《政府採購信息報》記者日前從財政部網站獲悉,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、財政部發布了《雲計算服務安全評估辦法》(以下簡稱《辦法》),旨在提高黨政機關、關鍵信息基礎設施運營者採購使用雲計算服務的安全可控水平。《辦法》自2019年9月1日起施行。
重點評估七項內容
《辦法》明確,雲計算服務安全評估重點評估七項內容。
一是雲平臺管理運營者(以下簡稱“雲服務商”)的徵信、經營狀況等基本情況;二是雲服務商人員背景及穩定性,特別是能夠訪問客戶數據、能夠收集相關元數據的人員;三是雲平臺技術、產品和服務供應鏈安全情況;四是雲服務商安全管理能力及雲平臺安全防護情況;五是客戶遷移數據的可行性和便捷性;六是雲服務商的業務連續性;七是其他可能影響雲服務安全的因素。
要求建立協調機制
《辦法》要求,國家互聯網信息辦公室會同國家發展和改革委員會、工業和信息化部、財政部建立雲計算服務安全評估工作協調機制,審議雲計算服務安全評估政策文件,批准雲計算服務安全評估結果,協調處理雲計算服務安全評估有關重要事項。
雲計算服務安全評估工作協調機制辦公室(以下簡稱“辦公室”)設在國家互聯網信息辦公室網絡安全協調局。辦公室受理雲服務商申請後,組織專業技術機構參照國家有關標準對雲平臺進行安全評價。辦公室在專業技術機構安全評價基礎上,組織雲計算服務安全評估專家組進行綜合評價。
評估結果有效期3年
《辦法》指出,雲計算服務安全評估結果有效期3年。有效期屆滿需要延續保持評估結果的,雲服務商應在屆滿前至少6個月向辦公室申請複評。
有效期內,雲服務商因股權變更、企業重組等導致實控人或控股權發生變化的,應重新申請安全評估。
通過評估的雲平臺停止提供服務時,雲服務商應至少提前6個月通知客戶和辦公室,並配合客戶做好遷移工作。
雲服務商對所提供申報材料的真實性負責。在評估過程中拒絕按要求提供材料或故意提供虛假材料的,按評估不通過處理。
未經雲服務商同意,參與評估工作的相關機構和人員不得披露雲服務商提交的未公開材料以及評估工作中獲悉的其他非公開信息,不得將雲服務商提供的信息用於評估以外的目的。
《辦法》還明確了申請安全評估的雲服務商應提交的材料,包括:申報書;雲計算服務系統安全計劃;業務連續性和供應鏈安全報告;客戶數據可遷移性分析報告;安全評估工作需要的其他材料。(整理/劉輝)
"