云泄露责任难究，“硬核”评估有办法(2)

　　为此，《评估办法》指出，本次重点评估内容包含云平台管理运营者(以下简称云服务商)的征信、经营状况等基本情况；云服务商人员背景及稳定性，特别是能够访问客户数据、能够收集相关元数据的人员；云平台技术、产品和服务供应链安全情况；云服务商安全管理能力及云平台安全防护情况；客户迁移数据的可行性和便捷性等。

　　“相较于以往的安全审查，这次评估针对性更强，目标重点面向党政机关和关键信息基础设施运营者所采购的云计算服务。”辛阳说，这次出台的《评估办法》也更为全面，不止关注云安全技术评估，还包括云平台管理经营状态、服务人员资质、安全管理能力、服务商业务连续性等全方位的测试评估。

　　不仅如此，《评估办法》还指出，将建立云计算服务安全评估工作协调机制，审议云计算服务安全评估政策文件，批准云计算服务安全评估结果，协调处理云计算服务安全评估有关重要事项。明文规定申请安全评估的云服务商应向办公室提交的材料内容和相关流程以及参照的标准。

　　“本次《评估办法》的发布对云安全产业具有重要的意义，对政府部门等采购商来说提供了云服务的安全保障，信息系统运营部门可以做到‘有法可依’，避免了安全防护参差不齐的现状。”辛阳说。

　　构建云计算大安全生态

　　“作为客户企业来说，能及时了解目前行业更新的反馈，在云计算服务选型、采购中有了事实依据和标准，能够更加精准、高效地选择符合真实业务需求的云计算服务商，降低决策成本，保证决策质量，屏蔽决策风险。”云知声智能科技股份有限公司物联网研发总监李彬说，对于云计算服务厂商来说，《评估办法》促进了技术和制度合规以及完善，给企业打了一剂“预防针”，对于企业的健康发展有着积极的意义。

　　此外，李彬也表示，针对云计算及网络安全行业而言，《评估办法》全面列举了云计算安全评估的行为规范，能促进行业正规化，提升了国内云计算市场的准入门槛，加强了云计算服务商的信息监督以及淘汰机制，使国内云计算市场能在更在规范和健康的轨道上发展，对行业竞争起到正面的促进作用。

　　李彬说，目前，公司已与多家顶尖的云计算安全厂商建立了战略合作框架，进行舆情共享、安全事件联动防护机制，最大限度的保证了用户和合作伙伴的数据和服务安全。

　　张利民也表示，针对安全技术风险，建议云计算厂商和安全厂商能够通力合作，打破技术壁垒开发合作，各个安全厂商之间也能够积极合作，利用各自优势，不断发展成为一个云计算大安全生态。

　　针对安全运维和安全管理风险，张利民建议，要明确云监管方、云服务商、云服务客户等各方的安全职责；要加强安全管理体系建设，比如安全流程管理、制度策略管理、安全建设管理、安全运维管理等。

　　“打铁还需自身硬，规范安全制度，减少人为安全隐患，不要将鸡蛋放在一个篮子里，多云接入是客户使用云计算服务的趋势，要高效而合理的风险转移。”李彬表示，同时，安全服务需要持续的投入和不断迭代完善，安全制度和技术并行，覆盖业务生产的每一个环节。

　　辛阳特别强调，安全不是静态的，而是动态变化的过程，没有一成不变的安全措施，因此要具有跟进最新安全动态并及时响应的能力，确保安全措施的动态有效，力保恢复，做好数据的容灾备份。