首批通過審查云服務名單的公布，標志著我國繼出臺《關于加強黨政部門云計算服務網絡安全管理的意見》（中網辦發文[2014]14號）、《國務院關于促進云計算創新發展培育信息產業新業態的意見》（國發〔2015〕5號）等一系列綱領性文件之后，配套的黨政部門云計算服務網絡安全管理體系逐步建立，運行成果初步顯現，堪稱我國云計算服務安全管理的重要里程碑。

云計算讓使用者大幅減少基礎設施投入成本，并能獲得優質IT資源和服務，因而倍受青睞。從降低行政成本和提升行政效能的角度考慮，政府部門推廣使用云計算已是社會發展大勢所趨。但云計算服務資源池化、彈性、靈活及平臺復雜等特性，使不安全接口、數據丟失或泄漏、賬戶或服務劫持等安全問題日益凸顯，這對政府部門數據及業務安全遷移上云和有效監管提出了艱巨挑戰。為此，信息化發達國家紛紛出臺相關政策指導云計算服務網絡安全管理，如，美國針對聯邦政府云計算服務應用場景,基于聯邦信息安全管理法案（FISMA）的風險管理框架，專門設立聯邦風險及授權管理項目（FedRAMP）。自2012年正式啟動，獲得FedRAMP安全授權逐步成為了云計算服務為美國聯邦政府提供服務的強制性要求。然而，我國對云計算服務的系統化網絡安全管理一度空白，云服務提供市場魚龍混雜；黨政部門采購部署云服務效率不高；低水平重復測評資源浪費等問題，讓云服務商和黨政部門陷入求證安全性無門、望“云”卻步的窘境。立足我國發展需求，中央網信辦會同有關部門，在黨政部門云計算服務網絡安全管理方面采取“破冰”之舉、有效之策，歷時近2年規劃實施，發布首批通過網絡安全審查的云計算服務名單，意義非凡：

一、 探索依規治理，供需兩端指導并舉。貫徹國家有關要求，從服務商和用戶供需兩端發力，積極探索黨政部門云計算服務網絡安全治理之道。2年間，中央網信辦統籌實施制度設計、機制建立、標準研制、體系文件制定等舉措，逐步明確黨政部門采購部署云服務有關安全要求，建立了系統化的云計算服務網絡安全審查機制，黨政部門云計算服務網絡安全管理體系已基本確立。

二、 實踐樹立典范，促進產業健康發展。基于黨政部門數據和業務安全保障需求，通過審查的云計算服務將成為黨政部門云計算服務最佳實踐，為產業遵從云計算服務的安全性、可控性等有關合規要求樹立典范，有助于基于最佳實踐引領我國云服務安全保障能力提升，有利于產業健康發展。

三、 共建能力基礎，支撐體系有效運行。云服務安全可控性是系統化、多因素的問題，在我國尚無成熟經驗可遵循，中央網信辦會同有關部門在實踐中摸索前行。首批黨政云審查結果出爐，凝聚了管理部門、黨政用戶、服務商、領域專家和第三方機構等多方智慧，經過實踐錘煉共同夯實了云計算服務網絡安全保障能力基礎，為黨政部門云計算服務網絡安全管理體系持續運行提供有力支撐。

繼首批名單發布之后，通過審查的云服務將進入持續監控階段，以探索完善黨政云全生命周期網絡安全管理體系。首批通過審查云服務名單已揭曉，期待正在進行審查的華為軟件技術有限公司“華為云服務襄陽政務云平臺”、中國移動通信有限公司“移動云”、中國電信集團公司“行業云資源池”等云服務順利通過審查，以充實我國黨政部門當前用云需求。（作者：吳迪 中國信息安全認證中心）