2019年7月2日,国家互联网信息办公室等四部门联合发布《云计算服务安全评估办法》(以下简称“评估办法”),对云服务商申请云计算服务安全评估的程序作出明确规定。
1.安全评估目的
为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,降低采购使用云计算服务带来的网络安全风险,增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。
2.安全评估对象
面向党政机关、关键信息基础设施提供云计算服务的云平台。
3.安全评估参照的标准
《云计算服务安全指南》《云计算服务安全能力要求》《云计算服务安全能力评估方法》等。
4.安全评估的环节
主要包括申报、受理、专业技术机构评价、云计算服务安全评估专家组综合评价、云计算服务安全评估工作协调机制审议、国家互联网信息办公室核准、评估结果发布、持续监督等环节。
5.云服务商的义务
(1)在通过评估的云平台停止提供服务时,应当配合客户做好数据迁移工作。
(2)提交真实的申报材料。
6.其他
如果关键信息技术设施运营者采购云计算服务,可能影响国家安全的,还需要遵守《网络安全法》第三十五条的规定,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
笔者将评估办法所规定的内容以图示的方式整理呈现,供大家参考。
图一:《云计算服务安全评估办法》内容图解
图二:安全评估程序图
云服务在近年快速发展,个人及企业对云服务的使用也愈加频繁。
以我国政务云市场为例,目前,我国政务云市场规模接近300亿人民币,全国超九成省级行政区和七成地市级行政区均已建成或正在建设政务云平台。
对于党政机关来说,将党政机关的政务外网和互联网区域上云不仅可以解决信息孤岛问题,同时党政机关维护网站的成本下降,政务网站的网络安全性也可以提高。
但是上云也意味着党政机关将自己的政务网站的数据从原有的本地存储移至云端进行存储。
数据安全的隐患可能对于各地政府来说是增加的,因为毕竟以前的数据放在自己手上,现在的数据可能要放到云服务商手里。
如果云平台遭受攻击,党政机关的数据也可能因此受到损害,所以对于党政机关来说选择一个可控性、安全性高的云平台至关重要,而依照安全评估的程序所形成的评估结果则为党政机关选择云平台提供了十分重要的参照。
对于云服务商安全审查的问题,早在2014年,中央网信办即公布了《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔2014〕14号,以下称“14号文”),明确指出对为党政部门提供云计算服务的服务商,参照有关网络安全国家标准,组织第三方机构进行网络安全审查。
在此之后我国也相继制定了《云计算服务安全指南》《云计算服务安全能力要求》《云计算服务安全能力评估方法》等国家标准。但是无论是14号文也好,国家指南也罢,均未对云服务商申请安全评估的程序作出明确的规定。
评估办法的出台赋予了云服务商主动申请安全评估的权利,而在此之前云服务商只能被动的接收网信部门的安全审查。
相信在评估办法生效后,安全评估结果会成为党政机关及关键信息基础设施运营者采购使用云计算服务时必要的参考标准。云服务商也会为了获得更好的安全评估结果,积极的提升自身云平台的安全保护水平。这对于党政机关和关键信息基础设施运营者,甚至是整个云服务市场来说都会是一大利好。
或许您还想看
王小敏,北京德和衡(深圳)律师事务所高级联席合伙人,西南政法大学法学院毕业,前腾讯及腾讯音乐娱乐集团(TME)高级法律顾问/公司资深法务,QQ音乐&全民K歌产品线法务负责人,云端律师团队创始人。
王小敏律师先后在知识产权代理公司、律师事务所、知名互联网公司工作,具有十余年跨行业(律师&公司法务)、跨领域(知识产权&互联网)、跨产品(IP&科技硬件&网络广告&音乐&直播&短视频&社交&电商等)的多元复合型法律实务经验。曾服务的客户包括苏泊尔、方太、九阳、步步高、腾讯、TCL、深交所、深圳第26届大运会执行局等。
联系方式
电话:18617198262
邮箱:wangxiaomin-sz@deheng.com
聂昊,北京