为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部于2019年7月22日联合发布了《云计算服务安全评估办法》(以下简称“《评估办法》”),《评估办法》自2019年9月1日起正式施行。
依据中国信息通信研究院2018年8月出版的《云计算发展白皮书(2018年)》,当前我国云计算市场处于高速增长阶段,容器、微服务、DevOps等技术在不断推动着云计算的变革。云计算的应用已经深入到政府、金融、工业、交通、物流、医疗健康等传统行业,大量数据的集中使得云计算安全问题和风险管理形势日益严峻。政府部门、关键信息基础设施运营者采用云计算服务,尤其是社会化云计算服务时,应特别关注安全问题,降低采购使用云计算服务带来的网络安全风险。
2014年中央网络安全和信息化领导小组办公室发布的《关于加强党政部门云计算服务网络安全管理的意见》(以下简称“《意见》”)即针对云计算服务提出安全审查要求:“中央网信办会同有关部门建立云计算服务安全审查机制,对为党政部门提供云计算服务的服务商,参照有关网络安全国家标准,组织第三方机构进行网络安全审查,重点审查云计算服务的安全性、可控性”。随后,我国陆续制定了《信息安全技术云计算服务安全指南》(GB/T 31167-2014)《信息安全技术云计算服务安全能力要求》(GB/T 31168-2014)《信息安全技术云计算服务安全能力评估方法》(GB/T 34942-2017)等多项国家标准。
相较而言,《意见》侧重于明确党政部门的云计算服务网络安全管理责任,上述三个国家标准则针对云服务商的安全能力以及第三方评估机构的评估方法作出规定,而《评估办法》是首次对云服务商申请安全评估的程序进行了明确。
01 安全评估的主体与客体
(一)安全评估主管部门
依据《意见》,中央网信办会同有关部门负责建立云计算服务安全审查机制,组织第三方机构进行网络安全审查。《评估办法》对《意见》中的有关部门进一步明确,并提出建立云计算服务安全评估工作协调机制。
《意见》(四) | 《评估办法》第四条 | |
主管部门 | 中央网络安全和信息化领导小组办公室会同有关部门 | ①国家互联网信息办公室 ②国家发展和改革委员会 ③工业和信息化部 ④财政部 |
职责 | ①建立云计算服务安全审查机制; ②组织第三方机构进行网络安全审查 | ①建立云计算服务安全评估工作协调机制; ②审议云计算服务安全评估政策文件; ③批准云计算服务安全评估结果; ④协调处理安全评估有关重要事项。 |
(二)安全评估义务主体
《意见》第四部分明确要求为党政部门提供云计算服务的服务商需通过网络安全审查。而《评估办法》第五条将评估义务主体扩大为所有面向党政机关、关键信息基础设施提供云计算服务的云平台管理运营者(以下简称“云服务商”),进一步落实和细化《国家安全法》第二十五条“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”的要求。
为提高关键信息基础设施安全可控水平,《网络安全法》第三十五条与《网络安全审查办法(征求意见稿)》第二条规定关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。《评估办法》则从另一主体——云服务提供商角度出发,对云服务平台的安全性、可控性进行评价监督,为党政机关以及关键信息基础设施运营者采购云计算服务提供参考依据。
同时,《评估办法》第五条提出,云计算服务安全评估依据云服务商的申请展开。《评估办法》并未就符合条件的云服务商未主动申请安全评估的处理进行详细说明,但根据《意见》第四部分的有关规定:“党政部门采购云计算服务时,应逐步通过采购文件或合同等手段,明确要求服务商应通过安全审查。鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务”,因此,建议意图面向党政机关、关键信息基础设施提供云计算服务平台的云服务商主动向主管部门申请安全评估。
此外,《评估办法》第十二条规定云计算服务安全评估结果的有效期限为3年。有效期届满需要延续保持评估结果的,云服务商应在届满前至少6个月向办公室申请复评。并且在有效期内,云服务商因股权变更、企业重组等导致实控人或控股权发生变化的,应当重新申请安全评估。因此,云服务商应关注安全评估的时间节点,在有效期届满前至少6个月或企业控股发生重大变化时,及时申请复评。此外,若通过评估的云平台停止提供服务,云服务商应至少提前6个月通知客户和云计算服务安全评估工作协调机制办公室,并配合客户做好迁移工作。
