四部门发布《云计算服务安全评估办法》 自9月1日起施行

  中新经纬客户端7月22日电 据中国网信网消息,近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部联合发布《云计算服务安全评估办法》(以下简称《评估办法》)。《评估办法》提出,云计算服务安全评估重点评估内容包括云平台技术、产品和服务供应链安全情况等。《评估办法》自2019年9月1日起施行。

  《评估办法》明确,云计算服务安全评估坚持事前评估与持续监督相结合,保障安全与促进应用相统一,依据有关法律法规和政策规定,参照国家有关网络安全标准,发挥专业技术机构、专家作用,客观评价、严格监督云计算服务平台(以下简称“云平台”)的安全性、可控性,为党政机关、关键信息基础设施运营者采购云计算服务提供参考。

  《评估办法》提出,云计算服务安全评估重点评估内容为:云平台管理运营者(以下简称“云服务商”)的征信、经营状况等基本情况;云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;云平台技术、产品和服务供应链安全情况;云服务商安全管理能力及云平台安全防护情况;客户迁移数据的可行性和便捷性;云服务商的业务连续性;其他可服务安全的因素。

  《评估办法》明确,云计算服务安全评估结果有效期3年。有效期届满需要延续保持评估结果的,云服务商应在届满前至少6个月向办公室申请复评。

  中国网信网还公布了《云计算服务安全评估办法》有关问题解答。

  1、组织开展云计算服务安全评估的目的是什么?

  答:开展云计算服务安全评估,是为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,降低采购使用云计算服务带来的网络安全风险,增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。

  2、云计算服务安全评估的对象是什么?

  答:云计算服务安全评估是依据云服务商申请,对面向党政机关、关键信息基础设施提供云计算服务的云平台进行的安全评估。同一云服务商运营的不同云平台,需要分别申请安全评估。

  3、何时起云服务商可申请评估?需要提交哪些材料?

  答:自2019年9月1日起云服务商可以正式提交云计算服务安全评估申请。需要提交的材料包括申报书、云计算服务系统安全计划、业务连续性和供应链安全报告、客户数据可迁移性分析报告等。有关申报材料模版将在中国网信网提供下载。

  4、已通过党政部门云计算服务网络安全审查的云平台,是否还需要申请云计算服务安全评估?

  答:前期已经通过党政部门云计算服务网络安全审查的云平台,视同为已通过云计算服务安全评估,不需要再重新申请。

  5、云计算服务安全评估主要参照哪些标准?

  答:云计算服务安全评估主要参照国家标准《云计算服务安全能力要求》、《云计算服务安全指南》,其中《云计算服务安全能力要求》从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面提出要求。

  6、云计算服务安全评估有哪些主要环节?

  答:主要包括申报、受理、专业技术机构评价、云计算服务安全评估专家组综合评价、云计算服务安全评估工作协调机制审议、国家互联网信息办公室核准、评估结果发布、持续监督等环节。

  7、云计算服务安全评估结果在哪里查询?有效期多长时间?

  答:评估结果将由国家互联网信息办公室网络安全协调局在中国网信网公布。评估结果有效期为3年。

  8、云计算服务安全评估如何保护被评估方的商业秘密和知识产权?

  答:云计算服务安全评估过程中,参与评估工作的单位和人员对云服务商提交的非公开材料或在评估中获悉的非公开信息承担保密义务,严格保护云服务商的商业秘密和知识产权。如果云服务商认为有关单位和人员未能承担保密义务的,可以向国家互联网信息办公室或有关部门举报。

  9、关于云计算服务安全评估问题可向谁咨询?

  答:有关云计算服务安全评估的其他具体事项,可发送电子邮件到yunpinggu@cac.gov.cn或拨打010-55635861咨询。(中新经纬APP)

【编辑:王永乐】