公眾號回復：干貨，領取價值58元/套IT管理體系文檔

公眾號回復：ITIL教材，領取最新ITIL4中文教材

正文

近期，中共中央網絡安全和信息化委員會辦公室發布了《通過云計算服務安全評估的云平臺》名單。

通過云計算服務安全評估的云平臺

國家互聯網信息辦公室 國家發展和改革委員會 工業和信息化部 財政部關于發布《云計算服務安全評估辦法》的公告

2019年 第2號

為提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、財政部制定了《云計算服務安全評估辦法》，現予以發布。

附件：云計算服務安全評估辦法

國家互聯網信息辦公室 國家發展和改革委員會

工業和信息化部 財政部

2019年7月2日

云計算服務安全評估辦法

第一條 為提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，制定本辦法。

第二條 云計算服務安全評估堅持事前評估與持續監督相結合，保障安全與促進應用相統一，依據有關法律法規和政策規定，參照國家有關網絡安全標準，發揮專業技術機構、專家作用，客觀評價、嚴格監督云計算服務平臺（以下簡稱“云平臺”）的安全性、可控性，為黨政機關、關鍵信息基礎設施運營者采購云計算服務提供參考。

本辦法中的云平臺包括云計算服務軟硬件設施及其相關管理制度等。

第三條 云計算服務安全評估重點評估以下內容：

（一）云平臺管理運營者（以下簡稱“云服務商”）的征信、經營狀況等基本情況；

（二）云服務商人員背景及穩定性，特別是能夠訪問客戶數據、能夠收集相關元數據的人員；

（三）云平臺技術、產品和服務供應鏈安全情況；

（四）云服務商安全管理能力及云平臺安全防護情況；

（五）客戶遷移數據的可行性和便捷性；

（六）云服務商的業務連續性；

（七）其他可能影響云服務安全的因素。

第四條 國家互聯網信息辦公室會同國家發展和改革委員會、工業和信息化部、財政部建立云計算服務安全評估工作協調機制（以下簡稱“協調機制”），審議云計算服務安全評估政策文件，批準云計算服務安全評估結果，協調處理云計算服務安全評估有關重要事項。

云計算服務安全評估工作協調機制辦公室（以下簡稱“辦公室”）設在國家互聯網信息辦公室網絡安全協調局。

第五條 云服務商可申請對面向黨政機關、關鍵信息基礎設施提供云計算服務的云平臺進行安全評估。

第六條 申請安全評估的云服務商應向辦公室提交以下材料：

（一）申報書；

（二）云計算服務系統安全計劃；

（三）業務連續性和供應鏈安全報告；

（四）客戶數據可遷移性分析報告；

（五）安全評估工作需要的其他材料。

第七條 辦公室受理云服務商申請后，組織專業技術機構參照國家有關標準對云平臺進行安全評價。

第八條 專業技術機構應堅持客觀、公正、公平的原則，按照國家有關規定，在辦公室指導監督下，參照《云計算服務安全指南》《云計算服務安全能力要求》等國家標準，重點評價本辦法第三條所述內容，形成評價報告，并對評價結果負責。

第九條 辦公室在專業技術機構安全評價基礎上，組織云計算服務安全評估專家組進行綜合評價。

第十條 云計算服務安全評估專家組根據云服務商申報材料、評價報告等，綜合評價云計算服務的安全性、可控性，提出是否通過安全評估的建議。

第十一條 云計算服務安全評估專家組的建議經協調機制審議通過后，辦公室按程序報國家互聯網信息辦公室核準。

云計算服務安全評估結果由辦公室發布。

第十二條 云計算服務安全評估結果有效期3年。有效期屆滿需要延續保持評估結果的，云服務商應在屆滿前至少6個月向辦公室申請復評。

有效期內，云服務商因股權變更、企業重組等導致實控人或控股權發生變化的，應重新申請安全評估。

第十三條 辦公室通過組織抽查、接受舉報等形式，對通過評估的云平臺開展持續監督，重點監督有關安全控制措施有效性、重大變更、應急響應、風險處置等內容。

通過評估的云平臺已不再滿足要求的，經協調機制審議、國家互聯網信息辦公室核準后撤銷通過評估的結論。

第十四條 通過評估的云平臺停止提供服務時，云服務商應至少提前6個月通知客戶和辦公室，并配合客戶做好遷移工作。

第十五條 云服務商對所提供申報材料的真實性負責。在評估過程中拒絕按要求提供材料或故意提供虛假材料的，按評估不通過處理。

第十六條 未經云服務商同意，參與評估工作的相關機構和人員不得披露云服務商提交的未公開材料以及評估工作中獲悉的其他非公開信息，不得將云服務商提供的信息用于評估以外的目的。

第十七條 本辦法自2019年9月1日起施行。

關于加強黨政部門云計算服務網絡安全管理的意見

中網辦發文〔2014〕14號

各省、自治區、直轄市黨委網絡安全和信息化領導小組辦公室，中央和國家機關各部委、各人民團體網絡安全和信息化相關工作機構：

為加強黨政部門云計算服務網絡安全管理，維護國家網絡安全，現就黨政部門云計算服務網絡安全管理提出以下意見。

一、充分認識加強黨政部門云計算服務網絡安全管理的必要性

云計算服務是以云計算技術與模式為主要特征的信息技術服務，包括SaaS（軟件即服務）、PaaS（平臺即服務）、IaaS（基礎設施即服務）等。黨政部門采購云計算服務，有利于提高資源利用率和為民服務效率與水平，同時，安全風險也很突出：用戶對數據、系統的控制管理能力減弱；安全責任不明確，一些單位可能由于數據和業務的外包而放松安全管理；云計算平臺更加復雜，風險和隱患增多，控制和監管手段不足；云計算平臺間的互操作和移植比較困難，用戶數據和業務遷移到云計算平臺后容易形成對云計算服務提供者（以下稱服務商）的過度依賴。對此，各級黨政部門務必高度重視，增強風險意識、責任意識，切實加強采購和使用云計算服務過程中的網絡安全管理。

