等保2.0

菜单 子菜单
  • 等保2.0
  • 《云计算服务安全评估办法》

    2020-01-22 16:29:27 点击数:
  • 201991日起,由国家互联网信息办公室等 4 部门制定发布的《云计算服务安全评估办法》已经开始施行。

    开展云计算服务安全评估的目的是为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,降低采购使用云计算服务带来的网络安全风险,增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。

    评估目的

    1

    提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平。

    2

    降低使用方采购使用云计算服务带来的网络安全风险。

    3

    增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。

    评估对象

    主要是向党政机关和关键信息基础设施提供云计算服务的云平台。

    这里需要注意的是:同一云服务商运营的不同云平台,需要分别申请安全评估。

    评估主要参照标准

    《云计算服务安全能力要求》

    《云计算服务安全指南》

    其中《云计算服务安全能力要求》从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面提出要求。

    评估过程详解

    时间:

    201991日起

    提交材料:

    (一)申报书;

    (二)云计算服务系统安全计划;

    (三)业务连续性和供应链安全报告;

    (四)客户数据可迁移性分析报告;

    (五)安全评估工作需要的其他材料。

    申请安全评估的云服务商,应如实填报申报书,并将盖章纸质版2份和电子版光盘1张通过中国邮政EMS快递或专人送至云计算服务安全评估工作协调机制办公室。

    云计算服务安全评估工作协调机制办公室初步判断属于云计算服务安全评估对象的,将通过电子邮件(yunpinggu@cac.gov.cn)向云服务商提供《云计算服务系统安全计划》《云计算服务业务连续性和供应链安全报告》《云计算服务客户数据可迁移性分析报告》等其他申报材料模板。

    云服务商原则上应在收到申报材料模板后3个月内,将上述申报材料(盖章纸质版2份和电子版光盘1张,支撑证据类材料仅需提供电子版)一次性通过中国邮政EMS快递或专人送至云计算服务安全评估工作协调机制办公室。

    Tips

    申报材料模板可在中国网信网(http//www.cac.gov.cn)提供下载,前期已通过党政部门云计算服务网络安全审查的云平台,视同为已通过云计算服务安全评估,无需重新申请。

    评估环节

    查询评估结果

    由国家互联网信息办公室网络安全协调局在中国网信网公布,评估结果有效期为3年。

    答疑时间

    1、评估如何保护被评估方的商业秘密和知识产权?

    云计算服务安全评估过程中,参与评估工作的单位和人员对云服务商提交的非公开材料或在评估中获悉的非公开信息承担保密义务,严格保护云服务商的商业秘密和知识产权。

    如果云服务商认为有关单位和人员未能承担保密义务的,可以向国家互联网信息办公室或有关部门举报。