登录
 机构网站
  1. 首页
  2. 情报产品
  3. 快讯详情

《四部门发布《云计算服务安全评估办法》(附解答)》

  • 来源专题:北京市经济和信息化委员会监测服务平台
  • 编译者: zhangmin
  • 发布时间:2019-07-24

  • 为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部印发《云计算服务安全评估办法》,将于2019年9月1日起施行。重点评估内容包括:云服务商的征信、经营状况等基本情况;云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;云平台技术、产品和服务供应链安全情况;云服务商安全管理能力及云平台安全防护情况;客户迁移数据的可行性和便捷性;云服务商的业务连续性等。

    国家互联网信息办公室国家发展和改革委员会 工业和信息化部 财政部

    关于发布《云计算服务安全评估办法》的公告

    2019年 第2号

    为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部制定了《云计算服务安全评估办法》,现予以发布。

    附件:云计算服务安全评估办法

    国家互联网信息办公室

    国家发展和改革委员会

    工业和信息化部

    财政部

    2019年7月2日

    附件:

    云计算服务安全评估办法

    第一条为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,制定本办法。

    第二条云计算服务安全评估坚持事前评估与持续监督相结合,保障安全与促进应用相统一,依据有关法律法规和政策规定,参照国家有关网络安全标准,发挥专业技术机构、专家作用,客观评价、严格监督云计算服务平台(以下简称“云平台”)的安全性、可控性,为党政机关、关键信息基础设施运营者采购云计算服务提供参考。

    本办法中的云平台包括云计算服务软硬件设施及其相关管理制度等。

    第三条云计算服务安全评估重点评估以下内容:

    (一)云平台管理运营者(以下简称“云服务商”)的征信、经营状况等基本情况;

    (二)云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;

    (三)云平台技术、产品和服务供应链安全情况;

    (四)云服务商安全管理能力及云平台安全防护情况;

    (五)客户迁移数据的可行性和便捷性;

    (六)云服务商的业务连续性;

    (七)其他可能影响云服务安全的因素。

    第四条国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、财政部建立云计算服务安全评估工作协调机制(以下简称“协调机制”),审议云计算服务安全评估政策文件,批准云计算服务安全评估结果,协调处理云计算服务安全评估有关重要事项。

    云计算服务安全评估工作协调机制办公室(以下简称“办公室”)设在国家互联网信息办公室网络安全协调局。

    第五条云服务商可申请对面向党政机关、关键信息基础设施提供云计算服务的云平台进行安全评估。

    第六条申请安全评估的云服务商应向办公室提交以下材料:

    (一)申报书;

    (二)云计算服务系统安全计划;

    (三)业务连续性和供应链安全报告;

    (四)客户数据可迁移性分析报告;

    (五)安全评估工作需要的其他材料。

    第七条办公室受理云服务商申请后,组织专业技术机构参照国家有关标准对云平台进行安全评价。

    第八条专业技术机构应坚持客观、公正、公平的原则,按照国家有关规定,在办公室指导监督下,参照《云计算服务安全指南》《云计算服务安全能力要求》等国家标准,重点评价本办法第三条所述内容,形成评价报告,并对评价结果负责。

