國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部及財(cái)政部聯(lián)合發(fā)布《云計(jì)算服務(wù)安全評(píng)估辦法》的公告，要求提高關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)使用云計(jì)算服務(wù)的安全可控水平，必須對(duì)云計(jì)算服務(wù)進(jìn)行安全評(píng)估。

“云服務(wù)商”的征信、經(jīng)營(yíng)狀況等基本情況，云服務(wù)商人員背景及穩(wěn)定性，特別是能夠訪問(wèn)客戶(hù)數(shù)據(jù)、能夠收集相關(guān)元數(shù)據(jù)的人員都要納入評(píng)估的范圍。【軌道城市：外商獨(dú)資或合資服務(wù)商的業(yè)務(wù)可能會(huì)受影響，皮包服務(wù)商會(huì)難以生存】

云計(jì)算服務(wù)安全評(píng)估結(jié)果有效期3年。有效期屆滿(mǎn)需要延續(xù)保持評(píng)估結(jié)果的，云服務(wù)商應(yīng)在屆滿(mǎn)前至少6個(gè)月向辦公室申請(qǐng)復(fù)評(píng)。有效期內(nèi)，云服務(wù)商因股權(quán)變更、企業(yè)重組等導(dǎo)致實(shí)控人或控股權(quán)發(fā)生變化的，應(yīng)重新申請(qǐng)安全評(píng)估。

根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施”的相關(guān)描述：公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。

公告全文：

國(guó)家互聯(lián)網(wǎng)信息辦公室 國(guó)家發(fā)展和改革委員會(huì) 工業(yè)和信息化部 財(cái)政部關(guān)于發(fā)布《云計(jì)算服務(wù)安全評(píng)估辦法》的公告

為提高黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)使用云計(jì)算服務(wù)的安全可控水平，國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、財(cái)政部制定了《云計(jì)算服務(wù)安全評(píng)估辦法》，現(xiàn)予以發(fā)布。

附件：云計(jì)算服務(wù)安全評(píng)估辦法

國(guó)家互聯(lián)網(wǎng)信息辦公室

國(guó)家發(fā)展和改革委員會(huì)

工 業(yè) 和 信 息 化 部

財(cái)       政       部

2019年7月2日

第二條 云計(jì)算服務(wù)安全評(píng)估堅(jiān)持事前評(píng)估與持續(xù)監(jiān)督相結(jié)合，保障安全與促進(jìn)應(yīng)用相統(tǒng)一，依據(jù)有關(guān)法律法規(guī)和政策規(guī)定，參照國(guó)家有關(guān)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，發(fā)揮專(zhuān)業(yè)技術(shù)機(jī)構(gòu)、專(zhuān)家作用，客觀評(píng)價(jià)、嚴(yán)格監(jiān)督云計(jì)算服務(wù)平臺(tái)（以下簡(jiǎn)稱(chēng)“云平臺(tái)”）的安全性、可控性，為黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)云計(jì)算服務(wù)提供參考。

本辦法中的云平臺(tái)包括云計(jì)算服務(wù)軟硬件設(shè)施及其相關(guān)管理制度等。

第三條 云計(jì)算服務(wù)安全評(píng)估重點(diǎn)評(píng)估以下內(nèi)容：

（一）云平臺(tái)管理運(yùn)營(yíng)者（以下簡(jiǎn)稱(chēng)“云服務(wù)商”）的征信、經(jīng)營(yíng)狀況等基本情況；

（二）云服務(wù)商人員背景及穩(wěn)定性，特別是能夠訪問(wèn)客戶(hù)數(shù)據(jù)、能夠收集相關(guān)元數(shù)據(jù)的人員；

（三）云平臺(tái)技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況；

（四）云服務(wù)商安全管理能力及云平臺(tái)安全防護(hù)情況；

（五）客戶(hù)遷移數(shù)據(jù)的可行性和便捷性；

（六）云服務(wù)商的業(yè)務(wù)連續(xù)性；

（七）其他可能影響云服務(wù)安全的因素。

第四條 國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、財(cái)政部建立云計(jì)算服務(wù)安全評(píng)估工作協(xié)調(diào)機(jī)制（以下簡(jiǎn)稱(chēng)“協(xié)調(diào)機(jī)制”），審議云計(jì)算服務(wù)安全評(píng)估政策文件，批準(zhǔn)云計(jì)算服務(wù)安全評(píng)估結(jié)果，協(xié)調(diào)處理云計(jì)算服務(wù)安全評(píng)估有關(guān)重要事項(xiàng)。

云計(jì)算服務(wù)安全評(píng)估工作協(xié)調(diào)機(jī)制辦公室（以下簡(jiǎn)稱(chēng)“辦公室”）設(shè)在國(guó)家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局。

