為政務(wù)云產(chǎn)業(yè)發(fā)展保駕護航 ——《云計算服務(wù)安全評估辦法》解讀
近日��,國家互聯(lián)網(wǎng)信息辦公室���、國家發(fā)展和改革委員會、工業(yè)和信息化部�����、財政部聯(lián)合發(fā)布了《云計算服務(wù)安全評估辦法》�����,旨在提高黨政機關(guān)���、關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購使用云計算服務(wù)的安全可控水平��,降低采購使用云計算服務(wù)帶來的網(wǎng)絡(luò)安全風險�����,從而增強黨政機關(guān)�����、關(guān)鍵信息基礎(chǔ)設(shè)施運營者將業(yè)務(wù)及數(shù)據(jù)向云服務(wù)平臺遷移的信心����。賽迪顧問認為,《評估辦法》的出臺����,是國家持續(xù)推動云計算產(chǎn)業(yè)健康發(fā)展和市場規(guī)范化運行、提升云安全服務(wù)能力的重要體現(xiàn)����。
推動政務(wù)云市場快速發(fā)展
政務(wù)領(lǐng)域中的數(shù)據(jù)大多是涉及國家、公民�、社會經(jīng)濟運行基本信息的核心數(shù)據(jù),數(shù)據(jù)存儲設(shè)施和應(yīng)用系統(tǒng)同時也是國家關(guān)鍵基礎(chǔ)設(shè)施的一部分����。政務(wù)數(shù)據(jù)的高度敏感性對云服務(wù)商服務(wù)安全保障能力有著更高的要求?��!对u估辦法》的實施將為政務(wù)云產(chǎn)業(yè)發(fā)展保駕護航����,具體體現(xiàn)在以下三個方面:
首先,《評估辦法》推動云安全技術(shù)研發(fā)�����。一方面�����,《評估辦法》的實施能激發(fā)云服務(wù)商對云安全技術(shù)研發(fā)的積極性�����,促進提供商不斷加強產(chǎn)品核心組件和技術(shù)的研發(fā)���,推出更能保障政務(wù)數(shù)據(jù)安全的云計算架構(gòu)、密鑰管理���、靜態(tài)加密等信息保護技術(shù)�。另一方面����,云服務(wù)商最終通過國家云計算服務(wù)安全評估����、獲得相應(yīng)資質(zhì)認證��,標志著該服務(wù)商已擁有一定的自主研發(fā)能力�、科學的技術(shù)管理模式及成熟的市場化應(yīng)用的產(chǎn)品,這對其他云服務(wù)提供商云服務(wù)安全能力的提升具有重要示范和導向作用�����。
其次�����,《評估辦法》助力政務(wù)云市場的快速發(fā)展���?!对u估辦法》從征信����、經(jīng)營狀況等基本情況,人員背景及穩(wěn)定性�,云平臺技術(shù)����、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況�,安全管理能力及云平臺安全防護情況,客戶遷移數(shù)據(jù)的可行性和便捷性�����,云服務(wù)商的業(yè)務(wù)連續(xù)性等多維度對云服務(wù)商進行評估��,將敦促云服務(wù)商全方位提高服務(wù)安全水平���。云服務(wù)商服務(wù)安全水平的提高�����,將大大提升各級政府推動政務(wù)上云的信心��,使得政務(wù)上云的步伐加快,從而推動政務(wù)云市場的快速發(fā)展����。
最后,《評估辦法》促進云服務(wù)安全保障體系未來走向完善��。《評估辦法》對評估重點工作�、評估原則、評估流程都作出了詳細說明���,是對《云計算服務(wù)安全指南》《云計算服務(wù)安全能力要求》的進一步深化和落實�����,三者共同構(gòu)成提升云計算服務(wù)安全水平的保障體系���。《評估辦法》的落實���,將有大量的云服務(wù)商參與評估��,這將利于國家相關(guān)部門摸清我國整體云計算行業(yè)服務(wù)安全現(xiàn)狀�����,從而有助于國家未來安全云乃至可控云標準���、實施細則制定等相關(guān)保障工作的開展,促進云服務(wù)安全保障體系逐步完善���。
政務(wù)云產(chǎn)業(yè)發(fā)展建議
政府客戶方面�����,一方面是要選用通過安全評估的云服務(wù)商并對其安全服務(wù)等級資質(zhì)進行核查��,選云服務(wù)商時不僅要關(guān)注其技術(shù)能力��、產(chǎn)品性能�,同時也要關(guān)注云服務(wù)商長期運維和服務(wù)能力。另一方面是要加強對已搭建的云平臺監(jiān)管�、定期自行或委托第三方開展安全檢查和性能測試等工作,并及時查看云服務(wù)提供商定期運維與風險評估相關(guān)報告�,以確保整個云平臺的安全性。
云服務(wù)商方面���,一方面是要加強安全意識、風險意識�����,構(gòu)建云平臺全生命周期的風險管理框架。另一方面是要緊緊圍繞《評估辦法》中重點評估內(nèi)容����,從技術(shù)、產(chǎn)品�����、人員�����、服務(wù)和供應(yīng)鏈等方面提升安全水平����。在技術(shù)方面���,要加強信息保護技術(shù)的研發(fā)以防止病毒攻擊,向政府客戶開放技術(shù)架構(gòu)并提供完備技術(shù)資料��;在產(chǎn)品方面�����,要積極設(shè)計“分區(qū)管理”解決方案��,保障核心政務(wù)數(shù)據(jù)在“內(nèi)網(wǎng)區(qū)”更高的安全性�����;在人員方面,要對云平臺所有研發(fā)�����、建設(shè)和運維人員進行背景調(diào)查��;在服務(wù)方面��,要對云計算平臺進行持續(xù)風險監(jiān)控、定期進行風險評估�����,當風險發(fā)生時���,
能及時應(yīng)對風險,擁有容災(zāi)恢復能力�;在供應(yīng)鏈方面���,要選用具有安全等級資質(zhì)或證明的供應(yīng)商�,以確保整個云平臺的安全����。
《云計算服務(wù)安全評估辦法》有關(guān)問題解答
問:組織開展云計算服務(wù)安全評估的目的是什么�����?
