国家网信办等四部门发布《云计算服务安全评估办法》

本篇文章2842字，读完约7分钟

财政部工业和信息化部国家发展和改革委员会国家互联网信息办公室关于发布《云计算服务安全评估办法》的公告

2019年第2期

为提高党政机关和重点信息基础设施运营商购买和使用云计算服务的安全性和可控性，国家互联网信息办公室、国家发改委、工业和信息化部、财政部制定了《云计算服务安全评估办法》，现予以发布。

附件:云计算服务安全评估方法

国家发展和改革委员会国家互联网信息办公室

工业和信息化部财政部

2019年7月2日

云计算服务安全评估方法

第一条为提高党政机关和重点信息基础设施运营商购买和使用云计算服务的安全性和可控性，制定本办法。

第二条云计算服务安全评估坚持事前评估和持续监管相结合，保障安全和促进应用相统一。根据相关法律法规和政策，参照国家相关网络安全标准，发挥专业技术机构和专家的作用，客观评估和严格监管云计算服务平台(以下简称“云平台”)的安全性和可控性，为党政机关和重点信息基础设施运营商购买云计算服务提供参考。

本办法中的云平台包括云计算服务软硬件设施及相关管理系统。

第三条云计算服务安全评估主要包括以下内容:

(一)云平台管理运营商(以下简称“云服务提供商”)信用信息和经营状况的基本信息；

(2)云服务提供商的背景和稳定性，尤其是那些能够访问客户数据和收集相关元数据的提供商；

(3)云平台技术、产品和服务供应链的安全性；

(4)云服务提供商的安全管理能力和云平台的安全保护；

(5)客户数据迁移的可行性和便利性；

(6)云服务提供商的业务连续性；

(七)其他可能影响云服务安全的因素。

第四条国家互联网信息办会同国家发展改革委、工业和信息化部、财政部建立云计算服务安全评估协调机制(以下简称“协调机制”)，审核云计算服务安全评估政策文件，批准云计算服务安全评估结果，协调处理云计算服务安全评估相关重要事宜。

云计算服务安全评估协调机制办公室(以下简称“办公室”)设在国家互联网信息办公室网络安全协调局。

第五条云服务提供商可以申请为党政机关和关键信息基础设施提供云计算服务的云平台的安全评估。

第六条申请安全评估的云服务提供商应向办公室提交以下材料:

(a)声明；

(2)云计算服务系统安全计划；

(3)业务连续性和供应链安全报告；

(4)客户数据可移植性分析报告；

(五)安全评估所需的其他材料。

第七条办公室受理云服务提供商申请后，应组织专业技术机构参照国家相关标准对云平台的安全性进行评估。

第八条专业技术机构应当坚持客观、公正、公平的原则，按照国家有关规定，在办公室的指导和监督下，参照《云计算服务安全指南》、《云计算服务安全能力要求》等国家标准，重点评估本办法第三条所述内容，形成评估报告，并对评估结果负责。

第九条办公室在专业技术机构安全评估的基础上，组织云计算服务安全评估专家组进行综合评估。

第十条云计算服务安全评估专家组根据云服务提供商的申请材料和评估报告，对云计算服务的安全性和可控性进行综合评估，并提出是否通过安全评估的建议。

第十一条云计算服务安全评估专家组的建议经协调机构审核通过后，办公室按程序上报国家互联网信息办公室审批。

云计算服务安全评估结果由办公室发布。

第十二条云计算服务安全评估结果有效期为3年。有效期届满后需要保留评估结果的，云服务提供商应至少在有效期届满前6个月向办公室申请重新评估。

在有效期内，云服务提供商因股权变更或企业重组等原因变更其实际控制人或控制股权的，应重新申请安全评估。

第十三条办公室对通过评估的云平台进行持续监管，组织抽查和受理举报，重点关注安全控制措施的有效性、重大变化、应急响应和风险处置。

如果被评估的云平台不再符合要求，经协调机构审核，国家互联网信息办公室批准后，评估结论将被撤销。

第十四条当被评估的云平台停止提供服务时，云服务提供商应至少提前6个月通知客户和办公室，并配合客户做好迁移工作。

第十五条云服务提供商应对所提供申请材料的真实性负责。在评估过程中，凡拒绝按要求提供材料或故意提供虚假材料的，将不能通过评估处理。

第十六条未经云服务提供商同意，参与评估工作的相关机构和人员不得泄露云服务提供商提交的未公开材料以及评估工作中获知的其他未公开信息，不得将云服务提供商提供的信息用于评估以外的目的。

第十七条本办法自2019年9月1日起施行。

关于“云计算服务安全评估方法”的问题解答

1.组织云计算服务安全评估的目的是什么？

答:开展云计算服务安全评估的目的是提高党政机关和重点信息基础设施运营商购买和使用云计算服务的安全可控水平，降低购买和使用云计算服务带来的网络安全风险，增强党政机关和重点信息基础设施运营商将业务和数据迁移到云服务平台的信心。

2.云计算服务安全评估的对象是什么？

答:云计算服务安全评估是指根据云服务提供商的应用，为党政机关和关键信息基础设施提供云计算服务的云平台的安全评估。同一云服务提供商运营的不同云平台需要分别申请安全评估。

3.云服务提供商何时可以申请评估？需要提交哪些材料？

答:从2019年9月1日起，云服务提供商可以正式提交云计算服务安全评估申请。提交的材料包括声明、云计算服务系统安全计划、业务连续性和供应链安全报告、客户数据移动性分析报告等。相关申请材料的模板可在中国网通下载。

4.已经通过党政部门云计算服务网络安全审查的云平台是否需要申请云计算服务安全评估？

答:前期通过党政部门云计算服务网络安全审查的云平台，视为通过云计算服务安全评估，无需重新申请。

5.云计算服务安全评估主要指什么标准？

答:云计算服务安全评估主要是指国家标准《云计算服务安全能力要求》和《云计算服务安全指南》，其中《云计算服务安全能力要求》从系统开发和供应链安全、系统和通信保护、访问控制、配置管理、维护、应急响应和灾难恢复、审计、风险评估和持续监控、安全组织和人员、物理和环境安全等方面提出了要求。

6.云计算服务安全评估的主要环节是什么？

答:主要包括申报、受理、专业技术机构评估、云计算服务安全评估专家组综合评估、云计算服务安全评估协调机制审查、国家互联网信息办公室审批、评估结果发布和持续监管。

7.我在哪里可以找到云计算服务安全评估的结果？有效期有多长？

答:评估结果将由国家互联网信息办公室网络安全协调局在中国网通公布。评估结果有效期为3年。

8.云计算服务安全评估中如何保护被评估方的商业秘密和知识产权？

答:在云计算服务安全评估过程中，参与评估的单位和人员应承担对云服务提供商提交的非公开材料或评估过程中获知的非公开信息保密的义务，并严格保护云服务提供商的商业秘密和知识产权。云服务提供商认为相关单位和人员未能承担保密义务的，可以向国家互联网信息办公室或相关部门报告。

9.关于云计算服务的安全评估，我可以向谁咨询？

答:有关云计算服务安全评估的其他具体事宜，请发邮件至yunpinggu@cac.gov或致电010-55635861咨询。