一朵朵政务云安全吗?7月31日,中央网络安全和信息化委员会办公室(以下简称“中央网信办”)公布“通过云计算服务安全评估的云平台”,共有73个云平台通过云计算服务平台安全评估,其中包括50多个政务云平台。
IT采购小编注意到,最早一批通过安全评估的云平台为天津政务云平台、北京市级政务云、满洲里政务云平台和昆明政务云平台,云服务商分别为紫光云、太极和浪潮,有效期至2023年8月27日;天津市政务云、四川电信省级政务云、深信服安全托管云平台和重庆市政务云平台刚刚通过安全评估,云服务商分别为太极、电信四川分公司、深信服和阿里云,有效期至2026年7月25日。
从云服务商来看,包括联通、移动、电信、百度、华为、腾讯云等数十家企业;从安全能力级别来看,均为增强型;从服务模式来看,分为IaaS、PaaS、SaaS三种,以IaaS居多。
2019年9月1日,由国家互联网信息办公室等发布的《云计算服务安全评估办法》正式施行,旨在提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,降低采购使用云计算服务带来的网络安全风险,增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。云计算服务安全评估主要参照国家标准《云计算服务安全能力要求》、《云计算服务安全指南》,其中《云计算服务安全能力要求》从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面提出要求。
根据上述办法,云计算服务安全评估重点评估七方面:一是云平台管理运营者(简称“云服务商”)的征信、经营状况等基本情况;二是云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;三是云平台技术、产品和服务供应链安全情况;四是云服务商安全管理能力及云平台安全防护情况;五是客户迁移数据的可行性和便捷性;六是云服务商的业务连续性;七是其他可能影响云服务安全的因素。
云计算服务安全评估结果有效期3年。云服务商申请时需提交申报书、云计算服务系统安全计划、业务连续性和供应链安全报告、客户数据可迁移性分析报告等材料。有效期届满需要延续保持评估结果的,云服务商应在届满前至少6个月向办公室申请复评。有效期内,云服务商因股权变更、企业重组等导致实控人或控股权发生变化的,应重新申请安全评估。
分享长微博
分享到微信
