多部委發文:高鐵、地鐵等信息基礎設施“云平臺”須開展安全評
點擊: 作者:軌道迷 來源:城市軌道信息化 發布時間:2019-08-21 10:05:38
國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部及財政部聯合發布《云計算服務安全評估辦法》的公告,要求提高關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平,必須對云計算服務進行安全評估。
“云服務商”的征信、經營狀況等基本情況,云服務商人員背景及穩定性,特別是能夠訪問客戶數據、能夠收集相關元數據的人員都要納入評估的范圍。【軌道城市:外商獨資或合資服務商的業務可能會受影響,皮包服務商會難以生存】
云計算服務安全評估結果有效期3年。有效期屆滿需要延續保持評估結果的,云服務商應在屆滿前至少6個月向辦公室申請復評。有效期內,云服務商因股權變更、企業重組等導致實控人或控股權發生變化的,應重新申請安全評估。
哪些是關鍵信息基礎設施呢?
根據《中華人民共和國網絡安全法》對“關鍵信息基礎設施”的相關描述:公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施。
公告全文:
國家互聯網信息辦公室 國家發展和改革委員會 工業和信息化部 財政部關于發布《云計算服務安全評估辦法》的公告
為提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、財政部制定了《云計算服務安全評估辦法》,現予以發布。
附件:云計算服務安全評估辦法
國家互聯網信息辦公室
國家發展和改革委員會
工 業 和 信 息 化 部
財 政 部
2019年7月2日
云計算服務安全評估辦法
第一條 為提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平,制定本辦法。
第二條 云計算服務安全評估堅持事前評估與持續監督相結合,保障安全與促進應用相統一,依據有關法律法規和政策規定,參照國家有關網絡安全標準,發揮專業技術機構、專家作用,客觀評價、嚴格監督云計算服務平臺(以下簡稱“云平臺”)的安全性、可控性,為黨政機關、關鍵信息基礎設施運營者采購云計算服務提供參考。
本辦法中的云平臺包括云計算服務軟硬件設施及其相關管理制度等。
第三條 云計算服務安全評估重點評估以下內容:
(一)云平臺管理運營者(以下簡稱“云服務商”)的征信、經營狀況等基本情況;
(二)云服務商人員背景及穩定性,特別是能夠訪問客戶數據、能夠收集相關元數據的人員;
(三)云平臺技術、產品和服務供應鏈安全情況;
(四)云服務商安全管理能力及云平臺安全防護情況;
(五)客戶遷移數據的可行性和便捷性;
(六)云服務商的業務連續性;
(七)其他可能影響云服務安全的因素。
第四條 國家互聯網信息辦公室會同國家發展和改革委員會、工業和信息化部、財政部建立云計算服務安全評估工作協調機制(以下簡稱“協調機制”),審議云計算服務安全評估政策文件,批準云計算服務安全評估結果,協調處理云計算服務安全評估有關重要事項。
云計算服務安全評估工作協調機制辦公室(以下簡稱“辦公室”)設在國家互聯網信息辦公室網絡安全協調局。
第五條 云服務商可申請對面向黨政機關、關鍵信息基礎設施提供云計算服務的云平臺進行安全評估。
第六條 申請安全評估的云服務商應向辦公室提交以下材料:
(一)申報書;
(二)云計算服務系統安全計劃;
(三)業務連續性和供應鏈安全報告;
(四)客戶數據可遷移性分析報告;
(五)安全評估工作需要的其他材料。
第七條 辦公室受理云服務商申請后,組織專業技術機構參照國家有關標準對云平臺進行安全評價。
第八條 專業技術機構應堅持客觀、公正、公平的原則,按照國家有關規定,在辦公室指導監督下,參照《云計算服務安全指南》《云計算服務安全能力要求》等國家標準,重點評價本辦法第三條所述內容,形成評價報告,并對評價結果負責。
第九條 辦公室在專業技術機構安全評價基礎上,組織云計算服務安全評估專家組進行綜合評價。
第十條 云計算服務安全評估專家組根據云服務商申報材料、評價報告等,綜合評價云計算服務的安全性、可控性,提出是否通過安全評估的建議。
第十一條 云計算服務安全評估專家組的建議經協調機制審議通過后,辦公室按程序報國家互聯網信息辦公室核準。
云計算服務安全評估結果由辦公室發布。
第十二條 云計算服務安全評估結果有效期3年。有效期屆滿需要延續保持評估結果的,云服務商應在屆滿前至少6個月向辦公室申請復評。
有效期內,云服務商因股權變更、企業重組等導致實控人或控股權發生變化的,應重新申請安全評估。
第十三條 辦公室通過組織抽查、接受舉報等形式,對通過評估的云平臺開展持續監督,重點監督有關安全控制措施有效性、重大變更、應急響應、風險處置等內容。
通過評估的云平臺已不再滿足要求的,經協調機制審議、國家互聯網信息辦公室核準后撤銷通過評估的結論。
第十四條 通過評估的云平臺停止提供服務時,云服務商應至少提前6個月通知客戶和辦公室,并配合客戶做好遷移工作。
第十五條 云服務商對所提供申報材料的真實性負責。在評估過程中拒絕按要求提供材料或故意提供虛假材料的,按評估不通過處理。
第十六條 未經云服務商同意,參與評估工作的相關機構和人員不得披露云服務商提交的未公開材料以及評估工作中獲悉的其他非公開信息,不得將云服務商提供的信息用于評估以外的目的。
第十七條 本辦法自2019年9月1日起施行。
*本文轉載自軌道迷
責任編輯:向太陽
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
內容 相關信息
? 昆侖專題 ?
? 十九大報告深度談 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 我為中國夢獻一策 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
熱點排行
圖片新聞
