7月22日，國(guó)家網信辦與發(fā)改委、工信部、财政部聯合發(fā)布《雲計算服務安全評估辦法》，并同時(shí)公布了有關問題解答。

以下爲全文：

國(guó)家互聯網信息辦公室 國(guó)家發(fā)展和改革委員會(huì) 工業和信息化部 财政部關于發(fā)布《雲計算服務安全評估辦法》的公告

2019年07月22日 09:30:00 

來源： 中國(guó)網信網

國(guó)家互聯網信息辦公室 國(guó)家發(fā)展和改革委員會(huì) 工業和信息化部 财政部關于發(fā)布《雲計算服務安全評估辦法》的公告

2019年 第2号

爲提高黨政機關、關鍵信息基礎設施運營者采購使用雲計算服務的安全可控水平，國(guó)家互聯網信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業和信息化部、财政部制定了《雲計算服務安全評估辦法》，現予以發(fā)布。

附件：雲計算服務安全評估辦法

國(guó)家互聯網信息辦公室

國(guó)家發(fā)展和改革委員會(huì)

工業和信息化部 财政部

2019年7月2日

雲計算服務安全評估辦法 

第一條 爲提高黨政機關、關鍵信息基礎設施運營者采購使用雲計算服務的安全可控水平，制定本辦法。

第二條 雲計算服務安全評估堅持事(shì)前評估與持續監督相結合，保障安全與促進(jìn)應用相統一，依據有關法律法規和政策規定，參照國(guó)家有關網絡安全标準，發(fā)揮專業技術機構、專家作用，客觀評價、嚴格監督雲計算服務平台（以下簡稱“雲平台”）的安全性、可控性，爲黨政機關、關鍵信息基礎設施運營者采購雲計算服務提供參考。

本辦法中的雲平台包括雲計算服務軟硬件設施及其相關管理制度等。

第三條 雲計算服務安全評估重點評估以下内容：

（一）雲平台管理運營者（以下簡稱“雲服務商”）的征信、經(jīng)營狀況等基本情況；

（二）雲服務商人員背景及穩定性，特别是能(néng)夠訪問客戶數據、能(néng)夠收集相關元數據的人員；

（三）雲平台技術、産品和服務供應鏈安全情況；

（四）雲服務商安全管理能(néng)力及雲平台安全防護情況；

（五）客戶遷移數據的可行性和便捷性；

（六）雲服務商的業務連續性；

（七）其他可能(néng)影響雲服務安全的因素。

第四條 國(guó)家互聯網信息辦公室會(huì)同國(guó)家發(fā)展和改革委員會(huì)、工業和信息化部、财政部建立雲計算服務安全評估工作協調機制（以下簡稱“協調機制”），審議雲計算服務安全評估政策文件，批準雲計算服務安全評估結果，協調處理雲計算服務安全評估有關重要事(shì)項。

雲計算服務安全評估工作協調機制辦公室（以下簡稱“辦公室”）設在國(guó)家互聯網信息辦公室網絡安全協調局。

第五條 雲服務商可申請對(duì)面(miàn)向(xiàng)黨政機關、關鍵信息基礎設施提供雲計算服務的雲平台進(jìn)行安全評估。

第六條 申請安全評估的雲服務商應向(xiàng)辦公室提交以下材料：

（一）申報書；

（二）雲計算服務系統安全計劃；

（三）業務連續性和供應鏈安全報告；

（四）客戶數據可遷移性分析報告；

（五）安全評估工作需要的其他材料。

第七條 辦公室受理雲服務商申請後(hòu)，組織專業技術機構參照國(guó)家有關标準對(duì)雲平台進(jìn)行安全評價。

第八條 專業技術機構應堅持客觀、公正、公平的原則，按照國(guó)家有關規定，在辦公室指導監督下，參照《雲計算服務安全指南》《雲計算服務安全能(néng)力要求》等國(guó)家标準，重點評價本辦法第三條所述内容，形成(chéng)評價報告，并對(duì)評價結果負責。

第九條 辦公室在專業技術機構安全評價基礎上，組織雲計算服務安全評估專家組進(jìn)行綜合評價。

第十條 雲計算服務安全評估專家組根據雲服務商申報材料、評價報告等，綜合評價雲計算服務的安全性、可控性，提出是否通過(guò)安全評估的建議。

第十一條 雲計算服務安全評估專家組的建議經(jīng)協調機制審議通過(guò)後(hòu)，辦公室按程序報國(guó)家互聯網信息辦公室核準。

雲計算服務安全評估結果由辦公室發(fā)布。

第十二條 雲計算服務安全評估結果有效期3年。有效期屆滿需要延續保持評估結果的，雲服務商應在屆滿前至少6個月向(xiàng)辦公室申請複評。

有效期内，雲服務商因股權變更、企業重組等導緻實控人或控股權發(fā)生變化的，應重新申請安全評估。

第十三條 辦公室通過(guò)組織抽查、接受舉報等形式，對(duì)通過(guò)評估的雲平台開(kāi)展持續監督，重點監督有關安全控制措施有效性、重大變更、應急響應、風險處置等内容。

