国家网信办等4部门发布《云计算服务安全评估办法》(附全文)

E世博手机客户端

  网信湖北4天前我要分享

  国家国家发展和改革委员会互联网信息办公室工业和信息化部财政部公布《云计算服务安全评估办法》

2019年第2号

为了提高党政机关和重点信息基础设施运营商,国家互联网信息办公室,国家发展和改革委员会,工业和信息化部的云计算服务的采购和使用安全可控水平,财政部已制定《云计算服务安全评估办法》发布。

附件:云计算服务安全评估方法

国家互联网信息办公室

国家发展和改革委员会

工业和信息化部

财政部

云计算服务安全评估方法

制定这些措施是为了提高党和政府机构以及关键信息基础设施运营商采购和使用云计算服务的安全性和可控性。

云计算服务安全评估坚持预评估和持续监督相结合,确保应用的安全性和推广。按照有关法律,法规和政策,参照国家有关网络安全标准,发挥专业技术机构和专家的作用,客观评价,严格监督。云计算服务平台(以下简称“云平台”)的安全性和可控性为党政机关和关键信息基础设施运营商购买云计算服务提供了参考。

该方法中的云平台包括云计算服务软件和硬件设施以及相关的管理系统。

云计算服务安全评估主要关注以下内容:

(1)云平台管理运营商(以下简称“云服务提供商”)的信用信息和运营状态等基本信息;

(2)云服务提供商人员的背景和稳定性,特别是那些可以访问客户数据并收集相关元数据的人员;

(3)云平台技术,产品和服务供应链的安全性;

(4)云服务提供商的安全管理能力和云平台的安全保护;

(5)客户迁移数据的可行性和便利性;

(6)云服务提供商的业务连续性;

(7)可能影响云服务安全的其他因素。

国家互联网信息办公室与国家发展和改革委员会,工业和信息化部,财政部建立云计算服务安全评估协调机制(以下简称“协调机制”),审核云计算服务安全评估策略文档,并批准云计算服务。协调安全评估的结果以解决与云计算服务安全性评估相关的重要问题。

云计算服务安全评估协调机制办公室(以下简称“办公室”)位于国家互联网信息办公室网络安全协调局。

云服务提供商可以申请云计算平台的安全评估,为平局和政府机构以及关键信息基础架构提供云计算服务。

申请安全评估的云服务提供商应向办公室提交以下材料:

(1)申报表;

(2)云计算服务系统安全计划;

(3)业务连续性和供应链安全报告;

(4)客户数据移动性分析报告;

(5)安全评估工作所需的其他材料。

办公室接受云服务提供商提交的申请后。组织专业技术机构,按照国家有关标准对云平台进行安全评估。

内容形成评估报告,负责评估结果。

在专业技术机构安全评估的基础上,办公室组织云计算服务安全评估专家组进行综合评估。

云计算服务安全评估专家组根据云服务提供商的申请材料和评估报告,全面评估云计算服务的安全性和可控性,并提出是否通过安全评估。

在云计算服务安全评估专家组的提案经协调机制审核批准后,办公室报国家互联网信息办公室批准。

云计算服务安全评估的结果由办公室公布。

云计算服务安全评估结果有效期为3年。如果需要延长有效期以维持评估结果,则云服务提供商应在到期前至少6个月向办公室申请重新评估。

在有效期内,如果云服务提供商因股权变更或公司重组而变更实际控制人或控股股份,则应再次申请安全评估。

办公室通过组织随机抽查和接收报告,对通过评估的云平台进行持续监督,重点监督相关安全控制措施的有效性,重大变化,应急响应和风险处置。

如果通过评估的云平台不再符合要求,则经协调机制审查并经国家互联网信息办公室批准后,评估结论将被撤销。

当被评估的云平台停止提供服务时,云服务提供商应至少提前六个月通知客户和办公室,并与客户合作进行迁移工作。

云服务提供商负责提交材料的真实性。如果拒绝按要求提供材料或在评估过程中故意提供虚假材料,则不应根据评估进行处理。

未经云服务提供者同意,参与评估的相关机构和人员不得披露云服务提供商提交的未披露资料和评估工作中已知的其他非公开信息,不得使用该信息。由云服务提供商提供,用于评估以外的目的。

