國(guó)家互聯網信息辦公室 國(guó)家發(fā)展和改革委員會 工業和信息化部 财政部關于發(fā)布《雲計算服務安全評估辦法》的公告
2021-08-05
2019年 第2号
爲提高黨政機關、關鍵信息基礎設施運營者采購使用雲計算服務的安全可控水平,國(guó)家互聯網信息辦公室、國(guó)家發(fā)展和改革委員會、工業和信息化部、财政部制定了《雲計算服務安全評估辦法》,現予以發(fā)布。
附件:雲計算服務安全評估辦法
國(guó)家互聯網信息辦公室 國(guó)家發(fā)展和改革委員會
工業和信息化部 财政部
2019年7月2日
雲計算服務安全評估辦法
第一條 爲提高黨政機關、關鍵信息基礎設施運營者采購使用雲計算服務的安全可控水平,制定本辦法。
第二條 雲計算服務安全評估堅持事(shì)前評估與持續監督相結合,保障安全與促進(jìn)應用相統一,依據有關法律法規和政策規定,參照國(guó)家有關網絡安全标準,發(fā)揮專業技術機構、專家作用,客觀評價、嚴格監督雲計算服務平台(以下簡稱“雲平台”)的安全性、可控性,爲黨政機關、關鍵信息基礎設施運營者采購雲計算服務提供參考。
本辦法中的雲平台包括雲計算服務軟硬件設施及其相關管理制度等。
第三條 雲計算服務安全評估重點評估以下内容:
(一)雲平台管理運營者(以下簡稱“雲服務商”)的征信、經(jīng)營狀況等基本情況;
(二)雲服務商人員背景及穩定性,特别是能(néng)夠訪問客戶數據、能(néng)夠收集相關元數據的人員;
(三)雲平台技術、産品和服務供應鏈安全情況;
(四)雲服務商安全管理能(néng)力及雲平台安全防護情況;
(五)客戶遷移數據的可行性和便捷性;
(六)雲服務商的業務連續性;
(七)其他可能(néng)影響雲服務安全的因素。
第四條 國(guó)家互聯網信息辦公室會同國(guó)家發(fā)展和改革委員會、工業和信息化部、财政部建立雲計算服務安全評估工作協調機制(以下簡稱“協調機制”),審議雲計算服務安全評估政策文件,批準雲計算服務安全評估結果,協調處理雲計算服務安全評估有關重要事(shì)項。
雲計算服務安全評估工作協調機制辦公室(以下簡稱“辦公室”)設在國(guó)家互聯網信息辦公室網絡安全協調局。
第五條 雲服務商可申請對(duì)面(miàn)向(xiàng)黨政機關、關鍵信息基礎設施提供雲計算服務的雲平台進(jìn)行安全評估。
第六條 申請安全評估的雲服務商應向(xiàng)辦公室提交以下材料:
(一)申報書;
(二)雲計算服務系統安全計劃;
(三)業務連續性和供應鏈安全報告;
(四)客戶數據可遷移性分析報告;
(五)安全評估工作需要的其他材料。
第七條 辦公室受理雲服務商申請後(hòu),組織專業技術機構參照國(guó)家有關标準對(duì)雲平台進(jìn)行安全評價。
第八條 專業技術機構應堅持客觀、公正、公平的原則,按照國(guó)家有關規定,在辦公室指導監督下,參照《雲計算服務安全指南》《雲計算服務安全能(néng)力要求》等國(guó)家标準,重點評價本辦法第三條所述内容,形成(chéng)評價報告,并對(duì)評價結果負責。
第九條 辦公室在專業技術機構安全評價基礎上,組織雲計算服務安全評估專家組進(jìn)行綜合評價。
第十條 雲計算服務安全評估專家組根據雲服務商申報材料、評價報告等,綜合評價雲計算服務的安全性、可控性,提出是否通過(guò)安全評估的建議。
第十一條 雲計算服務安全評估專家組的建議經(jīng)協調機制審議通過(guò)後(hòu),辦公室按程序報國(guó)家互聯網信息辦公室核準。
雲計算服務安全評估結果由辦公室發(fā)布。
第十二條 雲計算服務安全評估結果有效期3年。有效期屆滿需要延續保持評估結果的,雲服務商應在屆滿前至少6個月向(xiàng)辦公室申請複評。
有效期内,雲服務商因股權變更、企業重組等導緻實控人或控股權發(fā)生變化的,應重新申請安全評估。
第十三條 辦公室通過(guò)組織抽查、接受舉報等形式,對(duì)通過(guò)評估的雲平台開(kāi)展持續監督,重點監督有關安全控制措施有效性、重大變更、應急響應、風險處置等内容。
通過(guò)評估的雲平台已不再滿足要求的,經(jīng)協調機制審議、國(guó)家互聯網信息辦公室核準後(hòu)撤銷通過(guò)評估的結論。
第十四條 通過(guò)評估的雲平台停止提供服務時,雲服務商應至少提前6個月通知客戶和辦公室,并配合客戶做好(hǎo)遷移工作。
第十五條 雲服務商對(duì)所提供申報材料的真實性負責。在評估過(guò)程中拒絕按要求提供材料或故意提供虛假材料的,按評估不通過(guò)處理。
第十六條 未經(jīng)雲服務商同意,參與評估工作的相關機構和人員不得披露雲服務商提交的未公開(kāi)材料以及評估工作中獲悉的其他非公開(kāi)信息,不得將(jiāng)雲服務商提供的信息用于評估以外的目的。
第十七條 本辦法自2019年9月1日起(qǐ)施行。
