國家互聯(lián)網(wǎng)信息辦公室 國家發(fā)展和改革委員會 工業(yè)和信息化部 財政部關(guān)于發(fā)布《云計算服務(wù)安全評估辦法》的公告
2019年 第2號
為提高黨政機(jī)關(guān)���、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購使用云計算服務(wù)的安全可控水平�����,國家互聯(lián)網(wǎng)信息辦公室����、國家發(fā)展和改革委員會、工業(yè)和信息化部�����、財政部制定了《云計算服務(wù)安全評估辦法》��,現(xiàn)予以發(fā)布���。
附件:云計算服務(wù)安全評估辦法
國家互聯(lián)網(wǎng)信息辦公室 國家發(fā)展和改革委員會
工業(yè)和信息化部 財政部
2019年7月2日
云計算服務(wù)安全評估辦法
第一條 為提高黨政機(jī)關(guān)���、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購使用云計算服務(wù)的安全可控水平,制定本辦法����。
第二條 云計算服務(wù)安全評估堅持事前評估與持續(xù)監(jiān)督相結(jié)合,保障安全與促進(jìn)應(yīng)用相統(tǒng)一���,依據(jù)有關(guān)法律法規(guī)和政策規(guī)定����,參照國家有關(guān)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)�����,發(fā)揮專業(yè)技術(shù)機(jī)構(gòu)�����、專家作用�����,客觀評價���、嚴(yán)格監(jiān)督云計算服務(wù)平臺(以下簡稱“云平臺”)的安全性����、可控性�,為黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購云計算服務(wù)提供參考���。
本辦法中的云平臺包括云計算服務(wù)軟硬件設(shè)施及其相關(guān)管理制度等�。
第三條 云計算服務(wù)安全評估重點(diǎn)評估以下內(nèi)容:
?����。ㄒ唬┰破脚_管理運(yùn)營者(以下簡稱“云服務(wù)商”)的征信、經(jīng)營狀況等基本情況�����;
?。ǘ┰品?wù)商人員背景及穩(wěn)定性,特別是能夠訪問客戶數(shù)據(jù)�、能夠收集相關(guān)元數(shù)據(jù)的人員;
?����。ㄈ┰破脚_技術(shù)����、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況;
?�。ㄋ模┰品?wù)商安全管理能力及云平臺安全防護(hù)情況�����;
?�。ㄎ澹┛蛻暨w移數(shù)據(jù)的可行性和便捷性�;
?。┰品?wù)商的業(yè)務(wù)連續(xù)性�;
(七)其他可能影響云服務(wù)安全的因素���。
第四條 國家互聯(lián)網(wǎng)信息辦公室會同國家發(fā)展和改革委員會�、工業(yè)和信息化部�����、財政部建立云計算服務(wù)安全評估工作協(xié)調(diào)機(jī)制(以下簡稱“協(xié)調(diào)機(jī)制”)�,審議云計算服務(wù)安全評估政策文件�,批準(zhǔn)云計算服務(wù)安全評估結(jié)果,協(xié)調(diào)處理云計算服務(wù)安全評估有關(guān)重要事項(xiàng)��。
云計算服務(wù)安全評估工作協(xié)調(diào)機(jī)制辦公室(以下簡稱“辦公室”)設(shè)在國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局���。
第五條 云服務(wù)商可申請對面向黨政機(jī)關(guān)�����、關(guān)鍵信息基礎(chǔ)設(shè)施提供云計算服務(wù)的云平臺進(jìn)行安全評估���。
第六條 申請安全評估的云服務(wù)商應(yīng)向辦公室提交以下材料:
?。ㄒ唬┥陥髸?�;
?�。ǘ┰朴嬎惴?wù)系統(tǒng)安全計劃��;
?。ㄈI(yè)務(wù)連續(xù)性和供應(yīng)鏈安全報告;
?��。ㄋ模┛蛻魯?shù)據(jù)可遷移性分析報告����;
