導 讀

為提高黨政機關(guān)、關(guān)鍵信息基礎設施運營(yíng)者采購使用云計算服務(wù)的安全可控水平，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會(huì )、工業(yè)和信息化部、財政部印發(fā)《云計算服務(wù)安全評估辦法》，將于2019年9月1日起施行。重點(diǎn)評估內容包括：云服務(wù)商的征信、經(jīng)營(yíng)狀況等基本情況；云服務(wù)商人員背景及穩定性，特別是能夠訪(fǎng)問(wèn)客戶(hù)數據、能夠收集相關(guān)元數據的人員；云平臺技術(shù)、產(chǎn)品和服務(wù)供應鏈安全情況；云服務(wù)商安全管理能力及云平臺安全防護情況；客戶(hù)遷移數據的可行性和便捷性；云服務(wù)商的業(yè)務(wù)連續性等。

國家互聯(lián)網(wǎng)信息辦公室

國家發(fā)展和改革委員會(huì )

工業(yè)和信息化部

財政部

關(guān)于發(fā)布《云計算服務(wù)安全評估辦法》的公告

2019年　第2號

為提高黨政機關(guān)、關(guān)鍵信息基礎設施運營(yíng)者采購使用云計算服務(wù)的安全可控水平，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會(huì )、工業(yè)和信息化部、財政部制定了《云計算服務(wù)安全評估辦法》，現予以發(fā)布。

附件：云計算服務(wù)安全評估辦法

國家互聯(lián)網(wǎng)信息辦公室

國家發(fā)展和改革委員會(huì )

工業(yè)和信息化部

財政部

2019年7月2日

附件：云計算服務(wù)安全評估辦法

第一條　為提高黨政機關(guān)、關(guān)鍵信息基礎設施運營(yíng)者采購使用云計算服務(wù)的安全可控水平，制定本辦法。

第二條　云計算服務(wù)安全評估堅持事前評估與持續監督相結合，保障安全與促進(jìn)應用相統一，依據有關(guān)法律法規和政策規定，參照國家有關(guān)網(wǎng)絡(luò )安全標準，發(fā)揮專(zhuān)業(yè)技術(shù)機構、專(zhuān)家作用，客觀(guān)評價(jià)、嚴格監督云計算服務(wù)平臺（以下簡(jiǎn)稱(chēng)“云平臺”）的安全性、可控性，為黨政機關(guān)、關(guān)鍵信息基礎設施運營(yíng)者采購云計算服務(wù)提供參考。

本辦法中的云平臺包括云計算服務(wù)軟硬件設施及其相關(guān)管理制度等。

第三條　云計算服務(wù)安全評估重點(diǎn)評估以下內容：

（一）云平臺管理運營(yíng)者（以下簡(jiǎn)稱(chēng)“云服務(wù)商”）的征信、經(jīng)營(yíng)狀況等基本情況；

（二）云服務(wù)商人員背景及穩定性，特別是能夠訪(fǎng)問(wèn)客戶(hù)數據、能夠收集相關(guān)元數據的人員；

（三）云平臺技術(shù)、產(chǎn)品和服務(wù)供應鏈安全情況；

（四）云服務(wù)商安全管理能力及云平臺安全防護情況；

（五）客戶(hù)遷移數據的可行性和便捷性；

（六）云服務(wù)商的業(yè)務(wù)連續性；

（七）其他可能影響云服務(wù)安全的因素。

第四條　國家互聯(lián)網(wǎng)信息辦公室會(huì )同國家發(fā)展和改革委員會(huì )、工業(yè)和信息化部、財政部建立云計算服務(wù)安全評估工作協(xié)調機制（以下簡(jiǎn)稱(chēng)“協(xié)調機制”），審議云計算服務(wù)安全評估政策文件，批準云計算服務(wù)安全評估結果，協(xié)調處理云計算服務(wù)安全評估有關(guān)重要事項。