(三)安全评估客体
《评估办法》将安全评估的客体限定为面向党政机关、关键信息基础设施提供云计算服务的云平台。
对于“云平台”,即“云计算服务平台”,国家标准《信息安全技术云计算服务安全能力要求》(GB/T 31168-2014)(以下简称“《云计算服务安全能力要求》”)将其定义为“由云服务商提供的,包括向客户提供服务的云基础设施及其上的服务层软件,即指提供云计算服务的软硬件集合”。而《评估办法》对此进行了扩展,在第二条第二款中明确,本办法中的云平台包括云计算服务软硬件设施及其相关管理制度等,突出了对云平台安全管理能力的评估要求。
此外,依据国家互联网信息办公室公布的《<云计算服务安全评估办法>有关问题解答》,同一云服务商运营的不同云平台,需要分别申请安全评估。前期已经通过党政部门云计算服务网络安全审查的云平台,视同为已通过云计算服务安全评估,不需要再重新申请。
02 安全评估内容
(一)提交材料
根据《评估办法》第六条,云服务商申请安全评估的,应当向云计算服务安全评估工作协调机制办公室提交以下材料:
①申报书;
②云计算服务系统安全计划;
③业务连续性和供应链安全报告;
④客户数据可迁移性分析报告;
⑤安全评估工作需要的其他材料。
云服务商应当对所提供申报材料的真实性负责。在评估过程中,云服务商拒不提供要求的材料或故意提供虚假材料的,评估不予通过。据《<云计算服务安全评估办法>有关问题解答》所言,有关申报材料模版将在中国网信网提供下载。
同时,出于对云服务商商业秘密与知识产权的保护,《评估办法》第十六条规定了参与评估工作的单位和人员的保密义务。在云计算服务安全评估过程中,参与评估工作的单位和人员对云服务商提交的非公开材料或在评估中获悉的非公开信息负有保密义务,不得将云服务商提供的信息用于评估以外的目的。如果云服务商认为有关单位和人员未能承担保密义务的,可以向国家互联网信息办公室或有关部门举报。
(二)重点评估内容
根据《评估办法》第三条,云计算服务安全评估重点评估以下内容:
①云平台管理运营者的征信、经营状况等基本情况;
②云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;
③云平台技术、产品和服务供应链安全情况;
④云服务商安全管理能力及云平台安全防护情况;
⑤客户迁移数据的可行性和便捷性;
⑥云服务商等业务连续性;
⑦其他可能影响云服务安全的因素。
值得注意的是,上述重点评估内容为此次《评估办法》新增,此前《意见》并未提及。在党政机关云计算服务网络安全审查中,第三方机构仅依据《云计算服务安全指南》《云计算服务安全能力要求》等配套国家标准进行审查。而《评估办法》在提出由云计算服务安全评估工作协调机制办公室组织专业技术机构参照国家标准进行评价的基础上,重点强调了对第三条规定内容的评估,体现了我国在当前云计算服务发展中,对云平台网络安全等级保护以及对客户数据及用户隐私保护的重视。
03 评估流程
《评估办法》强调坚持事前评估与持续监督相结合。云计算服务安全评估是事前评估的重点,云计算服务安全评估工作协调机制办公室也会通过组织抽查、接受举报等形式,对通过评估的云平台开展持续监督,重点监督有关安全控制措施有效性、重大变更、应急响应、风险处置等内容。
因此,云服务商不可因当前通过了安全评估即放松对云平台的安全防护与安全管理要求,应参照《云计算服务安全指南》《云计算服务安全能力要求》等国家标准持续做好云平台的安全可控工作。
为能更直观地理解《评估办法》的相关规定,下面将以图示方式梳理云计算服务安全评估的具体流程:
云计算服务安全评估具体流程

04 结语
在《评估办法》生效后,对党政机关及关键信息基础设施运营者而言,云计算服务安全评估结果将会其成为选择云服务商的必要参考依据,其需要重点关注云服务商是否通过安全评估且是否仍在有效期限之内,同时也不可因选择了通过安全评估的云服务商而放松对自身的网络安全管理责任要求。
而对于云服务商,则需判断旗下是否存在向党政机关或关键信息基础设施运营者提供云计算服务的云平台及其数量,积极提升自身云平台的安全保护水平,提前准备申报材料以通过安全评估,并持续做好云平台的安全可控工作,从而降低合规风险,提升自身的市场竞争力。
