏相关规定要求。

第三十一条 任何单位和个人必须遵守国家有关法律、法规，不得利用政务云侵犯国家、集体利益以及公民的合法权益，严禁利用政务云从事违法犯罪活动。

未经使用单位授权，任何单位和个人不得查看、修改云主机、云数据库、云存储等用户数据，不得泄露、篡改、损毁、复制和利用存储在政务云的数据资源。

第七章 评价管理

第三十二条 市大数据发展局对政务云服务质量进行评价：

（一）使用单位。主要评价其非涉密信息系统迁移上云率、云资源使用效率、信息系统安全管理等情况。评价结果作为下一年度使用云资源分配的参考依据。

（二）暂时保留自建数据中心的市有关部门。主要评价其暂时保留自建数据中心的建设情况、安全运行状况、云服务响应及时性和云服务满意度等情况。评价结果作为自建数据中心继续认定审批的参考依据。

第三十三条 财政部门把政务云服务质量评价结果作为统筹安排部门信息化建设、运维等经费的参考依据。

第八章 附 则

第三十四条 本办法由市大数据发展局负责解释。

第三十五条 本办法自印发之日起施行。

附件：1．存量的自建数据中心认定流程图

2．云资源使用流程图

附件1

存量的自建数据中心认定流程图

附件2

云资源使用流程图