《云计算服务安全评估办法》解读

为政务云产业发展保驾护航 ——《云计算服务安全评估办法》解读

近日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部联合发布了《云计算服务安全评估办法》，旨在提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平，降低采购使用云计算服务带来的网络安全风险，从而增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。赛迪顾问认为，《评估办法》的出台，是国家持续推动云计算产业健康发展和市场规范化运行、提升云安全服务能力的重要体现。

推动政务云市场快速发展

政务领域中的数据大多是涉及国家、公民、社会经济运行基本信息的核心数据，数据存储设施和应用系统同时也是国家关键基础设施的一部分。政务数据的高度敏感性对云服务商服务安全保障能力有着更高的要求。《评估办法》的实施将为政务云产业发展保驾护航，具体体现在以下三个方面：

首先，《评估办法》推动云安全技术研发。一方面，《评估办法》的实施能激发云服务商对云安全技术研发的积极性，促进提供商不断加强产品核心组件和技术的研发，推出更能保障政务数据安全的云计算架构、密钥管理、静态加密等信息保护技术。另一方面，云服务商最终通过国家云计算服务安全评估、获得相应资质认证，标志着该服务商已拥有一定的自主研发能力、科学的技术管理模式及成熟的市场化应用的产品，这对其他云服务提供商云服务安全能力的提升具有重要示范和导向作用。

其次，《评估办法》助力政务云市场的快速发展。《评估办法》从征信、经营状况等基本情况，人员背景及稳定性，云平台技术、产品和服务供应链安全情况，安全管理能力及云平台安全防护情况，客户迁移数据的可行性和便捷性，云服务商的业务连续性等多维度对云服务商进行评估，将敦促云服务商全方位提高服务安全水平。云服务商服务安全水平的提高，将大大提升各级政府推动政务上云的信心，使得政务上云的步伐加快，从而推动政务云市场的快速发展。

最后，《评估办法》促进云服务安全保障体系未来走向完善。《评估办法》对评估重点工作、评估原则、评估流程都作出了详细说明，是对《云计算服务安全指南》《云计算服务安全能力要求》的进一步深化和落实，三者共同构成提升云计算服务安全水平的保障体系。《评估办法》的落实，将有大量的云服务商参与评估，这将利于国家相关部门摸清我国整体云计算行业服务安全现状，从而有助于国家未来安全云乃至可控云标准、实施细则制定等相关保障工作的开展，促进云服务安全保障体系逐步完善。

政务云产业发展建议

政府客户方面，一方面是要选用通过安全评估的云服务商并对其安全服务等级资质进行核查，选云服务商时不仅要关注其技术能力、产品性能，同时也要关注云服务商长期运维和服务能力。另一方面是要加强对已搭建的云平台监管、定期自行或委托第三方开展安全检查和性能测试等工作，并及时查看云服务提供商定期运维与风险评估相关报告，以确保整个云平台的安全性。

云服务商方面，一方面是要加强安全意识、风险意识，构建云平台全生命周期的风险管理框架。另一方面是要紧紧围绕《评估办法》中重点评估内容，从技术、产品、人员、服务和供应链等方面提升安全水平。在技术方面，要加强信息保护技术的研发以防止病毒攻击，向政府客户开放技术架构并提供完备技术资料；在产品方面，要积极设计“分区管理”解决方案，保障核心政务数据在“内网区”更高的安全性；在人员方面，要对云平台所有研发、建设和运维人员进行背景调查；在服务方面，要对云计算平台进行持续风险监控、定期进行风险评估，当风险发生时，

能及时应对风险，拥有容灾恢复能力；在供应链方面，要选用具有安全等级资质或证明的供应商，以确保整个云平台的安全。

《云计算服务安全评估办法》有关问题解答

问：组织开展云计算服务安全评估的目的是什么？

答：开展云计算服务安全评估，是为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平，降低采购使用云计算服务带来的网络安全风险，增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。

问：云计算服务安全评估的对象是什么？

答：云计算服务安全评估是依据云服务商申请，对面向党政机关、关键信息基础设施提供云计算服务的云平台进行的安全评估。同一云服务商运营的不同云平台，需要分别申请安全评估。

问：何时起云服务商可申请评估？需要提交哪些材料？

答：自2019年9月1日起，云服务商可以正式提交云计算服务安全评估申请。需要提交的材料包括申报书、云计算服务系统安全计划、业务连续性和供应链安全报告、客户数据可迁移性分析报告等。有关申报材料模板将在中国网信网提供下载。

问：已通过党政部门云计算服务网络安全审查的云平台，是否还需要申请云计算服务安全评估？

答：前期已经通过党政部门云计算服务网络安全审查的云平台，视同为已通过云计算服务安全评估，不需要再重新申请。

问：云计算服务安全评估主要参照哪些标准？

答：云计算服务安全评估主要参照国家标准《云计算服务安全能力要求》《云计算服务安全指南》，其中《云计算服务安全能力要求》从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面提出要求。

问：云计算服务安全评估有哪些主要环节？

答：主要包括申报、受理、专业技术机构评价、云计算服务安全评估专家组综合评价、云计算服务安全评估工作协调机制审议、国家互联网信息办公室核准、评估结果发布、持续监督等环节。

问：云计算服务安全评估结果在哪里查询？有效期多长时间？

答：评估结果将由国家互联网信息办公室网络安全协调局在中国网信网公布。评估结果有效期为3年。

问：云计算服务安全评估如何保护被评估方的商业秘密和知识产权？

答：云计算服务安全评估过程中，参与评估工作的单位和人员对云服务商提交的非公开材料或在评估中获悉的非公开信息承担保密义务，严格保护云服务商的商业秘密和知识产权。如果云服务商认为有关单位和人员未能承担保密义务的，可以向国家互联网信息办公室或有关部门举报。（赛迪顾问大数据产业研究中心高级分析师 张凡）

转自：中国电子报