第五條 云服務(wù)商可申請(qǐng)對(duì)面向黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施提供云計(jì)算服務(wù)的云平臺(tái)進(jìn)行安全評(píng)估。

第六條 申請(qǐng)安全評(píng)估的云服務(wù)商應(yīng)向辦公室提交以下材料：

（一）申報(bào)書(shū)；

（二）云計(jì)算服務(wù)系統(tǒng)安全計(jì)劃；

（三）業(yè)務(wù)連續(xù)性和供應(yīng)鏈安全報(bào)告；

（四）客戶(hù)數(shù)據(jù)可遷移性分析報(bào)告；

（五）安全評(píng)估工作需要的其他材料。

第七條 辦公室受理云服務(wù)商申請(qǐng)后，組織專(zhuān)業(yè)技術(shù)機(jī)構(gòu)參照國(guó)家有關(guān)標(biāo)準(zhǔn)對(duì)云平臺(tái)進(jìn)行安全評(píng)價(jià)。

第八條 專(zhuān)業(yè)技術(shù)機(jī)構(gòu)應(yīng)堅(jiān)持客觀、公正、公平的原則，按照國(guó)家有關(guān)規(guī)定，在辦公室指導(dǎo)監(jiān)督下，參照《云計(jì)算服務(wù)安全指南》《云計(jì)算服務(wù)安全能力要求》等國(guó)家標(biāo)準(zhǔn)，重點(diǎn)評(píng)價(jià)本辦法第三條所述內(nèi)容，形成評(píng)價(jià)報(bào)告，并對(duì)評(píng)價(jià)結(jié)果負(fù)責(zé)。

第九條 辦公室在專(zhuān)業(yè)技術(shù)機(jī)構(gòu)安全評(píng)價(jià)基礎(chǔ)上，組織云計(jì)算服務(wù)安全評(píng)估專(zhuān)家組進(jìn)行綜合評(píng)價(jià)。

第十條 云計(jì)算服務(wù)安全評(píng)估專(zhuān)家組根據(jù)云服務(wù)商申報(bào)材料、評(píng)價(jià)報(bào)告等，綜合評(píng)價(jià)云計(jì)算服務(wù)的安全性、可控性，提出是否通過(guò)安全評(píng)估的建議。

第十一條 云計(jì)算服務(wù)安全評(píng)估專(zhuān)家組的建議經(jīng)協(xié)調(diào)機(jī)制審議通過(guò)后，辦公室按程序報(bào)國(guó)家互聯(lián)網(wǎng)信息辦公室核準(zhǔn)。

云計(jì)算服務(wù)安全評(píng)估結(jié)果由辦公室發(fā)布。

第十二條 云計(jì)算服務(wù)安全評(píng)估結(jié)果有效期3年。有效期屆滿(mǎn)需要延續(xù)保持評(píng)估結(jié)果的，云服務(wù)商應(yīng)在屆滿(mǎn)前至少6個(gè)月向辦公室申請(qǐng)復(fù)評(píng)。

有效期內(nèi)，云服務(wù)商因股權(quán)變更、企業(yè)重組等導(dǎo)致實(shí)控人或控股權(quán)發(fā)生變化的，應(yīng)重新申請(qǐng)安全評(píng)估。

第十三條 辦公室通過(guò)組織抽查、接受舉報(bào)等形式，對(duì)通過(guò)評(píng)估的云平臺(tái)開(kāi)展持續(xù)監(jiān)督，重點(diǎn)監(jiān)督有關(guān)安全控制措施有效性、重大變更、應(yīng)急響應(yīng)、風(fēng)險(xiǎn)處置等內(nèi)容。

通過(guò)評(píng)估的云平臺(tái)已不再滿(mǎn)足要求的，經(jīng)協(xié)調(diào)機(jī)制審議、國(guó)家互聯(lián)網(wǎng)信息辦公室核準(zhǔn)后撤銷(xiāo)通過(guò)評(píng)估的結(jié)論。

第十四條 通過(guò)評(píng)估的云平臺(tái)停止提供服務(wù)時(shí)，云服務(wù)商應(yīng)至少提前6個(gè)月通知客戶(hù)和辦公室，并配合客戶(hù)做好遷移工作。

第十五條 云服務(wù)商對(duì)所提供申報(bào)材料的真實(shí)性負(fù)責(zé)。在評(píng)估過(guò)程中拒絕按要求提供材料或故意提供虛假材料的，按評(píng)估不通過(guò)處理。

第十六條 未經(jīng)云服務(wù)商同意，參與評(píng)估工作的相關(guān)機(jī)構(gòu)和人員不得披露云服務(wù)商提交的未公開(kāi)材料以及評(píng)估工作中獲悉的其他非公開(kāi)信息，不得將云服務(wù)商提供的信息用于評(píng)估以外的目的。

第十七條 本辦法自2019年9月1日起施行。

來(lái)源：城市軌道信息化