国家网信办等四部门发布《云计算服务安全评估办法》

  • 日期:09-22
  • 点击:(826)


IT馆7月22日消息,国家互联网信息办公室,国家发展和改革委员会,工业和信息化部,财政部制定并发布了《云计算服务安全评估办法》(以下简称《评估办法》),旨在改善党和政府机构关键信息基础设施运营商购买安全和可控的云计算服务水平,

《评估办法》指出云计算服务安全评估侧重于评估云平台管理运营商(以下简称“云服务提供商”),云平台技术,产品和服务的信用信息和运营状态等基本信息。供应链安全条件和云服务。业务安全管理功能和云平台安全保护。

据悉,评估结果将由国家互联网信息办公室网络安全协调局公布。评估结果有效期为3年。

以下是《云计算服务安全评估办法》的全文:

第一条为了提高党政机关和重点信息基础设施运营商采购和使用云计算服务的安全可控水平,制定本办法。

第二次云计算服务安全评估坚持预评估和持续监督相结合,确保应用的安全和推广,按照相关法律,法规和政策,参照国家有关网络安全标准,发挥作用专业技术机构和专家,客观评价严格监督云计算服务平台(以下简称“云平台”)的安全性和可控性,为党政机关和重点信息基础设施运营商购买云提供参考。计算服务。

该方法中的云平台包括云计算服务软件和硬件设施以及相关的管理系统。

第3条云计算服务安全评估侧重于以下评估:

(1)云平台管理运营商(以下简称“云服务提供商”)的信用信息和运营状态等基本信息;

(2)云服务提供商人员的背景和稳定性,特别是那些可以访问客户数据并收集相关元数据的人员;

(3)云平台技术,产品和服务供应链的安全性;

(4)云服务提供商的安全管理能力和云平台的安全保护;

(5)客户迁移数据的可行性和便利性;

(6)云服务提供商的业务连续性;

(7)可能影响云服务安全的其他因素。

第四条国家互联网信息办公室应当与国家发展和改革委员会,工业和信息化部,财政部共同建立云计算服务安全评估协调机制(以下简称“协调机制“),审查云计算服务安全评估政策文件,批准云计算服务安全评估结果,协调和处理与云计算服务安全评估相关的重要问题。

云计算服务安全评估协调机制办公室(以下简称“办公室”)位于国家互联网信息办公室网络安全协调局。

第五条云服务提供商可以申请对为政党机构和关键信息基础设施提供云计算服务的云平台进行安全评估。

第六条申请安全评估的云服务提供者应当向办公室提交下列材料:

(1)申报表;

(2)云计算服务系统安全计划;

(3)业务连续性和供应链安全报告;

(4)客户数据移动性分析报告;

(5)安全评估工作所需的其他材料。

第七条办公室接受云服务提供者的申请后,应当组织专业技术机构按照国家有关标准对云平台进行安全评估。

第八条专业技术机构应当遵循客观,公正,公平的原则,并按照国家有关规定,在办公室的指导和监督下,按照《云计算服务安全指南》等国家标准执行。 ]《云计算服务安全能力要求》,重点评估本办法第3条所述内容,形成评估报告,负责评估结果。

第九条办公室在专业技术机构安全评估的基础上,组织云计算服务安全评估专家组进行综合评估。

第十条云计算服务安全评估专家组根据云服务提供商的申报材料和评估报告,全面评估云计算服务的安全性和可控性,并提出是否通过安全评估的建议。

第十一条云计算服务安全评估专家组的建议经协调机制审议通过后,办公室应按照程序提交国家互联网信息办公室批准。

云计算服务安全评估的结果由办公室公布。

第十二条云计算服务安全评估结果有效期为三年。云服务提供商应在有效期届满前至少六个月向办公室申请审核,这需要继续维持评估结果。

在有效期内,如果由于股权变更和企业重组导致控制方或控制权发生变化,云服务提供商应重新申请安全评估。

第十三条办公室通过组织抽查和接收报告,通过评估,持续监控云平台,重点关注安全控制措施的有效性,重大变化,应急响应和风险管理。

如果通过评估的云平台不再符合要求,评估结论将在协调机制审议并经国家互联网信息办公室批准后撤销。

第十四条通过评估的云平台停止提供服务时,云服务提供商应至少提前六个月通知客户和办公室,并与客户合作,做好迁移工作。

第15条云服务提供商负责提交材料的真实性。如果拒绝按要求提供材料或在评估过程中故意提供虚假材料,则不应根据评估进行处理。

第十六条未经云服务提供者同意,参与评估的有关机构和人员不得披露云服务提供者提交的未披露资料和评估过程中已知的其他非公开信息,不得使用云服务提供商提供的信息。用于评估以外的目的。

第十七条本办法自2019年9月1日起施行。