通過(guò)評估的雲平台已不再滿足要求的，經(jīng)協調機制審議、國(guó)家互聯網信息辦公室核準後(hòu)撤銷通過(guò)評估的結論。

第十四條 通過(guò)評估的雲平台停止提供服務時(shí)，雲服務商應至少提前6個月通知客戶和辦公室，并配合客戶做好(hǎo)遷移工作。

第十五條 雲服務商對(duì)所提供申報材料的真實性負責。在評估過(guò)程中拒絕按要求提供材料或故意提供虛假材料的，按評估不通過(guò)處理。

第十六條 未經(jīng)雲服務商同意，參與評估工作的相關機構和人員不得披露雲服務商提交的未公開(kāi)材料以及評估工作中獲悉的其他非公開(kāi)信息，不得將(jiāng)雲服務商提供的信息用于評估以外的目的。

第十七條 本辦法自2019年9月1日起(qǐ)施行。

《雲計算服務安全評估辦法》有關問題解答

1、組織開(kāi)展雲計算服務安全評估的目的是什麼(me)？

答：開(kāi)展雲計算服務安全評估，是爲了提高黨政機關、關鍵信息基礎設施運營者采購使用雲計算服務的安全可控水平，降低采購使用雲計算服務帶來的網絡安全風險，增強黨政機關、關鍵信息基礎設施運營者將(jiāng)業務及數據向(xiàng)雲服務平台遷移的信心。

2、雲計算服務安全評估的對(duì)象是什麼(me)？

答：雲計算服務安全評估是依據雲服務商申請，對(duì)面(miàn)向(xiàng)黨政機關、關鍵信息基礎設施提供雲計算服務的雲平台進(jìn)行的安全評估。同一雲服務商運營的不同雲平台，需要分别申請安全評估。

3、何時(shí)起(qǐ)雲服務商可申請評估？需要提交哪些材料？

答：自2019年9月1日起(qǐ)雲服務商可以正式提交雲計算服務安全評估申請。需要提交的材料包括申報書、雲計算服務系統安全計劃、業務連續性和供應鏈安全報告、客戶數據可遷移性分析報告等。有關申報材料模版將(jiāng)在中國(guó)網信網提供下載。

4、已通過(guò)黨政部門雲計算服務網絡安全審查的雲平台，是否還(hái)需要申請雲計算服務安全評估？

答：前期已經(jīng)通過(guò)黨政部門雲計算服務網絡安全審查的雲平台，視同爲已通過(guò)雲計算服務安全評估，不需要再重新申請。

5、雲計算服務安全評估主要參照哪些标準？

答：雲計算服務安全評估主要參照國(guó)家标準《雲計算服務安全能(néng)力要求》、《雲計算服務安全指南》，其中《雲計算服務安全能(néng)力要求》從系統開(kāi)發(fā)與供應鏈安全、系統與通信保護、訪問控制、配置管理、維護、應急響應與災備、審計、風險評估與持續監控、安全組織與人員、物理與環境安全等方面(miàn)提出要求。

6、雲計算服務安全評估有哪些主要環節？

答：主要包括申報、受理、專業技術機構評價、雲計算服務安全評估專家組綜合評價、雲計算服務安全評估工作協調機制審議、國(guó)家互聯網信息辦公室核準、評估結果發(fā)布、持續監督等環節。

7、雲計算服務安全評估結果在哪裡(lǐ)查詢？有效期多長(cháng)時(shí)間？

答：評估結果將(jiāng)由國(guó)家互聯網信息辦公室網絡安全協調局在中國(guó)網信網公布。評估結果有效期爲3年。

8、雲計算服務安全評估如何保護被(bèi)評估方的商業秘密和知識産權？

答：雲計算服務安全評估過(guò)程中，參與評估工作的單位和人員對(duì)雲服務商提交的非公開(kāi)材料或在評估中獲悉的非公開(kāi)信息承擔保密義務，嚴格保護雲服務商的商業秘密和知識産權。如果雲服務商認爲有關單位和人員未能(néng)承擔保密義務的，可以向(xiàng)國(guó)家互聯網信息辦公室或有關部門舉報。

9、關于雲計算服務安全評估問題可向(xiàng)誰咨詢？

答：有關雲計算服務安全評估的其他具體事(shì)項，可發(fā)送電子郵件到yunpinggu@cac.gov.cn或撥打010-55635861咨詢。