这些措施将于2019年9月1日生效。

中国网通]

收集报告投诉

国家互联网信息办公室国家发展和改革委员会工业和信息化部财政部公告《云计算服务安全评估办法》

2019年第2号

为了提高党政机关和重点信息基础设施运营商,国家互联网信息办公室,国家发展和改革委员会,工业和信息化部的云计算服务的采购和使用安全可控水平,财政部已制定《云计算服务安全评估办法》发布。

附件:云计算服务安全评估方法

国家互联网信息办公室

国家发展和改革委员会

工业和信息化部

财政部

云计算服务安全评估方法

制定这些措施是为了提高党和政府机构以及关键信息基础设施运营商采购和使用云计算服务的安全性和可控性。

云计算服务安全评估坚持预评估和持续监督相结合,确保应用的安全性和推广。按照有关法律,法规和政策,参照国家有关网络安全标准,发挥专业技术机构和专家的作用,客观评价,严格监督。云计算服务平台(以下简称“云平台”)的安全性和可控性为党政机关和关键信息基础设施运营商购买云计算服务提供了参考。

该方法中的云平台包括云计算服务软件和硬件设施以及相关的管理系统。

云计算服务安全评估主要关注以下内容:

(1)云平台管理运营商(以下简称“云服务提供商”)的信用信息和运营状态等基本信息;

(2)云服务提供商人员的背景和稳定性,特别是那些可以访问客户数据并收集相关元数据的人员;

(3)云平台技术,产品和服务供应链的安全性;

(4)云服务提供商的安全管理能力和云平台的安全保护;

(5)客户迁移数据的可行性和便利性;

(6)云服务提供商的业务连续性;

(7)可能影响云服务安全的其他因素。

国家互联网信息办公室与国家发展和改革委员会,工业和信息化部,财政部建立云计算服务安全评估协调机制(以下简称“协调机制”),审核云计算服务安全评估策略文档,并批准云计算服务。协调安全评估的结果以解决与云计算服务安全性评估相关的重要问题。

云计算服务安全评估协调机制办公室(以下简称“办公室”)位于国家互联网信息办公室网络安全协调局。

云服务提供商可以申请云计算平台的安全评估,为平局和政府机构以及关键信息基础架构提供云计算服务。

申请安全评估的云服务提供商应向办公室提交以下材料:

(1)申报表;

(2)云计算服务系统安全计划;

(3)业务连续性和供应链安全报告;

(4)客户数据移动性分析报告;

(5)安全评估工作所需的其他材料。

办公室接受云服务提供商提交的申请后。组织专业技术机构,按照国家有关标准对云平台进行安全评估。

内容形成评估报告,负责评估结果。

在专业技术机构安全评估的基础上,办公室组织云计算服务安全评估专家组进行综合评估。

云计算服务安全评估专家组根据云服务提供商的申请材料和评估报告,全面评估云计算服务的安全性和可控性,并提出是否通过安全评估。

在云计算服务安全评估专家组的提案经协调机制审核批准后,办公室报国家互联网信息办公室批准。

云计算服务安全评估的结果由办公室公布。

云计算服务安全评估结果有效期为3年。如果需要延长有效期以维持评估结果,则云服务提供商应在到期前至少6个月向办公室申请重新评估。

在有效期内,如果云服务提供商因股权变更或公司重组而变更实际控制人或控股股份,则应再次申请安全评估。

办公室通过组织随机抽查和接收报告,对通过评估的云平台进行持续监督,重点监督相关安全控制措施的有效性,重大变化,应急响应和风险处置。

如果通过评估的云平台不再符合要求,则经协调机制审查并经国家互联网信息办公室批准后,评估结论将被撤销。

当被评估的云平台停止提供服务时,云服务提供商应至少提前六个月通知客户和办公室,并与客户合作进行迁移工作。

云服务提供商负责提交材料的真实性。如果拒绝按要求提供材料或在评估过程中故意提供虚假材料,则不应根据评估进行处理。

未经云服务提供者同意,参与评估的相关机构和人员不得披露云服务提供商提交的未披露资料和评估工作中已知的其他非公开信息,不得使用该信息。由云服务提供商提供,用于评估以外的目的。

这些措施将于2019年9月1日生效。

中国网通]