1、组织云计算服务安全评估的目的是什么？

答：开展云计算服务安全评估的目的是提高党政机关和关键信息基础设施运营者购买和使用云计算服务的安全性和可控性云计算服务，降低购买和使用云计算带来的网络安全风险服务，加强对党政机关的保障。 ，关键信息基础设施运营商将业务和数据迁移到云服务平台的信心。

2、云计算服务安全评估的对象是什么？

答：云计算服务安全评估是基于云服务提供商的应用，对为党政机关提供云计算服务的云平台和关键信息基础设施进行安全评估。 同一云服务商运营的不同云平台需要分别申请安全评估。

3、云服务商什么时候可以申请评估？ 需要提交什么材料？

答：自2019年9月1日起，云服务提供商可以正式提交云计算服务安全评估申请。 需提交的材料包括声明书、云计算服务系统安全计划、业务连续性和供应链安全报告、客户数据可移植性分析报告等。申请材料模板可在中国网通下载。

四、通过党政部门云计算服务网络安全审查的云平台是否还需要申请云计算服务安全评估？

答：前期通过党政部门云计算服务网络安全审查的云平台，视为通过云计算服务安全评估，无需重新申请。

5、云计算服务安全评估的主要参考标准有哪些？

答：云计算服务安全评估主要参考国家标准《云计算服务安全能力要求》和《云计算服务安全能力要求》。 访问控制、配置管理、维护、应急响应和灾难恢复、审计、风险评估和持续监控、安全组织和人员、物理和环境安全等。

6、云计算服务安全评估主要有哪些环节？

A：主要包括申请、受理、专业技术机构评估、云计算服务安全评估专家组综合评估、云计算服务安全评估协调机制审核、国家互联网信息办公室批复、发布评价结果，持续督导。

7、云计算服务的安全评估结果在哪里查询？ 有效期多长？

A：评估结果将由国家互联网信息办公室网络安全协调局在中国网通公布。 评估结果有效期为3年。

8、云计算服务安全评估如何保护被评估方的商业秘密和知识产权？

答：在云计算服务安全评估过程中，参与评估工作的单位和人员应当对云服务提供者提交的非公开材料或评估过程中获悉的非​​公开信息承担保密义务，并严格保护云服务提供商的商业秘密和知识产权。 . 云服务提供者认为有关单位和人员未履行保密义务的，可以向国家互联网信息办公室或有关部门举报。

9.云计算服务的安全评估可以咨询谁？

A：关于云计算服务安全评估的其他具体事宜，您可以发邮件或来电咨询。

“2015年，我国云计算产业总体规模达到1500亿元。2016年，国内主要云计算企业成倍增长。与此同时，云计算信任体系逐步建立，可信云认证取得成功。”得到业界广泛认可，已覆盖10余种云服务，累计认证云服务超过150家。” 日前在北京召开的2017可信云大会上，信息通信发展部副部长陈家春表示。

陈家春认为，可信云工作对我国云服务可信体系的建立和完善起到了积极的推动作用。 “可信云在国内的认可度不断提升，已经成为市场名副其实的‘绿色护照’。”

可信云服务认证的核心目标是建立云服务评价体系，为用户选择可信、安全的云服务提供支持，最终推动我国云计算市场健康有序发展。

本届可信云大会以“可信云标准新一代，客户满意就是未来”为主题，发布了第八批可信云认证服务名单，包括可信云主机分类、可信云混合云、可信云混合云，可信云超融合、可信应用商店、良好的IT风险管理等一系列成果。

为什么要做可信云服务认证？

2015年，国务院印发《关于促进云计算创新发展培育信息产业新业态的意见》（以下简称《意见》），指出为促进云计算创新发展积极培育信息产业新业态，支持第三方组织发展云计算 服务质量、信誉、网络安全评估评价 引导云计算服务企业加强内部管理，提高服务质量诚信，逐步建立云计算信任体系。

“可信云测评是云计算行业构建可信体系的努力和探索。” 陈家春说。 可信云服务认证于2013年推出，是中国信息通信研究院对云计算服务进行测试评估的评估认证。

“经过多年的发展，可信云评估已经从单一的云计算服务评估，逐步发展到事前、事中、事后的综合监测评估，建立了云计算基础服务和产品评估、专项能力评估、可用性监测以及包括云保险等在内的综合评价体系。” 中国通信标准化协会副理事长兼常务副秘书长戴晓辉在介绍可信云测评整体发展情况时表示。

据介绍，可信云已开展云计算在政府、金融、电信等传统行业的应用研究。 标准化工作稳步推进，取得积极进展。 我国制定并完善了“政务云服务”系列评价标准。 在国际标准化方面，2016年，可信云评估成功写入国际标准，成为国际电信联盟ITU-TY.3501（云计算框架和高阶要求）的一部分。

