自2019年9月1日起,由國家互聯(lián)網(wǎng)信息辦公室等 4 部門制定發(fā)布的《云計算服務(wù)安全評估辦法》已經(jīng)開始施行。
開展云計算服務(wù)安全評估的目的是為了提高黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購使用云計算服務(wù)的安全可控水平,降低采購使用云計算服務(wù)帶來的網(wǎng)絡(luò)安全風(fēng)險,增強黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者將業(yè)務(wù)及數(shù)據(jù)向云服務(wù)平臺遷移的信心。
評估目的
1
提高黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購使用云計算服務(wù)的安全可控水平。
2
降低使用方采購使用云計算服務(wù)帶來的網(wǎng)絡(luò)安全風(fēng)險。
3
增強黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者將業(yè)務(wù)及數(shù)據(jù)向云服務(wù)平臺遷移的信心。
評估對象
主要是向黨政機關(guān)和關(guān)鍵信息基礎(chǔ)設(shè)施提供云計算服務(wù)的云平臺。
這里需要注意的是:同一云服務(wù)商運營的不同云平臺,需要分別申請安全評估。
評估主要參照標準
《云計算服務(wù)安全能力要求》
《云計算服務(wù)安全指南》
其中《云計算服務(wù)安全能力要求》從系統(tǒng)開發(fā)與供應(yīng)鏈安全、系統(tǒng)與通信保護、訪問控制、配置管理、維護、應(yīng)急響應(yīng)與災(zāi)備、審計、風(fēng)險評估與持續(xù)監(jiān)控、安全組織與人員、物理與環(huán)境安全等方面提出要求。
評估過程詳解
時間:
2019年9月1日起
提交材料:
(一)申報書;
(二)云計算服務(wù)系統(tǒng)安全計劃;
(三)業(yè)務(wù)連續(xù)性和供應(yīng)鏈安全報告;
(四)客戶數(shù)據(jù)可遷移性分析報告;
(五)安全評估工作需要的其他材料。
申請安全評估的云服務(wù)商,應(yīng)如實填報申報書,并將蓋章紙質(zhì)版2份和電子版光盤1張通過中國郵政EMS快遞或?qū)H怂椭猎朴嬎惴?wù)安全評估工作協(xié)調(diào)機制辦公室。
云計算服務(wù)安全評估工作協(xié)調(diào)機制辦公室初步判斷屬于云計算服務(wù)安全評估對象的,將通過電子郵件(yunpinggu@cac.gov.cn)向云服務(wù)商提供《云計算服務(wù)系統(tǒng)安全計劃》《云計算服務(wù)業(yè)務(wù)連續(xù)性和供應(yīng)鏈安全報告》《云計算服務(wù)客戶數(shù)據(jù)可遷移性分析報告》等其他申報材料模板。
云服務(wù)商原則上應(yīng)在收到申報材料模板后3個月內(nèi),將上述申報材料(蓋章紙質(zhì)版2份和電子版光盤1張,支撐證據(jù)類材料僅需提供電子版)一次性通過中國郵政EMS快遞或?qū)H怂椭猎朴嬎惴?wù)安全評估工作協(xié)調(diào)機制辦公室。
Tips
申報材料模板可在中國網(wǎng)信網(wǎng)(http://www.cac.gov.cn)提供下載,前期已通過黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查的云平臺,視同為已通過云計算服務(wù)安全評估,無需重新申請。
評估環(huán)節(jié)
查詢評估結(jié)果
由國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局在中國網(wǎng)信網(wǎng)公布,評估結(jié)果有效期為3年。
答疑時間
1、評估如何保護被評估方的商業(yè)秘密和知識產(chǎn)權(quán)?
云計算服務(wù)安全評估過程中,參與評估工作的單位和人員對云服務(wù)商提交的非公開材料或在評估中獲悉的非公開信息承擔(dān)保密義務(wù),嚴格保護云服務(wù)商的商業(yè)秘密和知識產(chǎn)權(quán)。
如果云服務(wù)商認為有關(guān)單位和人員未能承擔(dān)保密義務(wù)的,可以向國家互聯(lián)網(wǎng)信息辦公室或有關(guān)部門舉報。
(本文屬知識庫及科普性質(zhì),資料來源互聯(lián)網(wǎng),版權(quán)歸原作者所有)
