網(wǎng)信辦等四部門聯(lián)合發(fā)布《云計算服務(wù)安全評估辦法》

　　7月22日消息 為了進一步提高云計算服務(wù)的安全可控水平，國家網(wǎng)信辦、發(fā)改委、工信部下面和財政部等四部委日前聯(lián)合發(fā)布了《云計算服務(wù)安全評估辦法》，且相關(guān)的評估結(jié)果將公布在中國網(wǎng)信網(wǎng)上！下面讓我們來了解一下。

　　據(jù)悉，云計算服務(wù)安全評估將重點評估云平臺管理運營者的征信、經(jīng)營狀況等基本情況，云平臺技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況以及云服務(wù)商安全管理能力及云平臺安全防護情況等，而評估結(jié)果的有效期為3年。

　　以下為《云計算服務(wù)安全評估辦法》全文：

　　第一條 為提高黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購使用云計算服務(wù)的安全可控水平，制定本辦法。

　　第二條 云計算服務(wù)安全評估堅持事前評估與持續(xù)監(jiān)督相結(jié)合，保障安全與促進應(yīng)用相統(tǒng)一，依據(jù)有關(guān)法律法規(guī)和政策規(guī)定，參照國家有關(guān)網(wǎng)絡(luò)安全標準，發(fā)揮專業(yè)技術(shù)機構(gòu)、專家作用，客觀評價、嚴格監(jiān)督云計算服務(wù)平臺（以下簡稱“云平臺”）的安全性、可控性，為黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購云計算服務(wù)提供參考。

　　本辦法中的云平臺包括云計算服務(wù)軟硬件設(shè)施及其相關(guān)管理制度等。

　　第三條 云計算服務(wù)安全評估重點評估以下內(nèi)容：

　�。ㄒ唬┰破脚_管理運營者（以下簡稱“云服務(wù)商”）的征信、經(jīng)營狀況等基本情況；

　�。ǘ�）云服務(wù)商人員背景及穩(wěn)定性，特別是能夠訪問客戶數(shù)據(jù)、能夠收集相關(guān)元數(shù)據(jù)的人員；

　　（三）云平臺技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況；

　　（四）云服務(wù)商安全管理能力及云平臺安全防護情況；

　　（五）客戶遷移數(shù)據(jù)的可行性和便捷性；

　�。�六）云服務(wù)商的業(yè)務(wù)連續(xù)性；

　�。ㄆ撸┢渌�可能影響云服務(wù)安全的因素。

　　第四條 國家互聯(lián)網(wǎng)信息辦公室會同國家發(fā)展和改革委員會、工業(yè)和信息化部、財政部建立云計算服務(wù)安全評估工作協(xié)調(diào)機制（以下簡稱“協(xié)調(diào)機制”），審議云計算服務(wù)安全評估政策文件，批準云計算服務(wù)安全評估結(jié)果，協(xié)調(diào)處理云計算服務(wù)安全評估有關(guān)重要事項。

　　云計算服務(wù)安全評估工作協(xié)調(diào)機制辦公室（以下簡稱“辦公室”）設(shè)在國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局。

　　第五條 云服務(wù)商可申請對面向黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施提供云計算服務(wù)的云平臺進行安全評估。

　　第六條 申請安全評估的云服務(wù)商應(yīng)向辦公室提交以下材料：

　　（一）申報書；

　　（二）云計算服務(wù)系統(tǒng)安全計劃；

　　（三）業(yè)務(wù)連續(xù)性和供應(yīng)鏈安全報告；

　�。ㄋ模┛蛻魯�(shù)據(jù)可遷移性分析報告；

　�。ㄎ澹┌踩�評估工作需要的其他材料。

　　第七條 辦公室受理云服務(wù)商申請后，組織專業(yè)技術(shù)機構(gòu)參照國家有關(guān)標準對云平臺進行安全評價。

　　第八條 專業(yè)技術(shù)機構(gòu)應(yīng)堅持客觀、公正、公平的原則，按照國家有關(guān)規(guī)定，在辦公室指導(dǎo)監(jiān)督下，參照《云計算服務(wù)安全指南》《云計算服務(wù)安全能力要求》等國家標準，重點評價本辦法第三條所述內(nèi)容，形成評價報告，并對評價結(jié)果負責(zé)。

　　第九條 辦公室在專業(yè)技術(shù)機構(gòu)安全評價基礎(chǔ)上，組織云計算服務(wù)安全評估專家組進行綜合評價。

　　第十條 云計算服務(wù)安全評估專家組根據(jù)云服務(wù)商申報材料、評價報告等，綜合評價云計算服務(wù)的安全性、可控性，提出是否通過安全評估的建議。

　　第十一條 云計算服務(wù)安全評估專家組的建議經(jīng)協(xié)調(diào)機制審議通過后，辦公室按程序報國家互聯(lián)網(wǎng)信息辦公室核準。

　　云計算服務(wù)安全評估結(jié)果由辦公室發(fā)布。

　　第十二條 云計算服務(wù)安全評估結(jié)果有效期3年。有效期屆滿需要延續(xù)保持評估結(jié)果的，云服務(wù)商應(yīng)在屆滿前至少6個月向辦公室申請復(fù)評。

　　有效期內(nèi)，云服務(wù)商因股權(quán)變更、企業(yè)重組等導(dǎo)致實控人或控股權(quán)發(fā)生變化的，應(yīng)重新申請安全評估。

　　第十三條 辦公室通過組織抽查、接受舉報等形式，對通過評估的云平臺開展持續(xù)監(jiān)督，重點監(jiān)督有關(guān)安全控制措施有效性、重大變更、應(yīng)急響應(yīng)、風(fēng)險處置等內(nèi)容。

　　通過評估的云平臺已不再滿足要求的，經(jīng)協(xié)調(diào)機制審議、國家互聯(lián)網(wǎng)信息辦公室核準后撤銷通過評估的結(jié)論。

　　第十四條 通過評估的云平臺停止提供服務(wù)時，云服務(wù)商應(yīng)至少提前6個月通知客戶和辦公室，并配合客戶做好遷移工作。

　　第十五條 云服務(wù)商對所提供申報材料的真實性負責(zé)。在評估過程中拒絕按要求提供材料或故意提供虛假材料的，按評估不通過處理。

　　第十六條 未經(jīng)云服務(wù)商同意，參與評估工作的相關(guān)機構(gòu)和人員不得披露云服務(wù)商提交的未公開材料以及評估工作中獲悉的其他非公開信息，不得將云服務(wù)商提供的信息用于評估以外的目的。

　　第十七條 本辦法自2019年9月1日起施行。