    第九条办公室在专业技术机构安全评价基础上,组织云计算服务安全评估专家组进行综合评价。

    第十条云计算服务安全评估专家组根据云服务商申报材料、评价报告等,综合评价云计算服务的安全性、可控性,提出是否通过安全评估的建议。

    第十一条云计算服务安全评估专家组的建议经协调机制审议通过后,办公室按程序报国家互联网信息办公室核准。

    云计算服务安全评估结果由办公室发布。

    第十二条云计算服务安全评估结果有效期3年。有效期届满需要延续保持评估结果的,云服务商应在届满前至少6个月向办公室申请复评。

    有效期内,云服务商因股权变更、企业重组等导致实控人或控股权发生变化的,应重新申请安全评估。

    第十三条办公室通过组织抽查、接受举报等形式,对通过评估的云平台开展持续监督,重点监督有关安全控制措施有效性、重大变更、应急响应、风险处置等内容。

    通过评估的云平台已不再满足要求的,经协调机制审议、国家互联网信息办公室核准后撤销通过评估的结论。

    第十四条通过评估的云平台停止提供服务时,云服务商应至少提前6个月通知客户和办公室,并配合客户做好迁移工作。

    第十五条云服务商对所提供申报材料的真实性负责。在评估过程中拒绝按要求提供材料或故意提供虚假材料的,按评估不通过处理。

    第十六条未经云服务商同意,参与评估工作的相关机构和人员不得披露云服务商提交的未公开材料以及评估工作中获悉的其他非公开信息,不得将云服务商提供的信息用于评估以外的目的。

    第十七条本办法自2019年9月1日起施行。

    《云计算服务安全评估办法》有关问题解答

    Q:

    组织开展云计算服务安全评估的目的是什么?

    A:

    开展云计算服务安全评估,是为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,降低采购使用云计算服务带来的网络安全风险,增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。

    Q:

    云计算服务安全评估的对象是什么?

    A:

    云计算服务安全评估是依据云服务商申请,对面向党政机关、关键信息基础设施提供云计算服务的云平台进行的安全评估。同一云服务商运营的不同云平台,需要分别申请安全评估。

    Q:

    何时起云服务商可申请评估?需要提交哪些材料?

    A:

    自2019年9月1日起云服务商可以正式提交云计算服务安全评估申请。需要提交的材料包括申报书、云计算服务系统安全计划、业务连续性和供应链安全报告、客户数据可迁移性分析报告等。有关申报材料模版将在中国网信网提供下载。

    Q:

    已通过党政部门云计算服务网络安全审查的云平台,是否还需要申请云计算服务安全评估?

    A:

    前期已经通过党政部门云计算服务网络安全审查的云平台,视同为已通过云计算服务安全评估,不需要再重新申请。

    Q:

    云计算服务安全评估主要参照哪些标准?

    A:

    云计算服务安全评估主要参照国家标准《云计算服务安全能力要求》、《云计算服务安全指南》,其中《云计算服务安全能力要求》从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面提出要求。

    Q:

    云计算服务安全评估有哪些主要环节?

    A:

    主要包括申报、受理、专业技术机构评价、云计算服务安全评估专家组综合评价、云计算服务安全评估工作协调机制审议、国家互联网信息办公室核准、评估结果发布、持续监督等环节。

    Q:

    云计算服务安全评估结果在哪里查询?有效期多长时间?

    A:

    评估结果将由国家互联网信息办公室网络安全协调局在中国网信网公布。评估结果有效期为3年。

    Q:

    云计算服务安全评估如何保护被评估方的商业秘密和知识产权?

    A:

    云计算服务安全评估过程中,参与评估工作的单位和人员对云服务商提交的非公开材料或在评估中获悉的非公开信息承担保密义务,严格保护云服务商的商业秘密和知识产权。如果云服务商认为有关单位和人员未能承担保密义务的,可以向国家互联网信息办公室或有关部门举报。

    Q:

    关于云计算服务安全评估问题可向谁咨询?

    A:

