四部委开展云计算服务评估 为政务上云营造安全环境(3)

　　《评估办法》明确，云计算服务安全评估坚持事前评估与持续监督相结合，保障安全与促进应用相统一，依据有关法律法规和政策规定，参照国家有关网络安全标准，发挥专业技术机构、专家作用，客观评价、严格监督云计算服务平台的安全性、可控性，为党政机关、关键信息基础设施运营者采购云计算服务提供参考。

　　《评估办法》提出，云计算服务安全评估重点评估内容为：云平台管理运营者的征信、经营状况等基本情况；云服务商人员背景及稳定性，特别是能够访问客户数据、能够收集相关元数据的人员；云平台技术、产品和服务供应链安全情况；云服务商安全管理能力及云平台安全防护情况；客户迁移数据的可行性和便捷性；云服务商的业务连续性；其他可服务安全的因素。

　　“《评估办法》的发布推动了云安全技术研发，助力政务云市场的快速发展，提升各级政府推动政务上云的信心。同时，《评估办法》能够促进云服务安全保障体系发展完善，对评估重点工作、评估原则、评估流程都作出了详细说明，是对《云计算服务安全指南》《云计算服务安全能力要求》的进一步深化和落实。”郑宁说。

　　“云计算安全评估就是为了解决信息不对称带来的问题，对云服务商进行评估认证，包括对云服务商的管理人员、技术水平、经营状况等多方面进行评估。就像旅游景点的认证一样，有一个从A级到5A级的划分。在评估中安全认证较低的云服务商就会积极主动提高自己的服务标准。对于买卖双方而言，不仅有利于机关、企业作出合理选择，也有利于督促服务商提供更多的优质服务。”刘德良说。

　　刘德良认为，落实《评估办法》主要有两个要素：一是要制定严格的标准。强制性的标准是保障云计算安全最基础的门槛，云计算安全的标准要科学合理，云服务商可以结合自己的要求制定更加详细的标准。二是要有一个独立、公正、权威的第三方评估机构，保证评估人员具有良好的专业知识，人员结构要合理。

　　据了解，云计算服务安全评估主要参照《云计算服务安全能力要求》《云计算服务安全指南》，其中《云计算服务安全能力要求》从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面提出要求。

　　云计算服务安全评估主要环节包括申报、受理、专业技术机构评价、云计算服务安全评估专家组综合评价、云计算服务安全评估工作协调机制审议、国家互联网信息办公室核准、评估结果发布、持续监督等环节。

　　“评估过程要注意保护被评估方的商业秘密和知识产权，要将事前评估与持续监督相结合。云计算服务安全评估应该坚持事前评估与持续监督相结合，保障安全与促进应用相统一，发挥专业技术机构、专家作用，客观评价、严格监督云计算服务平台的安全性、可控性，为党政机关、关键信息基础设施运营者采购云计算服务提供参考。要选用通过安全评估的云服务商并对其安全服务等级资质进行核查，选云服务商时不仅要关注其技术能力、产品性能，同时也要关注云服务商长期运维和服务能力。要加强对已搭建的云平台监管、定期自行或委托第三方开展安全检查和性能测试等工作。”郑宁说。

　　“落实《评估办法》，确保云计算安全，首先要提高安全意识，在采购云计算服务时要认真考量云服务商服务的可靠性及系统的安全性；其次要有一个权威的评测机构，对云服务商的安全性进行评估，给予客观评价。”林东岱说。