为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部印发《云计算服务安全评估办法》,将于2019年9月1日起施行。重点评估内容包括:云服务商的征信、经营状况等基本情况;云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;云平台技术、产品和服务供应链安全情况;云服务商安全管理能力及云平台安全防护情况;客户迁移数据的可行性和便捷性;云服务商的业务连续性等。
国家互联网信息办公室国家发展和改革委员会 工业和信息化部 财政部
关于发布《云计算服务安全评估办法》的公告
2019年 第2号
为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部制定了《云计算服务安全评估办法》,现予以发布。
附件:云计算服务安全评估办法
国家互联网信息办公室
国家发展和改革委员会
工业和信息化部
财政部
2019年7月2日
云计算服务安全评估办法
第一条为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,制定本办法。
第二条云计算服务安全评估坚持事前评估与持续监督相结合,保障安全与促进应用相统一,依据有关法律法规和政策规定,参照国家有关网络安全标准,发挥专业技术机构、专家作用,客观评价、严格监督云计算服务平台(以下简称“云平台”)的安全性、可控性,为党政机关、关键信息基础设施运营者采购云计算服务提供参考。
本办法中的云平台包括云计算服务软硬件设施及其相关管理制度等。
第三条云计算服务安全评估重点评估以下内容:
(一)云平台管理运营者(以下简称“云服务商”)的征信、经营状况等基本情况;
(二)云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;
(三)云平台技术、产品和服务供应链安全情况;
(四)云服务商安全管理能力及云平台安全防护情况;
(五)客户迁移数据的可行性和便捷性;
(六)云服务商的业务连续性;
(七)其他可能影响云服务安全的因素。
第四条国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、财政部建立云计算服务安全评估工作协调机制(以下简称“协调机制”),审议云计算服务安全评估政策文件,批准云计算服务安全评估结果,协调处理云计算服务安全评估有关重要事项。
云计算服务安全评估工作协调机制办公室(以下简称“办公室”)设在国家互联网信息办公室网络安全协调局。
第五条云服务商可申请对面向党政机关、关键信息基础设施提供云计算服务的云平台进行安全评估。
第六条申请安全评估的云服务商应向办公室提交以下材料:
(一)申报书;
(二)云计算服务系统安全计划;
(三)业务连续性和供应链安全报告;
(四)客户数据可迁移性分析报告;
(五)安全评估工作需要的其他材料。
第七条办公室受理云服务商申请后,组织专业技术机构参照国家有关标准对云平台进行安全评价。
第八条专业技术机构应坚持客观、公正、公平的原则,按照国家有关规定,在办公室指导监督下,参照《云计算服务安全指南》《云计算服务安全能力要求》等国家标准,重点评价本办法第三条所述内容,形成评价报告,并对评价结果负责。
第九条办公室在专业技术机构安全评价基础上,组织云计算服务安全评估专家组进行综合评价。
第十条云计算服务安全评估专家组根据云服务商申报材料、评价报告等,综合评价云计算服务的安全性、可控性,提出是否通过安全评估的建议。
第十一条云计算服务安全评估专家组的建议经协调机制审议通过后,办公室按程序报国家互联网信息办公室核准。
云计算服务安全评估结果由办公室发布。
第十二条云计算服务安全评估结果有效期3年。有效期届满需要延续保持评估结果的,云服务商应在届满前至少6个月向办公室申请复评。
有效期内,云服务商因股权变更、企业重组等导致实控人或控股权发生变化的,应重新申请安全评估。
第十三条办公室通过组织抽查、接受举报等形式,对通过评估的云平台开展持续监督,重点监督有关安全控制措施有效性、重大变更、应急响应、风险处置等内容。
通过评估的云平台已不再满足要求的,经协调机制审议、国家互联网信息办公室核准后撤销通过评估的结论。
第十四条通过评估的云平台停止提供服务时,云服务商应至少提前6个月通知客户和办公室,并配合客户做好迁移工作。
第十五条云服务商对所提供申报材料的真实性负责。在评估过程中拒绝按要求提供材料或故意提供虚假材料的,按评估不通过处理。
第十六条未经云服务商同意,参与评估工作的相关机构和人员不得披露云服务商提交的未公开材料以及评估工作中获悉的其他非公开信息,不得将云服务商提供的信息用于评估以外的目的。
第十七条本办法自2019年9月1日起施行。
组织开展云计算服务安全评估的目的是什么?