    有关云计算服务安全评估的其他具体事项,可发送电子邮件到yunpinggu@cac.gov.cn或拨打010-55635861咨询。

153浏览量
原文链接
相关报告

  • 《《云计算服务安全评估办法》为政务云发展保驾护航》
    • 来源专题:北京市经济和信息化委员会监测服务平台
    • 编译者:zhangmin
    • 发布时间:2019-08-05
    • 近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部联合发布了《云计算服务安全评估办法》,旨在提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,降低采购使用云计算服务带来的网络安全风险,从而增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。赛迪顾问认为,《评估办法》的出台,是国家持续推动云计算产业健康发展和市场规范化运行、提升云安全服务能力的重要体现。 推动政务云市场快速发展 政务领域中的数据大多是涉及国家、公民、社会经济运行基本信息的核心数据,数据存储设施和应用系统同时也是国家关键基础设施的一部分。政务数据的高度敏感性对云服务商服务安全保障能力有着更高的要求。《评估办法》的实施将为政务云产业发展保驾护航,具体体现在以下三个方面: 首先,《评估办法》推动云安全技术研发。一方面,《评估办法》的实施能激发云服务商对云安全技术研发的积极性,促进提供商不断加强产品核心组件和技术的研发,推出更能保障政务数据安全的云计算架构、密钥管理、静态加密等信息保护技术。另一方面,云服务商最终通过国家云计算服务安全评估、获得相应资质认证,标志着该服务商已拥有一定的自主研发能力、科学的技术管理模式及成熟的市场化应用的产品,这对其他云服务提供商云服务安全能力的提升具有重要示范和导向作用。 其次,《评估办法》助力政务云市场的快速发展。《评估办法》从征信、经营状况等基本情况,人员背景及稳定性,云平台技术、产品和服务供应链安全情况,安全管理能力及云平台安全防护情况,客户迁移数据的可行性和便捷性,云服务商的业务连续性等多维度对云服务商进行评估,将敦促云服务商全方位提高服务安全水平。云服务商服务安全水平的提高,将大大提升各级政府推动政务上云的信心,使得政务上云的步伐加快,从而推动政务云市场的快速发展。 最后,《评估办法》促进云服务安全保障体系未来走向完善。《评估办法》对评估重点工作、评估原则、评估流程都作出了详细说明,是对《云计算服务安全指南》《云计算服务安全能力要求》的进一步深化和落实,三者共同构成提升云计算服务安全水平的保障体系。《评估办法》的落实,将有大量的云服务商参与评估,这将利于国家相关部门摸清我国整体云计算行业服务安全现状,从而有助于国家未来安全云乃至可控云标准、实施细则制定等相关保障工作的开展,促进云服务安全保障体系逐步完善。 政务云产业发展建议 政府客户方面,一方面是要选用通过安全评估的云服务商并对其安全服务等级资质进行核查,选云服务商时不仅要关注其技术能力、产品性能,同时也要关注云服务商长期运维和服务能力。另一方面是要加强对已搭建的云平台监管、定期自行或委托第三方开展安全检查和性能测试等工作,并及时查看云服务提供商定期运维与风险评估相关报告,以确保整个云平台的安全性。 云服务商方面,一方面是要加强安全意识、风险意识,构建云平台全生命周期的风险管理框架。另一方面是要紧紧围绕《评估办法》中重点评估内容,从技术、产品、人员、服务和供应链等方面提升安全水平。在技术方面,要加强信息保护技术的研发以防止病毒攻击,向政府客户开放技术架构并提供完备技术资料;在产品方面,要积极设计“分区管理”解决方案,保障核心政务数据在“内网区”更高的安全性;在人员方面,要对云平台所有研发、建设和运维人员进行背景调查;在服务方面,要对云计算平台进行持续风险监控、定期进行风险评估,当风险发生时,能及时应对风险,拥有容灾恢复能力;在供应链方面,要选用具有安全等级资质或证明的供应商,以确保整个云平台的安全。
    193浏览量
    原文链接

