43个云平台通过云计算服务安全评估:阿里云、腾讯云、华为云、曙光云、新华云、金山云、电科云、浪潮云、紫光云、深信服等
近期,中共中央网络安全和信息化委员会办公室发布了《通过云计算服务安全评估的云平台》名单。
通过云计算服务安全评估的云平台
国家互联网信息办公室 国家发展和改革委员会 工业和信息化部 财政部关于发布《云计算服务安全评估办法》的公告
2019年 第2号
为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部制定了《云计算服务安全评估办法》,现予以发布。
附件:云计算服务安全评估办法
国家互联网信息办公室 国家发展和改革委员会
工业和信息化部 财政部
2019年7月2日
云计算服务安全评估办法
第一条 为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,制定本办法。
第二条 云计算服务安全评估坚持事前评估与持续监督相结合,保障安全与促进应用相统一,依据有关法律法规和政策规定,参照国家有关网络安全标准,发挥专业技术机构、专家作用,客观评价、严格监督云计算服务平台(以下简称“云平台”)的安全性、可控性,为党政机关、关键信息基础设施运营者采购云计算服务提供参考。
本办法中的云平台包括云计算服务软硬件设施及其相关管理制度等。
第三条 云计算服务安全评估重点评估以下内容:
(一)云平台管理运营者(以下简称“云服务商”)的征信、经营状况等基本情况;
(二)云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;
(三)云平台技术、产品和服务供应链安全情况;
(四)云服务商安全管理能力及云平台安全防护情况;
(五)客户迁移数据的可行性和便捷性;
(六)云服务商的业务连续性;
(七)其他可能影响云服务安全的因素。
第四条 国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、财政部建立云计算服务安全评估工作协调机制(以下简称“协调机制”),审议云计算服务安全评估政策文件,批准云计算服务安全评估结果,协调处理云计算服务安全评估有关重要事项。
云计算服务安全评估工作协调机制办公室(以下简称“办公室”)设在国家互联网信息办公室网络安全协调局。
第五条 云服务商可申请对面向党政机关、关键信息基础设施提供云计算服务的云平台进行安全评估。
第六条 申请安全评估的云服务商应向办公室提交以下材料:
(一)申报书;
(二)云计算服务系统安全计划;
(三)业务连续性和供应链安全报告;
(四)客户数据可迁移性分析报告;
(五)安全评估工作需要的其他材料。
第七条 办公室受理云服务商申请后,组织专业技术机构参照国家有关标准对云平台进行安全评价。
第八条 专业技术机构应坚持客观、公正、公平的原则,按照国家有关规定,在办公室指导监督下,参照《云计算服务安全指南》《云计算服务安全能力要求》等国家标准,重点评价本办法第三条所述内容,形成评价报告,并对评价结果负责。
第九条 办公室在专业技术机构安全评价基础上,组织云计算服务安全评估专家组进行综合评价。
第十条 云计算服务安全评估专家组根据云服务商申报材料、评价报告等,综合评价云计算服务的安全性、可控性,提出是否通过安全评估的建议。
第十一条 云计算服务安全评估专家组的建议经协调机制审议通过后,办公室按程序报国家互联网信息办公室核准。
云计算服务安全评估结果由办公室发布。
第十二条 云计算服务安全评估结果有效期3年。有效期届满需要延续保持评估结果的,云服务商应在届满前至少6个月向办公室申请复评。
有效期内,云服务商因股权变更、企业重组等导致实控人或控股权发生变化的,应重新申请安全评估。
第十三条 办公室通过组织抽查、接受举报等形式,对通过评估的云平台开展持续监督,重点监督有关安全控制措施有效性、重大变更、应急响应、风险处置等内容。
通过评估的云平台已不再满足要求的,经协调机制审议、国家互联网信息办公室核准后撤销通过评估的结论。
第十四条 通过评估的云平台停止提供服务时,云服务商应至少提前6个月通知客户和办公室,并配合客户做好迁移工作。
第十五条 云服务商对所提供申报材料的真实性负责。在评估过程中拒绝按要求提供材料或故意提供虚假材料的,按评估不通过处理。
第十六条 未经云服务商同意,参与评估工作的相关机构和人员不得披露云服务商提交的未公开材料以及评估工作中获悉的其他非公开信息,不得将云服务商提供的信息用于评估以外的目的。
第十七条 本办法自2019年9月1日起施行。
关于加强党政部门云计算服务网络安全管理的意见
中网办发文〔2014〕14号
各省、自治区、直辖市党委网络安全和信息化领导小组办公室,中央和国家机关各部委、各人民团体网络安全和信息化相关工作机构:
为加强党政部门云计算服务网络安全管理,维护国家网络安全,现就党政部门云计算服务网络安全管理提出以下意见。
