四部门发布《云计算服务安全评估办法》 自2019年9月1日起施行

本篇文章1677字，读完约4分钟

据国家互联网信息办公室官方网站7月22日消息，为提高党政机关和重点信息基础设施运营商购买和使用云计算服务的安全性和可控性，国家互联网信息办公室、国家发改委、工业和信息化部、财政部制定了《云计算服务安全评估办法》，现予以发布。

全文如下:

云计算服务安全评估方法

第一条为提高党政机关和重点信息基础设施运营商购买和使用云计算服务的安全性和可控性，制定本办法。

第二条云计算服务安全评估坚持事前评估和持续监管相结合，保障安全和促进应用相统一。根据相关法律法规和政策，参照国家相关网络安全标准，发挥专业技术机构和专家的作用，客观评估和严格监管云计算服务平台(以下简称云平台)的安全性和可控性，为党政机关和重点信息基础设施运营商购买云计算服务提供参考。

本办法中的云平台包括云计算服务软硬件设施及相关管理系统。

第三条云计算服务安全评估主要包括以下内容:

(一)云平台管理运营商(以下简称云服务提供商)信用信息和经营状况的基本信息；

(2)云服务提供商的背景和稳定性，尤其是那些能够访问客户数据和收集相关元数据的提供商；

(3)云平台技术、产品和服务供应链的安全性；

(4)云服务提供商的安全管理能力和云平台的安全保护；

(5)客户数据迁移的可行性和便利性；

(6)云服务提供商的业务连续性；

(七)其他可能影响云服务安全的因素。

第四条国家互联网信息办会同国家发展改革委、工业和信息化部、财政部建立云计算服务安全评估协调机制(以下简称协调机制)，审核云计算服务安全评估政策文件，批准云计算服务安全评估结果，协调处理云计算服务安全评估相关重要事宜。

云计算服务安全评估协调机构办公室(以下简称办公室)设在国家互联网信息办公室网络安全协调局。

第五条云服务提供商可以申请为党政机关和关键信息基础设施提供云计算服务的云平台的安全评估。

第六条申请安全评估的云服务提供商应向办公室提交以下材料:

(a)声明；

(2)云计算服务系统安全计划；

(3)业务连续性和供应链安全报告；

(4)客户数据可移植性分析报告；

(五)安全评估所需的其他材料。

第七条办公室受理云服务提供商申请后，应组织专业技术机构参照国家相关标准对云平台的安全性进行评估。

第八条专业技术机构应当坚持客观、公正、公平的原则，按照国家有关规定，在办公室的指导和监督下，参照《云计算服务安全指南》、《云计算服务安全能力要求》等国家标准，重点评估本办法第三条所述内容，形成评估报告，并对评估结果负责。

第九条办公室在专业技术机构安全评估的基础上，组织云计算服务安全评估专家组进行综合评估。

第十条云计算服务安全评估专家组根据云服务提供商的申请材料和评估报告，对云计算服务的安全性和可控性进行综合评估，并提出是否通过安全评估的建议。

第十一条云计算服务安全评估专家组的建议经协调机构审核通过后，办公室按程序上报国家互联网信息办公室审批。

云计算服务安全评估结果由办公室发布。

第十二条云计算服务安全评估结果有效期为3年。有效期届满后需要保留评估结果的，云服务提供商应至少在有效期届满前6个月向办公室申请重新评估。

在有效期内，云服务提供商因股权变更或企业重组等原因变更其实际控制人或控制股权的，应重新申请安全评估。

第十三条办公室对通过评估的云平台进行持续监管，组织抽查和受理举报，重点关注安全控制措施的有效性、重大变化、应急响应和风险处置。

如果被评估的云平台不再符合要求，经协调机构审核，国家互联网信息办公室批准后，评估结论将被撤销。

第十四条当被评估的云平台停止提供服务时，云服务提供商应至少提前6个月通知客户和办公室，并配合客户做好迁移工作。

第十五条云服务提供商应对所提供申请材料的真实性负责。在评估过程中，凡拒绝按要求提供材料或故意提供虚假材料的，将不能通过评估处理。

第十六条未经云服务提供商同意，参与评估工作的相关机构和人员不得泄露云服务提供商提交的未公开材料以及评估工作中获知的其他未公开信息，不得将云服务提供商提供的信息用于评估以外的目的。

第十七条本办法自2019年9月1日起施行。