  • 《再降三成!四部门发布2022年新能源汽车补贴标准》
    • 来源专题:能源情报网信息监测服务平台
    • 编译者:guokm
    • 发布时间:2022-01-03
    • 12月31日,财政部、工业和信息化部、科技部、国家发展改革委联合发布了《财政部 工业和信息化部 科技部 发展改革委关于2022年新能源汽车推广应用财政补贴政策的通知》。《通知》明确了不同类型、不同领域车辆产品的补贴标准,且自2022年1月1日起执行:2022年新能源汽车购置补贴标准在2021年基础上退坡30%;城市公交、道路客运、出租(含网约车)、环卫、城市物流配送、邮政快递、民航机场以及党政机关公务领域符合要求的新能源汽车,2022年补贴标准在2021年基础上退坡20%。 技术方面,根据财建〔2020〕86号文件“2021-2022年,原则上保持技术指标总体稳定”的规定,2022年购置补贴政策维持动力电池系统能量密度、续驶里程、能耗等技术指标门槛不变,稳定企业预期。 购置补贴方面,按照财建〔2020〕86号文件要求,综合技术进步、规模效应等因素,将新能源汽车推广应用财政补贴政策实施期限延长至2022年底。并明确2022年12月31日新能源汽车购置补贴政策终止,12月31日后上牌的车辆不再给予补贴。 原文如下: 关于2022年新能源汽车推广应用财政补贴政策的通知 各省、自治区、直辖市、计划单列市财政厅(局)、工业和信息化主管部门、科技厅(局、科委)、发展改革委: 为进一步支持新能源汽车产业高质量发展,做好新能源汽车推广应用工作,现就2022年新能源汽车推广应用财政补贴政策有关事项通知如下: 一、保持技术指标体系稳定,坚持平缓补贴退坡力度 为创造稳定政策环境,2022年保持现行购置补贴技术指标体系框架及门槛要求不变。根据《财政部 工业和信息化部 科技部 发展改革委关于完善新能源汽车推广应用财政补贴政策的通知》(财建〔2020〕86号)要求,2022年,新能源汽车补贴标准在2021年基础上退坡30%;城市公交、道路客运、出租(含网约车)、环卫、城市物流配送、邮政快递、民航机场以及党政机关公务领域符合要求的车辆,补贴标准在2021年基础上退坡20%。 二、明确政策终止日期,做好政策收尾工作 根据《财政部 工业和信息化部 科技部 发展改革委关于完善新能源汽车推广应用财政补贴政策的通知》(财建〔2020〕86号)“综合技术进步、规模效应等因素,将新能源汽车推广应用财政补贴政策实施期限延长至2022年底”要求,为保持新能源汽车产业良好发展势头,综合考虑新能源汽车产业发展规划、市场销售趋势以及企业平稳过渡等因素,2022年新能源汽车购置补贴政策于2022年12月31日终止,2022年12月31日之后上牌的车辆不再给予补贴。同时,继续加大审核力度,做好以前年度推广车辆的清算收尾工作。 三、加强产品安全监管引导,确保质量和信息安全 健全新能源汽车安全监管体系,进一步压实新能源汽车生产企业主体责任。指导企业健全安全管理机制,强化产品质量保障能力,满足国家关于汽车数据安全、网络安全、在线升级等管理要求。提升企业监测平台效能,提高售后服务能力,做好事故应急响应处置。工业和信息化部联合相关部门建立跨部门信息共享机制,定期汇总起火及重大事故信息,加快建立车辆事故报告制度,对于隐瞒事故信息、不配合调查的,视情节轻重暂停或取消涉事车型补贴资格。 本通知从2022年1月1日起实施。本通知未作规定的事项,继续按照财政部会同有关部门印发的《关于新能源汽车推广应用审批责任有关事项的通知》(财建〔2016〕877号)、《关于调整新能源汽车推广应用财政补贴政策的通知》(财建〔2016〕958号)、《关于调整完善新能源汽车推广应用财政补贴政策的通知》(财建〔2018〕18号)、《关于进一步完善新能源汽车推广应用财政补贴政策的通知》(财建〔2019〕138号)、《关于支持新能源公交车推广应用的通知》(财建〔2019〕213号)、《关于完善新能源汽车推广应用财政补贴政策的通知》(财建〔2020〕86号)、《关于进一步完善新能源汽车推广应用财政补贴政策的通知》(财建〔2020〕593号)等有关文件执行。 财政部 工业和信息化部 科技部 国家发展改革委 2021年12月31日
    176浏览量
    原文链接