近日，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、財政部4個國家部門聯合發布《云計算服務安全評估辦法》，該辦法自2019年9月1日起施行。其評估內容涉及云計算服務技術、產品等，要求參照《云計算服務安全指南》《云計算服務安全能力要求》等國家標準進行專業評估，此舉體現了國家相關部門加強對云計算服務的監管。以下為辦法全文：

國家互聯網信息辦公室國家發展和改革委員會工業和信息化部財政部關于發布《云計算服務安全評估辦法》的公告

2019年 第2號

為提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、財政部制定了《云計算服務安全評估辦法》，現予以發布。

附件：云計算服務安全評估辦法

國家互聯網信息辦公室

國家發展和改革委員會

工業和信息化部

財政部

2019年7月2日

云計算服務安全評估辦法

第一條為提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，制定本辦法。

第二條云計算服務安全評估堅持事前評估與持續監督相結合，保障安全與促進應用相統一，依據有關法律法規和政策規定，參照國家有關網絡安全標準，發揮專業技術機構、專家作用，客觀評價、嚴格監督云計算服務平臺（以下簡稱“云平臺”）的安全性、可控性，為黨政機關、關鍵信息基礎設施運營者采購云計算服務提供參考。

本辦法中的云平臺包括云計算服務軟硬件設施及其相關管理制度等。

第三條云計算服務安全評估重點評估以下內容：

（一）云平臺管理運營者（以下簡稱“云服務商”）的征信、經營狀況等基本情況；

（二）云服務商人員背景及穩定性，特別是能夠訪問客戶數據、能夠收集相關元數據的人員；

（三）云平臺技術、產品和服務供應鏈安全情況；

（四）云服務商安全管理能力及云平臺安全防護情況；

（五）客戶遷移數據的可行性和便捷性；

（六）云服務商的業務連續性；

（七）其他可能影響云服務安全的因素。

第四條國家互聯網信息辦公室會同國家發展和改革委員會、工業和信息化部、財政部建立云計算服務安全評估工作協調機制（以下簡稱“協調機制”），審議云計算服務安全評估政策文件，批準云計算服務安全評估結果，協調處理云計算服務安全評估有關重要事項。

云計算服務安全評估工作協調機制辦公室（以下簡稱“辦公室”）設在國家互聯網信息辦公室網絡安全協調局。

第五條云服務商可申請對面向黨政機關、關鍵信息基礎設施提供云計算服務的云平臺進行安全評估。

第六條申請安全評估的云服務商應向辦公室提交以下材料：

（一）申報書；

（二）云計算服務系統安全計劃；

（三）業務連續性和供應鏈安全報告；

（四）客戶數據可遷移性分析報告；

（五）安全評估工作需要的其他材料。

第七條辦公室受理云服務商申請后，組織專業技術機構參照國家有關標準對云平臺進行安全評價。

第八條專業技術機構應堅持客觀、公正、公平的原則，按照國家有關規定，在辦公室指導監督下，參照《云計算服務安全指南》《云計算服務安全能力要求》等國家標準，重點評價本辦法第三條所述內容，形成評價報告，并對評價結果負責。

第九條辦公室在專業技術機構安全評價基礎上，組織云計算服務安全評估專家組進行綜合評價。

第十條云計算服務安全評估專家組根據云服務商申報材料、評價報告等，綜合評價云計算服務的安全性、可控性，提出是否通過安全評估的建議。

第十一條云計算服務安全評估專家組的建議經協調機制審議通過后，辦公室按程序報國家互聯網信息辦公室核準。

云計算服務安全評估結果由辦公室發布。

第十二條云計算服務安全評估結果有效期3年。有效期屆滿需要延續保持評估結果的，云服務商應在屆滿前至少6個月向辦公室申請復評。