國家網信辦等四部門發布《云計算服務安全評估辦法》

　　國家互聯網信息辦公室 國家發展和改革委員會 工業和信息化部 財政部關于發布《云計算服務安全評估辦法》的公告

　　2019年 第2號

　　為提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、財政部制定了《云計算服務安全評估辦法》，現予以發布。

　　附件：云計算服務安全評估辦法

　　國家互聯網信息辦公室 國家發展和改革委員會

　　工業和信息化部 財政部

　　2019年7月2日

　　云計算服務安全評估辦法

　　第一條 為提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，制定本辦法。

　　第二條 云計算服務安全評估堅持事前評估與持續監督相結合，保障安全與促進應用相統一，依據有關法律法規和政策規定，參照國家有關網絡安全標準，發揮專業技術機構、專家作用，客觀評價、嚴格監督云計算服務平臺(以下簡稱“云平臺”)的安全性、可控性，為黨政機關、關鍵信息基礎設施運營者采購云計算服務提供參考。

　　本辦法中的云平臺包括云計算服務軟硬件設施及其相關管理制度等。

　　第三條 云計算服務安全評估重點評估以下內容：

　　(一)云平臺管理運營者(以下簡稱“云服務商”)的征信、經營狀況等基本情況；

　　(二)云服務商人員背景及穩定性，特別是能夠訪問客戶數據、能夠收集相關元數據的人員；

　　(三)云平臺技術、產品和服務供應鏈安全情況；

　　(四)云服務商安全管理能力及云平臺安全防護情況；

　　(五)客戶遷移數據的可行性和便捷性；

　　(六)云服務商的業務連續性；

　　(七)其他可能影響云服務安全的因素。

　　第四條 國家互聯網信息辦公室會同國家發展和改革委員會、工業和信息化部、財政部建立云計算服務安全評估工作協調機制(以下簡稱“協調機制”)，審議云計算服務安全評估政策文件，批準云計算服務安全評估結果，協調處理云計算服務安全評估有關重要事項。

　　云計算服務安全評估工作協調機制辦公室(以下簡稱“辦公室”)設在國家互聯網信息辦公室網絡安全協調局。

　　第五條 云服務商可申請對面向黨政機關、關鍵信息基礎設施提供云計算服務的云平臺進行安全評估。

　　第六條 申請安全評估的云服務商應向辦公室提交以下材料：

　　(一)申報書；

　　(二)云計算服務系統安全計劃；

　　(三)業務連續性和供應鏈安全報告；

　　(四)客戶數據可遷移性分析報告；

　　(五)安全評估工作需要的其他材料。

　　第七條 辦公室受理云服務商申請后，組織專業技術機構參照國家有關標準對云平臺進行安全評價。

　　第八條 專業技術機構應堅持客觀、公正、公平的原則，按照國家有關規定，在辦公室指導監督下，參照《云計算服務安全指南》《云計算服務安全能力要求》等國家標準，重點評價本辦法第三條所述內容，形成評價報告，并對評價結果負責。

　　第九條 辦公室在專業技術機構安全評價基礎上，組織云計算服務安全評估專家組進行綜合評價。

　　第十條 云計算服務安全評估專家組根據云服務商申報材料、評價報告等，綜合評價云計算服務的安全性、可控性，提出是否通過安全評估的建議。

　　第十一條 云計算服務安全評估專家組的建議經協調機制審議通過后，辦公室按程序報國家互聯網信息辦公室核準。

　　云計算服務安全評估結果由辦公室發布。

　　第十二條 云計算服務安全評估結果有效期3年。有效期屆滿需要延續保持評估結果的，云服務商應在屆滿前至少6個月向辦公室申請復評。

　　有效期內，云服務商因股權變更、企業重組等導致實控人或控股權發生變化的，應重新申請安全評估。

　　第十三條 辦公室通過組織抽查、接受舉報等形式，對通過評估的云平臺開展持續監督，重點監督有關安全控制措施有效性、重大變更、應急響應、風險處置等內容。

　　通過評估的云平臺已不再滿足要求的，經協調機制審議、國家互聯網信息辦公室核準后撤銷通過評估的結論。

　　第十四條 通過評估的云平臺停止提供服務時，云服務商應至少提前6個月通知客戶和辦公室，并配合客戶做好遷移工作。

　　第十五條 云服務商對所提供申報材料的真實性負責。在評估過程中拒絕按要求提供材料或故意提供虛假材料的，按評估不通過處理。

　　第十六條 未經云服務商同意，參與評估工作的相關機構和人員不得披露云服務商提交的未公開材料以及評估工作中獲悉的其他非公開信息，不得將云服務商提供的信息用于評估以外的目的。

　　第十七條 本辦法自2019年9月1日起施行。

　　《云計算服務安全評估辦法》有關問題解答

　　1、組織開展云計算服務安全評估的目的是什么？

　　答：開展云計算服務安全評估，是為了提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，降低采購使用云計算服務帶來的網絡安全風險，增強黨政機關、關鍵信息基礎設施運營者將業務及數據向云服務平臺遷移的信心。

　　2、云計算服務安全評估的對象是什么？

　　答：云計算服務安全評估是依據云服務商申請，對面向黨政機關、關鍵信息基礎設施提供云計算服務的云平臺進行的安全評估。同一云服務商運營的不同云平臺，需要分別申請安全評估。

　　3、何時起云服務商可申請評估？需要提交哪些材料？

　　答：自2019年9月1日起云服務商可以正式提交云計算服務安全評估申請。需要提交的材料包括申報書、云計算服務系統安全計劃、業務連續性和供應鏈安全報告、客戶數據可遷移性分析報告等。有關申報材料模版將在中國網信網提供下載。

　　4、已通過黨政部門云計算服務網絡安全審查的云平臺，是否還需要申請云計算服務安全評估？

　　答：前期已經通過黨政部門云計算服務網絡安全審查的云平臺，視同為已通過云計算服務安全評估，不需要再重新申請。

　　5、云計算服務安全評估主要參照哪些標準？

　　答：云計算服務安全評估主要參照國家標準《云計算服務安全能力要求》、《云計算服務安全指南》，其中《云計算服務安全能力要求》從系統開發與供應鏈安全、系統與通信保護、訪問控制、配置管理、維護、應急響應與災備、審計、風險評估與持續監控、安全組織與人員、物理與環境安全等方面提出要求。

　　6、云計算服務安全評估有哪些主要環節？

　　答：主要包括申報、受理、專業技術機構評價、云計算服務安全評估專家組綜合評價、云計算服務安全評估工作協調機制審議、國家互聯網信息辦公室核準、評估結果發布、持續監督等環節。

　　7、云計算服務安全評估結果在哪里查詢？有效期多長時間？

　　答：評估結果將由國家互聯網信息辦公室網絡安全協調局在中國網信網公布。評估結果有效期為3年。

　　8、云計算服務安全評估如何保護被評估方的商業秘密和知識產權？

　　答：云計算服務安全評估過程中，參與評估工作的單位和人員對云服務商提交的非公開材料或在評估中獲悉的非公開信息承擔保密義務，嚴格保護云服務商的商業秘密和知識產權。如果云服務商認為有關單位和人員未能承擔保密義務的，可以向國家互聯網信息辦公室或有關部門舉報。

　　9、關于云計算服務安全評估問題可向誰咨詢？

　　答：有關云計算服務安全評估的其他具體事項，可發送電子郵件到yunpinggu@cac.gov.cn或撥打010-55635861咨詢。