?���。ㄎ澹┌踩u估工作需要的其他材料。
第七條 辦公室受理云服務(wù)商申請后���,組織專業(yè)技術(shù)機(jī)構(gòu)參照國家有關(guān)標(biāo)準(zhǔn)對云平臺進(jìn)行安全評價��。
第八條 專業(yè)技術(shù)機(jī)構(gòu)應(yīng)堅持客觀�����、公正���、公平的原則���,按照國家有關(guān)規(guī)定,在辦公室指導(dǎo)監(jiān)督下���,參照《云計算服務(wù)安全指南》《云計算服務(wù)安全能力要求》等國家標(biāo)準(zhǔn)�����,重點(diǎn)評價本辦法第三條所述內(nèi)容,形成評價報告���,并對評價結(jié)果負(fù)責(zé)�。
第九條 辦公室在專業(yè)技術(shù)機(jī)構(gòu)安全評價基礎(chǔ)上�����,組織云計算服務(wù)安全評估專家組進(jìn)行綜合評價����。
第十條 云計算服務(wù)安全評估專家組根據(jù)云服務(wù)商申報材料�、評價報告等���,綜合評價云計算服務(wù)的安全性����、可控性�����,提出是否通過安全評估的建議����。
第十一條 云計算服務(wù)安全評估專家組的建議經(jīng)協(xié)調(diào)機(jī)制審議通過后,辦公室按程序報國家互聯(lián)網(wǎng)信息辦公室核準(zhǔn)���。
云計算服務(wù)安全評估結(jié)果由辦公室發(fā)布����。
第十二條 云計算服務(wù)安全評估結(jié)果有效期3年��。有效期屆滿需要延續(xù)保持評估結(jié)果的���,云服務(wù)商應(yīng)在屆滿前至少6個月向辦公室申請復(fù)評�。
有效期內(nèi),云服務(wù)商因股權(quán)變更�����、企業(yè)重組等導(dǎo)致實(shí)控人或控股權(quán)發(fā)生變化的�����,應(yīng)重新申請安全評估�����。
第十三條 辦公室通過組織抽查���、接受舉報等形式,對通過評估的云平臺開展持續(xù)監(jiān)督�����,重點(diǎn)監(jiān)督有關(guān)安全控制措施有效性�、重大變更、應(yīng)急響應(yīng)���、風(fēng)險處置等內(nèi)容�����。
通過評估的云平臺已不再滿足要求的���,經(jīng)協(xié)調(diào)機(jī)制審議����、國家互聯(lián)網(wǎng)信息辦公室核準(zhǔn)后撤銷通過評估的結(jié)論���。
第十四條 通過評估的云平臺停止提供服務(wù)時��,云服務(wù)商應(yīng)至少提前6個月通知客戶和辦公室�,并配合客戶做好遷移工作��。
第十五條 云服務(wù)商對所提供申報材料的真實(shí)性負(fù)責(zé)�����。在評估過程中拒絕按要求提供材料或故意提供虛假材料的���,按評估不通過處理�����。
第十六條 未經(jīng)云服務(wù)商同意���,參與評估工作的相關(guān)機(jī)構(gòu)和人員不得披露云服務(wù)商提交的未公開材料以及評估工作中獲悉的其他非公開信息���,不得將云服務(wù)商提供的信息用于評估以外的目的。
第十七條 本辦法自2019年9月1日起施行�����。
免責(zé)聲明:凡本網(wǎng)注明“來源:XXX(非駐馬店廣視網(wǎng)���、駐馬店融媒�����、駐馬店網(wǎng)絡(luò)問政����、掌上駐馬店�、駐馬店頭條�、駐馬店廣播電視臺)”的作品,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息����,并不代表本網(wǎng)贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé),作品版權(quán)歸原作者所有��,如有侵犯您的原創(chuàng)版權(quán)請告知��,我們將盡快刪除相關(guān)內(nèi)容����。凡是本網(wǎng)原創(chuàng)的作品,拒絕任何不保留版權(quán)的轉(zhuǎn)載�,如需轉(zhuǎn)載請標(biāo)注來源并添加本文鏈接:http://torirandolph.com/showinfo-572-255579-0.html,否則承擔(dān)相應(yīng)法律后果��。