“当前，随着我国ICT（信息和通信技术）产业的快速发展，我国在国际电信联盟等国际标准组织中发挥着越来越重要的作用，正从最初的‘领导者’逐步成为‘引领者’。 '追随者''。” 戴晓慧说道。

具体到可信云服务认证领域，在基础服务和产品方面，包括IaaS（基础设施即服务）、PaaS（平台即服务）、企业级SaaS（软件即服务）、云分发、桌面云和云备份 虚拟化产品、虚拟化管理产品、容器产品等云计算软件等云计算服务的评估，以及超融合、混合云、运维产品和私有云项目成熟度评估。

可信云在对基础服务和产品进行评估的基础上，还对云计算服务和产品的风险管控能力、运维能力、客户数据保护能力、性能等进行专项评估。 通过评估后，云服务提供商需要继续接受持续的可用性监控，可信云将根据可用性监控结果对云主机服务进行评级。 事后， Cloud提供云保险，为云服务保驾护航。

标准保障云计算服务优势

“我国云计算产业政策环境不断完善，在《意见》的指引下，我国正在加大云计算服务政府采购力度，大幅减少政府自建数据中心数量。” 中央国家机关政府采购中心副主任赵旭轩说。 . 目前，从中央到地方的政府和行业管理部门都已经有了使用云服务满足信息化建设需求的采购业务和相应的部署案例。

与传统政务信息系统建设相比，云计算服务具有诸多优势。 “政府采购云计算服务可以大大节省政府信息化的成本；云计算资源的集约化利用可以促进政府节能减排；由于云计算不受地域限制，可以有效促进政府采购的实施。政策职能；资源和数据的集中云计算服务，有利于大数据的整合利用和政府信息公开，能够更好地满足公众对政府数据使用和信息公开的需求。 赵旭轩说道。

在去年政府首次虚拟化软件采购招标中，信通院在技术标准制定方面给予多方支持和帮助。 “今年，随着云计算服务进入中央预算单位集中采购目录，我们将研究完成软件产品招标后启动云计算服务政府采购的相关工作。” 赵旭轩坦言，这些都是建立在标准之上的。 向上。

构建云计算信息安全和网络安全的风险管理和标准体系，仅靠服务认证是不够的。 如何构建网络风险保障体系，中国保险学会会长姚庆海认为，首先要完善网络风险数据采集标准体系，建立网络风险保障标准数据库，建立评估数据模型管理各行业的网络风险。 构建全社会管理网络风险的全风险防控体系。

在可信云大会上，中国保险行业协会与中国信息通信研究院联合成立了“网络风险与保险专业委员会”和“网络风险与保险创新实验室”。

“我们将与一大批创新型企业合作，共同研究网络风险标准、网络风险模型和网络风险评估体系。” 姚清海说道。

云计算产业持续发展

随着云计算产业的发展，可信云服务认证体系也在不断完善。 “以数据中心联盟为代表的行业组织，要积极充当连接政府和行业的桥梁，充分发挥凝聚行业共识的平台作用，不断加大标准、技术、应用、评估等方面的工作。与云计算产业相关，我们将不断推出新的研究成果，推动解决云计算服务产业发展中的难题，助力我国云计算产业腾飞。” 陈家春说。

此外，云计算技术的应用可以促进信息技术能力的按需供给和数据资源的充分利用，有效降低企业信息化门槛和创新成本，也符合当前各种促进产业实施“互联网+”战略，开展创新创业，迫切需要推动信息化转型和转型升级。

陈家春希望国内云计算企业抓住这一机遇，加强物联网、移动互联网、互联网金融、电子商务技术和服务的融合发展和创新应用，打造协同共赢的云计算服务生态环境。 帮助培育新业态新模式，满足用户日益增长的应用服务需求。

同时，还应看到，我国云计算产业在核心技术，特别是在云计算基础平台架构和设备虚拟化技术等方面与国外先进水平还有一定差距。

对此，陈家春表示，行业需要更加重视技术研发，加大投入，尽快实现突破。 “希望国内云计算企业积极参与开源社区活动，通过开源创新等方式，形成优势企业技术外流，带动我国云计算技术实现整体突破。”

信息通信管理局市场司司长张建华也对云服务运营商提出了建议和希望：诚实守信，依法经营，包括按照持照资质开展经营活动，做到你对用户所说的和做的； 不断创新，优化服务，真正做到客户满意； 企业之间可以互惠互利，共同维护良好的产业生态； 承担与企业规模和实力相匹配的社会责任。