答:開展云計算服務(wù)安全評估����,是為了提高黨政機關(guān)�、關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購使用云計算服務(wù)的安全可控水平�,降低采購使用云計算服務(wù)帶來的網(wǎng)絡(luò)安全風險���,增強黨政機關(guān)����、關(guān)鍵信息基礎(chǔ)設(shè)施運營者將業(yè)務(wù)及數(shù)據(jù)向云服務(wù)平臺遷移的信心����。
問:云計算服務(wù)安全評估的對象是什么����?
答:云計算服務(wù)安全評估是依據(jù)云服務(wù)商申請,對面向黨政機關(guān)���、關(guān)鍵信息基礎(chǔ)設(shè)施提供云計算服務(wù)的云平臺進行的安全評估。同一云服務(wù)商運營的不同云平臺���,需要分別申請安全評估。
問:何時起云服務(wù)商可申請評估�?需要提交哪些材料���?
答:自2019年9月1日起,云服務(wù)商可以正式提交云計算服務(wù)安全評估申請����。需要提交的材料包括申報書、云計算服務(wù)系統(tǒng)安全計劃���、業(yè)務(wù)連續(xù)性和供應(yīng)鏈安全報告�、客戶數(shù)據(jù)可遷移性分析報告等。有關(guān)申報材料模板將在中國網(wǎng)信網(wǎng)提供下載����。
問:已通過黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查的云平臺�,是否還需要申請云計算服務(wù)安全評估?
答:前期已經(jīng)通過黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查的云平臺�����,視同為已通過云計算服務(wù)安全評估���,不需要再重新申請�����。
問:云計算服務(wù)安全評估主要參照哪些標準?
答:云計算服務(wù)安全評估主要參照國家標準《云計算服務(wù)安全能力要求》《云計算服務(wù)安全指南》���,其中《云計算服務(wù)安全能力要求》從系統(tǒng)開發(fā)與供應(yīng)鏈安全、系統(tǒng)與通信保護����、訪問控制����、配置管理�����、維護����、應(yīng)急響應(yīng)與災(zāi)備����、審計、風險評估與持續(xù)監(jiān)控���、安全組織與人員�����、物理與環(huán)境安全等方面提出要求。
問:云計算服務(wù)安全評估有哪些主要環(huán)節(jié)��?
答:主要包括申報����、受理���、專業(yè)技術(shù)機構(gòu)評價���、云計算服務(wù)安全評估專家組綜合評價����、云計算服務(wù)安全評估工作協(xié)調(diào)機制審議����、國家互聯(lián)網(wǎng)信息辦公室核準���、評估結(jié)果發(fā)布���、持續(xù)監(jiān)督等環(huán)節(jié)���。
問:云計算服務(wù)安全評估結(jié)果在哪里查詢����?有效期多長時間���?
答:評估結(jié)果將由國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局在中國網(wǎng)信網(wǎng)公布���。評估結(jié)果有效期為3年�����。
問:云計算服務(wù)安全評估如何保護被評估方的商業(yè)秘密和知識產(chǎn)權(quán)?
答:云計算服務(wù)安全評估過程中,參與評估工作的單位和人員對云服務(wù)商提交的非公開材料或在評估中獲悉的非公開信息承擔保密義務(wù)���,嚴格保護云服務(wù)商的商業(yè)秘密和知識產(chǎn)權(quán)。如果云服務(wù)商認為有關(guān)單位和人員未能承擔保密義務(wù)的���,可以向國家互聯(lián)網(wǎng)信息辦公室或有關(guān)部門舉報。(賽迪顧問大數(shù)據(jù)產(chǎn)業(yè)研究中心高級分析師 張凡)
轉(zhuǎn)自:中國電子報
【版權(quán)及免責聲明】凡本網(wǎng)所屬版權(quán)作品�����,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊����,僅代表作者個人觀點���,不代表本網(wǎng)觀點和立場���。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀
