為政務(wù)云產(chǎn)業(yè)發(fā)展保駕護(hù)航 ——《云計(jì)算服務(wù)安全評(píng)估辦法》解讀
近日����,國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會(huì)����、工業(yè)和信息化部、財(cái)政部聯(lián)合發(fā)布了《云計(jì)算服務(wù)安全評(píng)估辦法》�,旨在提高黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購使用云計(jì)算服務(wù)的安全可控水平�����,降低采購使用云計(jì)算服務(wù)帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)���,從而增強(qiáng)黨政機(jī)關(guān)�、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者將業(yè)務(wù)及數(shù)據(jù)向云服務(wù)平臺(tái)遷移的信心���。賽迪顧問認(rèn)為�����,《評(píng)估辦法》的出臺(tái)���,是國家持續(xù)推動(dòng)云計(jì)算產(chǎn)業(yè)健康發(fā)展和市場(chǎng)規(guī)范化運(yùn)行、提升云安全服務(wù)能力的重要體現(xiàn)�。
推動(dòng)政務(wù)云市場(chǎng)快速發(fā)展
政務(wù)領(lǐng)域中的數(shù)據(jù)大多是涉及國家���、公民、社會(huì)經(jīng)濟(jì)運(yùn)行基本信息的核心數(shù)據(jù)�����,數(shù)據(jù)存儲(chǔ)設(shè)施和應(yīng)用系統(tǒng)同時(shí)也是國家關(guān)鍵基礎(chǔ)設(shè)施的一部分�����。政務(wù)數(shù)據(jù)的高度敏感性對(duì)云服務(wù)商服務(wù)安全保障能力有著更高的要求���。《評(píng)估辦法》的實(shí)施將為政務(wù)云產(chǎn)業(yè)發(fā)展保駕護(hù)航����,具體體現(xiàn)在以下三個(gè)方面:
首先,《評(píng)估辦法》推動(dòng)云安全技術(shù)研發(fā)����。一方面,《評(píng)估辦法》的實(shí)施能激發(fā)云服務(wù)商對(duì)云安全技術(shù)研發(fā)的積極性�����,促進(jìn)提供商不斷加強(qiáng)產(chǎn)品核心組件和技術(shù)的研發(fā),推出更能保障政務(wù)數(shù)據(jù)安全的云計(jì)算架構(gòu)���、密鑰管理���、靜態(tài)加密等信息保護(hù)技術(shù)。另一方面��,云服務(wù)商最終通過國家云計(jì)算服務(wù)安全評(píng)估�����、獲得相應(yīng)資質(zhì)認(rèn)證��,標(biāo)志著該服務(wù)商已擁有一定的自主研發(fā)能力�、科學(xué)的技術(shù)管理模式及成熟的市場(chǎng)化應(yīng)用的產(chǎn)品,這對(duì)其他云服務(wù)提供商云服務(wù)安全能力的提升具有重要示范和導(dǎo)向作用���。
其次�,《評(píng)估辦法》助力政務(wù)云市場(chǎng)的快速發(fā)展�。《評(píng)估辦法》從征信�����、經(jīng)營狀況等基本情況,人員背景及穩(wěn)定性����,云平臺(tái)技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況��,安全管理能力及云平臺(tái)安全防護(hù)情況��,客戶遷移數(shù)據(jù)的可行性和便捷性���,云服務(wù)商的業(yè)務(wù)連續(xù)性等多維度對(duì)云服務(wù)商進(jìn)行評(píng)估,將敦促云服務(wù)商全方位提高服務(wù)安全水平��。云服務(wù)商服務(wù)安全水平的提高�,將大大提升各級(jí)政府推動(dòng)政務(wù)上云的信心,使得政務(wù)上云的步伐加快�,從而推動(dòng)政務(wù)云市場(chǎng)的快速發(fā)展。
最后����,《評(píng)估辦法》促進(jìn)云服務(wù)安全保障體系未來走向完善?����!对u(píng)估辦法》對(duì)評(píng)估重點(diǎn)工作、評(píng)估原則����、評(píng)估流程都作出了詳細(xì)說明,是對(duì)《云計(jì)算服務(wù)安全指南》《云計(jì)算服務(wù)安全能力要求》的進(jìn)一步深化和落實(shí)�,三者共同構(gòu)成提升云計(jì)算服務(wù)安全水平的保障體系?��!对u(píng)估辦法》的落實(shí)���,將有大量的云服務(wù)商參與評(píng)估,這將利于國家相關(guān)部門摸清我國整體云計(jì)算行業(yè)服務(wù)安全現(xiàn)狀�,從而有助于國家未來安全云乃至可控云標(biāo)準(zhǔn)、實(shí)施細(xì)則制定等相關(guān)保障工作的開展�����,促進(jìn)云服務(wù)安全保障體系逐步完善�����。
政務(wù)云產(chǎn)業(yè)發(fā)展建議
政府客戶方面�,一方面是要選用通過安全評(píng)估的云服務(wù)商并對(duì)其安全服務(wù)等級(jí)資質(zhì)進(jìn)行核查,選云服務(wù)商時(shí)不僅要關(guān)注其技術(shù)能力、產(chǎn)品性能�����,同時(shí)也要關(guān)注云服務(wù)商長期運(yùn)維和服務(wù)能力�。另一方面是要加強(qiáng)對(duì)已搭建的云平臺(tái)監(jiān)管、定期自行或委托第三方開展安全檢查和性能測(cè)試等工作�����,并及時(shí)查看云服務(wù)提供商定期運(yùn)維與風(fēng)險(xiǎn)評(píng)估相關(guān)報(bào)告��,以確保整個(gè)云平臺(tái)的安全性��。
云服務(wù)商方面�����,一方面是要加強(qiáng)安全意識(shí)�����、風(fēng)險(xiǎn)意識(shí)���,構(gòu)建云平臺(tái)全生命周期的風(fēng)險(xiǎn)管理框架。另一方面是要緊緊圍繞《評(píng)估辦法》中重點(diǎn)評(píng)估內(nèi)容,從技術(shù)�、產(chǎn)品、人員����、服務(wù)和供應(yīng)鏈等方面提升安全水平。在技術(shù)方面����,要加強(qiáng)信息保護(hù)技術(shù)的研發(fā)以防止病毒攻擊,向政府客戶開放技術(shù)架構(gòu)并提供完備技術(shù)資料��;在產(chǎn)品方面�����,要積極設(shè)計(jì)“分區(qū)管理”解決方案��,保障核心政務(wù)數(shù)據(jù)在“內(nèi)網(wǎng)區(qū)”更高的安全性����;在人員方面,要對(duì)云平臺(tái)所有研發(fā)���、建設(shè)和運(yùn)維人員進(jìn)行背景調(diào)查�����;在服務(wù)方面����,要對(duì)云計(jì)算平臺(tái)進(jìn)行持續(xù)風(fēng)險(xiǎn)監(jiān)控、定期進(jìn)行風(fēng)險(xiǎn)評(píng)估���,當(dāng)風(fēng)險(xiǎn)發(fā)生時(shí)�,
能及時(shí)應(yīng)對(duì)風(fēng)險(xiǎn)�,擁有容災(zāi)恢復(fù)能力;在供應(yīng)鏈方面���,要選用具有安全等級(jí)資質(zhì)或證明的供應(yīng)商����,以確保整個(gè)云平臺(tái)的安全�����。
《云計(jì)算服務(wù)安全評(píng)估辦法》有關(guān)問題解答
問:組織開展云計(jì)算服務(wù)安全評(píng)估的目的是什么��?
答:開展云計(jì)算服務(wù)安全評(píng)估���,是為了提高黨政機(jī)關(guān)���、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購使用云計(jì)算服務(wù)的安全可控水平,降低采購使用云計(jì)算服務(wù)帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)���,增強(qiáng)黨政機(jī)關(guān)���、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者將業(yè)務(wù)及數(shù)據(jù)向云服務(wù)平臺(tái)遷移的信心。
問:云計(jì)算服務(wù)安全評(píng)估的對(duì)象是什么�����?
答:云計(jì)算服務(wù)安全評(píng)估是依據(jù)云服務(wù)商申請(qǐng)�,對(duì)面向黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施提供云計(jì)算服務(wù)的云平臺(tái)進(jìn)行的安全評(píng)估�����。同一云服務(wù)商運(yùn)營的不同云平臺(tái)���,需要分別申請(qǐng)安全評(píng)估�����。
問:何時(shí)起云服務(wù)商可申請(qǐng)?jiān)u估���?需要提交哪些材料�����?
答:自2019年9月1日起���,云服務(wù)商可以正式提交云計(jì)算服務(wù)安全評(píng)估申請(qǐng)。需要提交的材料包括申報(bào)書�����、云計(jì)算服務(wù)系統(tǒng)安全計(jì)劃�����、業(yè)務(wù)連續(xù)性和供應(yīng)鏈安全報(bào)告�����、客戶數(shù)據(jù)可遷移性分析報(bào)告等��。有關(guān)申報(bào)材料模板將在中國網(wǎng)信網(wǎng)提供下載��。
問:已通過黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查的云平臺(tái)����,是否還需要申請(qǐng)?jiān)朴?jì)算服務(wù)安全評(píng)估?
答:前期已經(jīng)通過黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查的云平臺(tái)����,視同為已通過云計(jì)算服務(wù)安全評(píng)估,不需要再重新申請(qǐng)����。
問:云計(jì)算服務(wù)安全評(píng)估主要參照哪些標(biāo)準(zhǔn)?
答:云計(jì)算服務(wù)安全評(píng)估主要參照國家標(biāo)準(zhǔn)《云計(jì)算服務(wù)安全能力要求》《云計(jì)算服務(wù)安全指南》�����,其中《云計(jì)算服務(wù)安全能力要求》從系統(tǒng)開發(fā)與供應(yīng)鏈安全�、系統(tǒng)與通信保護(hù)、訪問控制��、配置管理���、維護(hù)��、應(yīng)急響應(yīng)與災(zāi)備�、審計(jì)、風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控��、安全組織與人員��、物理與環(huán)境安全等方面提出要求�����。
問:云計(jì)算服務(wù)安全評(píng)估有哪些主要環(huán)節(jié)�����?
答:主要包括申報(bào)��、受理��、專業(yè)技術(shù)機(jī)構(gòu)評(píng)價(jià)����、云計(jì)算服務(wù)安全評(píng)估專家組綜合評(píng)價(jià)、云計(jì)算服務(wù)安全評(píng)估工作協(xié)調(diào)機(jī)制審議�����、國家互聯(lián)網(wǎng)信息辦公室核準(zhǔn)、評(píng)估結(jié)果發(fā)布���、持續(xù)監(jiān)督等環(huán)節(jié)�。
問:云計(jì)算服務(wù)安全評(píng)估結(jié)果在哪里查詢����?有效期多長時(shí)間�?
答:評(píng)估結(jié)果將由國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局在中國網(wǎng)信網(wǎng)公布。評(píng)估結(jié)果有效期為3年�����。
問:云計(jì)算服務(wù)安全評(píng)估如何保護(hù)被評(píng)估方的商業(yè)秘密和知識(shí)產(chǎn)權(quán)�?
答:云計(jì)算服務(wù)安全評(píng)估過程中,參與評(píng)估工作的單位和人員對(duì)云服務(wù)商提交的非公開材料或在評(píng)估中獲悉的非公開信息承擔(dān)保密義務(wù)��,嚴(yán)格保護(hù)云服務(wù)商的商業(yè)秘密和知識(shí)產(chǎn)權(quán)����。如果云服務(wù)商認(rèn)為有關(guān)單位和人員未能承擔(dān)保密義務(wù)的,可以向國家互聯(lián)網(wǎng)信息辦公室或有關(guān)部門舉報(bào)����。(賽迪顧問大數(shù)據(jù)產(chǎn)業(yè)研究中心高級(jí)分析師 張凡)
轉(zhuǎn)自:中國電子報(bào)
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力����。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個(gè)人觀點(diǎn)���,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)����。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056���。
延伸閱讀