二、進一步明確黨政部門云計算服務網絡安全管理的基本要求黨政部門在采購使用云計算服務過程中應遵守，并通過合同等手段要求為黨政部門提供云計算服務的服務商遵守以下要求：

——安全管理責任不變。網絡安全管理責任不隨服務外包而外包，無論黨政部門數據和業務是位于內部信息系統還是服務商云計算平臺上，黨政部門始終是網絡安全的最終責任人，應加強安全管理，通過簽訂合同、持續監督等方式要求服務商嚴格履行安全責任和義務，確保黨政部門數據和業務的機密性、完整性、可用性，以及互操作性、可移植性。

——數據歸屬關系不變。黨政部門提供給服務商的數據、設備等資源，以及云計算平臺上黨政業務系統運行過程中收集、產生、存儲的數據和文檔等資源屬黨政部門所有。服務商應保障黨政部門對這些資源的訪問、利用、支配，未經黨政部門授權，不得訪問、修改、披露、利用、轉讓、銷毀黨政部門數據；在服務合同終止時，應按要求做好數據、文檔等資源的移交和清除工作。

——安全管理標準不變。承載黨政部門數據和業務的云計算平臺要參照黨政信息系統進行網絡安全管理，服務商應遵守黨政信息系統的網絡安全政策規定、信息安全等級保護要求、技術標準，落實安全管理和防護措施，接受黨政部門和網絡安全主管部門的網絡安全監管。

——敏感信息不出境。為黨政部門提供服務的云計算服務平臺、數據中心等要設在境內。敏感信息未經批準不得在境外傳輸、處理、存儲。

三、合理確定采用云計算服務的數據和業務范圍

黨政部門要參照《信息安全技術云計算服務安全指南》等國家標準，對數據的敏感程度、業務的重要性進行分類，全面分析、綜合平衡采用云計算服務后的安全風險和效益，科學規劃和確定采用云計算服務的數據、業務范圍和進度安排。對于涉及國家秘密、工作秘密的業務，不得采用社會化云計算服務。對于包含大量敏感信息和公民隱私信息、直接影響黨政機關運轉和公眾生活工作的關鍵業務，應在確保安全的前提下再考慮向云計算平臺遷移。對于保護等級四級以上的信息系統，以及一旦出現問題可能造成重大經濟損失，甚至危害國家安全的業務不宜采用社會化云計算服務。

四、統一組織黨政部門云計算服務網絡安全審查

中央網信辦會同有關部門建立云計算服務安全審查機制，對為黨政部門提供云計算服務的服務商，參照有關網絡安全國家標準，組織第三方機構進行網絡安全審查，重點審查云計算服務的安全性、可控性。黨政部門采購云計算服務時，應逐步通過采購文件或合同等手段，明確要求服務商應通過安全審查。鼓勵重點行業優先采購和使用通過安全審查的服務商提供的云計算服務。

五、加強云計算服務過程的持續指導和監督

黨政部門應按照合同管理等有關要求，參考相關技術標準和指南，同服務商簽訂服務合同、協議。合同和協議要充分體現網絡安全管理要求，明確合同雙方的網絡安全責任義務。直接參與黨政業務系統運行管理的服務商人員應簽訂安全保密協議，必要時要對其進行背景調查。

黨政部門要認真履行合同規定的責任義務，監督服務商加強安全防護管理，要求服務商在發生網絡安全案件或重大事件時，及時向有關部門報告，配合開展調查工作。要組織對云計算服務的安全監測，加強安全檢查，及時發現和通報安全隱患。

六、強化保密審查和安全意識培養

黨政部門應建立健全云計算服務保密審查制度，指定機構和人員負責對遷移到云計算平臺上的數據、業務進行保密審查，確保數據和業務不涉及國家秘密。綜合分析數據關聯性，防止因數據匯聚涉及國家秘密，不得使用非涉密網絡中的云計算平臺處理涉及國家秘密的信息。黨政部門在使用云計算服務前，要集中組織開展機關工作人員網絡安全和保密教育培訓，明示使用云計算服務面臨的安全保密風險；要求服務商加強對員工的安全和保密教育，自覺維護黨政部門云計算服務安全。

中央網絡安全和信息化領導小組辦公室

2014年12月30日

福利

圈子構建、學習資料獲取1000+份【ITIL/數字化轉型/IT管理各類文檔解決方案報告】，歡迎加入知識星球（掃下方二維碼）~~~

更多推薦

IT運維管理項目建設規劃

信息化規劃方案(資料下載)

工業互聯網平臺賦能制造業數字化轉型方法論

軟件項目管理中的幾個誤區

企業成功實施ERP軟件的四個秘訣！

? ? ? ? ?

免責聲明：

本公眾號部分分享的資料來自網絡收集和整理，所有文字和圖片版權歸屬于原作者所有，且僅代表作者個人觀點，與ITIL之家無關，文章僅供讀者學習交流使用，并請自行核實相關內容，如文章內容涉及侵權，請聯系后臺管理員刪除。

總結

以上是生活随笔為你收集整理的43个云平台通过云计算服务安全评估：阿里云、腾讯云、华为云、曙光云、新华云、金山云、电科云、浪潮云、紫光云、深信服等...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。