云計算服務(wù)安全評估工作協(xié)調機制辦公室（以下簡(jiǎn)稱(chēng)“辦公室”）設在國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò )安全協(xié)調局。

第五條　云服務(wù)商可申請對面向黨政機關(guān)、關(guān)鍵信息基礎設施提供云計算服務(wù)的云平臺進(jìn)行安全評估。

第六條　申請安全評估的云服務(wù)商應向辦公室提交以下材料：

（一）申報書(shū)；

（二）云計算服務(wù)系統安全計劃；

（三）業(yè)務(wù)連續性和供應鏈安全報告；

（四）客戶(hù)數據可遷移性分析報告；

（五）安全評估工作需要的其他材料。

第七條　辦公室受理云服務(wù)商申請后，組織專(zhuān)業(yè)技術(shù)機構參照國家有關(guān)標準對云平臺進(jìn)行安全評價(jià)。

第八條　專(zhuān)業(yè)技術(shù)機構應堅持客觀(guān)、公正、公平的原則，按照國家有關(guān)規定，在辦公室指導監督下，參照《云計算服務(wù)安全指南》《云計算服務(wù)安全能力要求》等國家標準，重點(diǎn)評價(jià)本辦法第三條所述內容，形成評價(jià)報告，并對評價(jià)結果負責。

第九條　辦公室在專(zhuān)業(yè)技術(shù)機構安全評價(jià)基礎上，組織云計算服務(wù)安全評估專(zhuān)家組進(jìn)行綜合評價(jià)。

第十條　云計算服務(wù)安全評估專(zhuān)家組根據云服務(wù)商申報材料、評價(jià)報告等，綜合評價(jià)云計算服務(wù)的安全性、可控性，提出是否通過(guò)安全評估的建議。

第十一條　云計算服務(wù)安全評估專(zhuān)家組的建議經(jīng)協(xié)調機制審議通過(guò)后，辦公室按程序報國家互聯(lián)網(wǎng)信息辦公室核準。

云計算服務(wù)安全評估結果由辦公室發(fā)布。

第十二條　云計算服務(wù)安全評估結果有效期3年。有效期屆滿(mǎn)需要延續保持評估結果的，云服務(wù)商應在屆滿(mǎn)前至少6個(gè)月向辦公室申請復評。

有效期內，云服務(wù)商因股權變更、企業(yè)重組等導致實(shí)控人或控股權發(fā)生變化的，應重新申請安全評估。

第十三條　辦公室通過(guò)組織抽查、接受舉報等形式，對通過(guò)評估的云平臺開(kāi)展持續監督，重點(diǎn)監督有關(guān)安全控制措施有效性、重大變更、應急響應、風(fēng)險處置等內容。

通過(guò)評估的云平臺已不再滿(mǎn)足要求的，經(jīng)協(xié)調機制審議、國家互聯(lián)網(wǎng)信息辦公室核準后撤銷(xiāo)通過(guò)評估的結論。

第十四條　通過(guò)評估的云平臺停止提供服務(wù)時(shí)，云服務(wù)商應至少提前6個(gè)月通知客戶(hù)和辦公室，并配合客戶(hù)做好遷移工作。

第十五條　云服務(wù)商對所提供申報材料的真實(shí)性負責。在評估過(guò)程中拒絕按要求提供材料或故意提供虛假材料的，按評估不通過(guò)處理。

第十六條　未經(jīng)云服務(wù)商同意，參與評估工作的相關(guān)機構和人員不得披露云服務(wù)商提交的未公開(kāi)材料以及評估工作中獲悉的其他非公開(kāi)信息，不得將云服務(wù)商提供的信息用于評估以外的目的。

第十七條　本辦法自2019年9月1日起施行。

《云計算服務(wù)安全評估辦法》有關(guān)問(wèn)題解答

Q:

組織開(kāi)展云計算服務(wù)安全評估的目的是什么？

A:

