云上等级保护解决方案
现在很多公司基于成本、便捷性的考虑,渐渐把一些业务系统或者公司对外网站移到了云平台上。刚开始很多公司应该是由于缺乏技术人员和IT维护人员,所以选择了云平台,觉得托管的方式,可以省去很多运维的工作。但是,随着等保2.0的到来,云上系统和网站也需要开展等级保护工作了,是否需要进行定级备案,需要根据实际情况而定。因此,云租户不要急于开展等保工作,先来弄清这些内容,对你有好处。
首先,弄清楚租用(托管)的云平台是否通过了等级保护三级或者四级定级备案。
为什么要弄清楚这个呢?因为云平台没有备案证明的话,将影响到该云平台上的租户的信息系统等保备案或者网站等保备案。
依据:
根据《网络安全法》的规定,云平台的等级不可以低于云上租户的业务应用系统的最高级,并且明确规定“国家关键信息基础设施(云计算平台)的安全保护等级不低于三级”。
根据网络安全法规定“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
因此,在云计算环境中,将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象作为单独的定级对象定级。
云租户负责对云平台上承载的租户信息系统进行定级备案,备案地为工商注册或实际经营所在地。
其次,要弄清楚,目前使用的那种类型的云平台服务。
弄清楚云平台服务类型,可以帮助您确定哪些系统需要进行等级保护测评,哪些不需要。
系统上云或托管后,并不是安全责任主体转移,只是系统所在机房地址的变更,当然在公有云模式下,Iaas、Paas、Saas不同模式相应的安全责任会有些区别,但是并不是没有责任。因此,不同模式下的测评内容有一些区别。下图是针对上述模式提出一些等级保护建设的一些参考,具体情况需要结合具体云服务商的具体情况而定。
一般情况下,Iaas、Paas模式下租户的应用系统需要独立开展等级保护,而Saas模式下租户的应用系统是否需要开展等级保护需要结合具体情况而定。
最后,就是根据租户在云平台上的系统对照等保定级要求,进行自我评估,定级为等保二级以上的需要开展等保工作。一般来说,普通的企业官网(资讯类,不涉及在线交易的)一般定级为一级即可,可以自主定级,注重相关的安全保护就好,无需进行等级保护测评。但是一些具备在线交易,特别是允许第三方在该平台/网站进行在线交易的(如电商、游戏平台、知识付费平台)等等根据用户量以及数据类型,一般定级为二级以上,具体二级,还是三级,需要结合具体信息系统情况分析。一般建议可以先定级为二级。上述内容仅供参考,具体情况还是需要各位按照等保定级标准,依据等保定级申请结果而定。
另外,提醒各位云租户哦,等级保护是一个长期工作,目标是为了让被测评对象能够动态完善网络安全的防护能力,所以二级等保需要每两年至少开展一次等保测评,三级以上的需要每年开展等保测评。因此,等级保护不是首次过了,就行,还需要持续做网络安全工作,定期开展等保测评工作。