一、充分认识加强党政部门云计算服务网络安全管理的必要性
云计算服务是以云计算技术与模式为主要特征的信息技术服务,包括SaaS(软件即服务)、PaaS(平台即服务)、IaaS(基础设施即服务)等。党政部门采购云计算服务,有利于提高资源利用率和为民服务效率与水平,同时,安全风险也很突出:用户对数据、系统的控制管理能力减弱;安全责任不明确,一些单位可能由于数据和业务的外包而放松安全管理;云计算平台更加复杂,风险和隐患增多,控制和监管手段不足;云计算平台间的互操作和移植比较困难,用户数据和业务迁移到云计算平台后容易形成对云计算服务提供者(以下称服务商)的过度依赖。对此,各级党政部门务必高度重视,增强风险意识、责任意识,切实加强采购和使用云计算服务过程中的网络安全管理。
二、进一步明确党政部门云计算服务网络安全管理的基本要求党政部门在采购使用云计算服务过程中应遵守,并通过合同等手段要求为党政部门提供云计算服务的服务商遵守以下要求:
——安全管理责任不变。网络安全管理责任不随服务外包而外包,无论党政部门数据和业务是位于内部信息系统还是服务商云计算平台上,党政部门始终是网络安全的最终责任人,应加强安全管理,通过签订合同、持续监督等方式要求服务商严格履行安全责任和义务,确保党政部门数据和业务的机密性、完整性、可用性,以及互操作性、可移植性。
——数据归属关系不变。党政部门提供给服务商的数据、设备等资源,以及云计算平台上党政业务系统运行过程中收集、产生、存储的数据和文档等资源属党政部门所有。服务商应保障党政部门对这些资源的访问、利用、支配,未经党政部门授权,不得访问、修改、披露、利用、转让、销毁党政部门数据;在服务合同终止时,应按要求做好数据、文档等资源的移交和清除工作。
——安全管理标准不变。承载党政部门数据和业务的云计算平台要参照党政信息系统进行网络安全管理,服务商应遵守党政信息系统的网络安全政策规定、信息安全等级保护要求、技术标准,落实安全管理和防护措施,接受党政部门和网络安全主管部门的网络安全监管。
——敏感信息不出境。为党政部门提供服务的云计算服务平台、数据中心等要设在境内。敏感信息未经批准不得在境外传输、处理、存储。
三、合理确定采用云计算服务的数据和业务范围
党政部门要参照《信息安全技术云计算服务安全指南》等国家标准,对数据的敏感程度、业务的重要性进行分类,全面分析、综合平衡采用云计算服务后的安全风险和效益,科学规划和确定采用云计算服务的数据、业务范围和进度安排。对于涉及国家秘密、工作秘密的业务,不得采用社会化云计算服务。对于包含大量敏感信息和公民隐私信息、直接影响党政机关运转和公众生活工作的关键业务,应在确保安全的前提下再考虑向云计算平台迁移。对于保护等级四级以上的信息系统,以及一旦出现问题可能造成重大经济损失,甚至危害国家安全的业务不宜采用社会化云计算服务。
四、统一组织党政部门云计算服务网络安全审查
中央网信办会同有关部门建立云计算服务安全审查机制,对为党政部门提供云计算服务的服务商,参照有关网络安全国家标准,组织第三方机构进行网络安全审查,重点审查云计算服务的安全性、可控性。党政部门采购云计算服务时,应逐步通过采购文件或合同等手段,明确要求服务商应通过安全审查。鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务。
五、加强云计算服务过程的持续指导和监督
党政部门应按照合同管理等有关要求,参考相关技术标准和指南,同服务商签订服务合同、协议。合同和协议要充分体现网络安全管理要求,明确合同双方的网络安全责任义务。直接参与党政业务系统运行管理的服务商人员应签订安全保密协议,必要时要对其进行背景调查。
党政部门要认真履行合同规定的责任义务,监督服务商加强安全防护管理,要求服务商在发生网络安全案件或重大事件时,及时向有关部门报告,配合开展调查工作。要组织对云计算服务的安全监测,加强安全检查,及时发现和通报安全隐患。
六、强化保密审查和安全意识培养
党政部门应建立健全云计算服务保密审查制度,指定机构和人员负责对迁移到云计算平台上的数据、业务进行保密审查,确保数据和业务不涉及国家秘密。综合分析数据关联性,防止因数据汇聚涉及国家秘密,不得使用非涉密网络中的云计算平台处理涉及国家秘密的信息。党政部门在使用云计算服务前,要集中组织开展机关工作人员网络安全和保密教育培训,明示使用云计算服务面临的安全保密风险;要求服务商加强对员工的安全和保密教育,自觉维护党政部门云计算服务安全。
中央网络安全和信息化领导小组办公室
2014年12月30日
↓↓ 点击"阅读原文" 【加入云技术社区】
相关阅读:
阿里云、腾讯云、华为云、金山云等28个政务云平台通过云计算服务安全评估
RightScale 2019年云状况调查报告:35% 的云支出被浪费「附50页PDF下载」
更多文章请关注
文章好看点这里[在看]👇