為政務云產業發展保駕護航 ——《云計算服務安全評估辦法》解讀
近日,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、財政部聯合發布了《云計算服務安全評估辦法》,旨在提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平,降低采購使用云計算服務帶來的網絡安全風險,從而增強黨政機關、關鍵信息基礎設施運營者將業務及數據向云服務平臺遷移的信心。賽迪顧問認為,《評估辦法》的出臺,是國家持續推動云計算產業健康發展和市場規范化運行、提升云安全服務能力的重要體現。
推動政務云市場快速發展
政務領域中的數據大多是涉及國家、公民、社會經濟運行基本信息的核心數據,數據存儲設施和應用系統同時也是國家關鍵基礎設施的一部分。政務數據的高度敏感性對云服務商服務安全保障能力有著更高的要求。《評估辦法》的實施將為政務云產業發展保駕護航,具體體現在以下三個方面:
首先,《評估辦法》推動云安全技術研發。一方面,《評估辦法》的實施能激發云服務商對云安全技術研發的積極性,促進提供商不斷加強產品核心組件和技術的研發,推出更能保障政務數據安全的云計算架構、密鑰管理、靜態加密等信息保護技術。另一方面,云服務商最終通過國家云計算服務安全評估、獲得相應資質認證,標志著該服務商已擁有一定的自主研發能力、科學的技術管理模式及成熟的市場化應用的產品,這對其他云服務提供商云服務安全能力的提升具有重要示范和導向作用。
其次,《評估辦法》助力政務云市場的快速發展。《評估辦法》從征信、經營狀況等基本情況,人員背景及穩定性,云平臺技術、產品和服務供應鏈安全情況,安全管理能力及云平臺安全防護情況,客戶遷移數據的可行性和便捷性,云服務商的業務連續性等多維度對云服務商進行評估,將敦促云服務商全方位提高服務安全水平。云服務商服務安全水平的提高,將大大提升各級政府推動政務上云的信心,使得政務上云的步伐加快,從而推動政務云市場的快速發展。
最后,《評估辦法》促進云服務安全保障體系未來走向完善。《評估辦法》對評估重點工作、評估原則、評估流程都作出了詳細說明,是對《云計算服務安全指南》《云計算服務安全能力要求》的進一步深化和落實,三者共同構成提升云計算服務安全水平的保障體系。《評估辦法》的落實,將有大量的云服務商參與評估,這將利于國家相關部門摸清我國整體云計算行業服務安全現狀,從而有助于國家未來安全云乃至可控云標準、實施細則制定等相關保障工作的開展,促進云服務安全保障體系逐步完善。
政務云產業發展建議
政府客戶方面,一方面是要選用通過安全評估的云服務商并對其安全服務等級資質進行核查,選云服務商時不僅要關注其技術能力、產品性能,同時也要關注云服務商長期運維和服務能力。另一方面是要加強對已搭建的云平臺監管、定期自行或委托第三方開展安全檢查和性能測試等工作,并及時查看云服務提供商定期運維與風險評估相關報告,以確保整個云平臺的安全性。
云服務商方面,一方面是要加強安全意識、風險意識,構建云平臺全生命周期的風險管理框架。另一方面是要緊緊圍繞《評估辦法》中重點評估內容,從技術、產品、人員、服務和供應鏈等方面提升安全水平。在技術方面,要加強信息保護技術的研發以防止病毒攻擊,向政府客戶開放技術架構并提供完備技術資料;在產品方面,要積極設計“分區管理”解決方案,保障核心政務數據在“內網區”更高的安全性;在人員方面,要對云平臺所有研發、建設和運維人員進行背景調查;在服務方面,要對云計算平臺進行持續風險監控、定期進行風險評估,當風險發生時,
能及時應對風險,擁有容災恢復能力;在供應鏈方面,要選用具有安全等級資質或證明的供應商,以確保整個云平臺的安全。
《云計算服務安全評估辦法》有關問題解答
問:組織開展云計算服務安全評估的目的是什么?
答:開展云計算服務安全評估,是為了提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平,降低采購使用云計算服務帶來的網絡安全風險,增強黨政機關、關鍵信息基礎設施運營者將業務及數據向云服務平臺遷移的信心。
問:云計算服務安全評估的對象是什么?
答:云計算服務安全評估是依據云服務商申請,對面向黨政機關、關鍵信息基礎設施提供云計算服務的云平臺進行的安全評估。同一云服務商運營的不同云平臺,需要分別申請安全評估。
問:何時起云服務商可申請評估?需要提交哪些材料?
答:自2019年9月1日起,云服務商可以正式提交云計算服務安全評估申請。需要提交的材料包括申報書、云計算服務系統安全計劃、業務連續性和供應鏈安全報告、客戶數據可遷移性分析報告等。有關申報材料模板將在中國網信網提供下載。
問:已通過黨政部門云計算服務網絡安全審查的云平臺,是否還需要申請云計算服務安全評估?
答:前期已經通過黨政部門云計算服務網絡安全審查的云平臺,視同為已通過云計算服務安全評估,不需要再重新申請。
問:云計算服務安全評估主要參照哪些標準?
答:云計算服務安全評估主要參照國家標準《云計算服務安全能力要求》《云計算服務安全指南》,其中《云計算服務安全能力要求》從系統開發與供應鏈安全、系統與通信保護、訪問控制、配置管理、維護、應急響應與災備、審計、風險評估與持續監控、安全組織與人員、物理與環境安全等方面提出要求。
問:云計算服務安全評估有哪些主要環節?
答:主要包括申報、受理、專業技術機構評價、云計算服務安全評估專家組綜合評價、云計算服務安全評估工作協調機制審議、國家互聯網信息辦公室核準、評估結果發布、持續監督等環節。
問:云計算服務安全評估結果在哪里查詢?有效期多長時間?
答:評估結果將由國家互聯網信息辦公室網絡安全協調局在中國網信網公布。評估結果有效期為3年。
問:云計算服務安全評估如何保護被評估方的商業秘密和知識產權?
答:云計算服務安全評估過程中,參與評估工作的單位和人員對云服務商提交的非公開材料或在評估中獲悉的非公開信息承擔保密義務,嚴格保護云服務商的商業秘密和知識產權。如果云服務商認為有關單位和人員未能承擔保密義務的,可以向國家互聯網信息辦公室或有關部門舉報。(賽迪顧問大數據產業研究中心高級分析師 張凡)
轉自:中國電子報
【版權及免責聲明】凡本網所屬版權作品,轉載時須獲得授權并注明來源“中國產業經濟信息網”,違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊,僅代表作者個人觀點,不代表本網觀點和立場。版權事宜請聯系:010-65363056。
延伸閱讀
上半年汽車工業多項經濟指標創新高