开展云计算服务安全评估,是为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,降低采购使用云计算服务带来的网络安全风险,增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。
云计算服务安全评估的对象是什么?
云计算服务安全评估是依据云服务商申请,对面向党政机关、关键信息基础设施提供云计算服务的云平台进行的安全评估。同一云服务商运营的不同云平台,需要分别申请安全评估。
何时起云服务商可申请评估?需要提交哪些材料?
自2019年9月1日起云服务商可以正式提交云计算服务安全评估申请。需要提交的材料包括申报书、云计算服务系统安全计划、业务连续性和供应链安全报告、客户数据可迁移性分析报告等。有关申报材料模版将在中国网信网提供下载。
已通过党政部门云计算服务网络安全审查的云平台,是否还需要申请云计算服务安全评估?
前期已经通过党政部门云计算服务网络安全审查的云平台,视同为已通过云计算服务安全评估,不需要再重新申请。
云计算服务安全评估主要参照哪些标准?
云计算服务安全评估主要参照国家标准《云计算服务安全能力要求》、《云计算服务安全指南》,其中《云计算服务安全能力要求》从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面提出要求。
云计算服务安全评估有哪些主要环节?
主要包括申报、受理、专业技术机构评价、云计算服务安全评估专家组综合评价、云计算服务安全评估工作协调机制审议、国家互联网信息办公室核准、评估结果发布、持续监督等环节。
云计算服务安全评估结果在哪里查询?有效期多长时间?
评估结果将由国家互联网信息办公室网络安全协调局在中国网信网公布。评估结果有效期为3年。
云计算服务安全评估如何保护被评估方的商业秘密和知识产权?
云计算服务安全评估过程中,参与评估工作的单位和人员对云服务商提交的非公开材料或在评估中获悉的非公开信息承担保密义务,严格保护云服务商的商业秘密和知识产权。如果云服务商认为有关单位和人员未能承担保密义务的,可以向国家互联网信息办公室或有关部门举报。
关于云计算服务安全评估问题可向谁咨询?
有关云计算服务安全评估的其他具体事项,可发送电子邮件到yunpinggu@cac.gov.cn或拨打010-55635861咨询。
1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。
3月5日,第十三届全国人民代表大会第四次会议在北京人民大会堂开幕。党和国家领导人习近平、李克强、汪洋、王沪宁、赵乐际、韩正、王岐山等出席,栗战书主持大会。初春的北京,处处生机盎然。第十三届全国人民代表大会第四次会议5日上午在人民大会堂开幕。近3000名全国人大代表肩负人民重托出席大会,认真履行宪法和法律赋予的神圣职责。
12月28-29日,全国工业和信息化工作会议在京召开。会议以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,认真落实习近平总书记重要指示批示精神和中央经济工作会议部署,总结2020年工业和信息化工作,分析形势,部署2021年重点工作。工业和信息化部党组书记、部长肖亚庆作工作报告。
3月22日,中国电子信息产业发展研究院发布了《2020年中国家电市场报告》(以下简称《报告》)。《报告》显示,2020年,我国家电市场零售额规模达到8333亿元,在疫情冲击之下显示出较强的韧性;电商渠道对家电零售的贡献率首次超过50%,网络零售对家电消费的促进作用进一步提升;高端产品、生活家电大幅增长,有效促进了消费升级和产业转型。
11月20日,由工业和信息化部、安徽省人民政府共同主办的2020世界显示产业大会在合肥市举行。在开幕式上,工业和信息化部部长肖亚庆、韩国驻华大使张夏成发表视频致辞。安徽省委副书记、省长李国英,工业和信息化部副部长王志军出席开幕式并致辞。
11月2日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2020世界超高清视频(4K/8K)产业发展大会在广州市召开。广东省委书记李希出席开幕式,省长马兴瑞出席并致辞。国家广播电视总局局长聂辰席、工业和信息化部副部长王志军、中央广播电视总台副台长蒋希伟出席开幕式并致辞。
10月19日—20日,由工业和信息化部、江西省人民政府主办的2020世界VR产业大会云峰会在南昌举行。在10月19日的开幕式上,中共中央政治局委员、国务院副总理刘鹤发来书面致辞。江西省委常委、南昌市委书记吴晓军,工业和信息化部副部长王志军,江西省委书记、省人大常委会主任刘奇先后致辞。开幕式由江西省委副书记、省长易炼红主持。