開(kāi)展云計算服務(wù)安全評估，是為了提高黨政機關(guān)、關(guān)鍵信息基礎設施運營(yíng)者采購使用云計算服務(wù)的安全可控水平，降低采購使用云計算服務(wù)帶來(lái)的網(wǎng)絡(luò )安全風(fēng)險，增強黨政機關(guān)、關(guān)鍵信息基礎設施運營(yíng)者將業(yè)務(wù)及數據向云服務(wù)平臺遷移的信心。

Q:

云計算服務(wù)安全評估的對象是什么？

A:

云計算服務(wù)安全評估是依據云服務(wù)商申請，對面向黨政機關(guān)、關(guān)鍵信息基礎設施提供云計算服務(wù)的云平臺進(jìn)行的安全評估。同一云服務(wù)商運營(yíng)的不同云平臺，需要分別申請安全評估。

Q:

何時(shí)起云服務(wù)商可申請評估？需要提交哪些材料？

A:

自2019年9月1日起云服務(wù)商可以正式提交云計算服務(wù)安全評估申請。需要提交的材料包括申報書(shū)、云計算服務(wù)系統安全計劃、業(yè)務(wù)連續性和供應鏈安全報告、客戶(hù)數據可遷移性分析報告等。有關(guān)申報材料模版將在中國網(wǎng)信網(wǎng)提供下載。

Q:

已通過(guò)黨政部門(mén)云計算服務(wù)網(wǎng)絡(luò )安全審查的云平臺，是否還需要申請云計算服務(wù)安全評估？

A:

前期已經(jīng)通過(guò)黨政部門(mén)云計算服務(wù)網(wǎng)絡(luò )安全審查的云平臺，視同為已通過(guò)云計算服務(wù)安全評估，不需要再重新申請。

Q:

云計算服務(wù)安全評估主要參照哪些標準？

A:

云計算服務(wù)安全評估主要參照國家標準《云計算服務(wù)安全能力要求》、《云計算服務(wù)安全指南》，其中《云計算服務(wù)安全能力要求》從系統開(kāi)發(fā)與供應鏈安全、系統與通信保護、訪(fǎng)問(wèn)控制、配置管理、維護、應急響應與災備、審計、風(fēng)險評估與持續監控、安全組織與人員、物理與環(huán)境安全等方面提出要求。

Q:

云計算服務(wù)安全評估有哪些主要環(huán)節？

A:

主要包括申報、受理、專(zhuān)業(yè)技術(shù)機構評價(jià)、云計算服務(wù)安全評估專(zhuān)家組綜合評價(jià)、云計算服務(wù)安全評估工作協(xié)調機制審議、國家互聯(lián)網(wǎng)信息辦公室核準、評估結果發(fā)布、持續監督等環(huán)節。

Q:

云計算服務(wù)安全評估結果在哪里查詢(xún)？有效期多長(cháng)時(shí)間？

A:

評估結果將由國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò )安全協(xié)調局在中國網(wǎng)信網(wǎng)公布。評估結果有效期為3年。

Q:

云計算服務(wù)安全評估如何保護被評估方的商業(yè)秘密和知識產(chǎn)權？

A:

云計算服務(wù)安全評估過(guò)程中，參與評估工作的單位和人員對云服務(wù)商提交的非公開(kāi)材料或在評估中獲悉的非公開(kāi)信息承擔保密義務(wù)，嚴格保護云服務(wù)商的商業(yè)秘密和知識產(chǎn)權。如果云服務(wù)商認為有關(guān)單位和人員未能承擔保密義務(wù)的，可以向國家互聯(lián)網(wǎng)信息辦公室或有關(guān)部門(mén)舉報。

Q:

關(guān)于云計算服務(wù)安全評估問(wèn)題可向誰(shuí)咨詢(xún)？

A:

有關(guān)云計算服務(wù)安全評估的其他具體事項，可發(fā)送電子郵件到yunpinggu@cac.gov.cn或撥打010-55635861咨詢(xún)。

來(lái)源：工業(yè)和信息化部網(wǎng)絡(luò )安全管理局、中國網(wǎng)信網(wǎng)