安全資訊

現在很多公司基于成本、便捷性的考慮，漸漸把一些業(yè)務(wù)系統或者公司對外網(wǎng)站移到了云平臺上。剛開(kāi)始很多公司應該是由于缺乏技術(shù)人員和IT維護人員，所以選擇了云平臺，覺(jué)得托管的方式，可以省去很多運維的工作。但是，隨著(zhù)等保2.0的到來(lái)，云上系統和網(wǎng)站也需要開(kāi)展等級保護工作了，是否需要進(jìn)行定級備案，需要根據實(shí)際情況而定。因此，云租戶(hù)不要急于開(kāi)展等保工作，先來(lái)弄清這些內容，對你有好處。

首先，弄清楚租用(托管)的云平臺是否通過(guò)了等級保護三級或者四級定級備案。

為什么要弄清楚這個(gè)呢?因為云平臺沒(méi)有備案證明的話(huà)，將影響到該云平臺上的租戶(hù)的信息系統等保備案或者網(wǎng)站等保備案。

依據：

根據《網(wǎng)絡(luò )安全法》的規定，云平臺的等級不可以低于云上租戶(hù)的業(yè)務(wù)應用系統的最高級，并且明確規定“國家關(guān)鍵信息基礎設施(云計算平臺)的安全保護等級不低于三級”。

根據網(wǎng)絡(luò )安全法規定“誰(shuí)運營(yíng)誰(shuí)負責,誰(shuí)使用誰(shuí)負責,誰(shuí)主管誰(shuí)負責”的原則,該系統責任主體還是屬于網(wǎng)絡(luò )運營(yíng)者自己,所以還是得承擔相應的網(wǎng)絡(luò )安全責任,該進(jìn)行系統定級的還是得定級,該做等保的還是得做等保。

因此，在云計算環(huán)境中，將云服務(wù)方側的云計算平臺單獨作為定級對象定級，云租戶(hù)側的等級保護對象作為單獨的定級對象定級。

云租戶(hù)負責對云平臺上承載的租戶(hù)信息系統進(jìn)行定級備案，備案地為工商注冊或實(shí)際經(jīng)營(yíng)所在地。

其次，要弄清楚，目前使用的那種類(lèi)型的云平臺服務(wù)。

弄清楚云平臺服務(wù)類(lèi)型，可以幫助您確定哪些系統需要進(jìn)行等級保護測評，哪些不需要。

系統上云或托管后,并不是安全責任主體轉移,只是系統所在機房地址的變更,當然在公有云模式下,Iaas、Paas、Saas不同模式相應的安全責任會(huì )有些區別,但是并不是沒(méi)有責任。因此，不同模式下的測評內容有一些區別。下圖是針對上述模式提出一些等級保護建設的一些參考，具體情況需要結合具體云服務(wù)商的具體情況而定。

一般情況下，Iaas、Paas模式下租戶(hù)的應用系統需要獨立開(kāi)展等級保護，而Saas模式下租戶(hù)的應用系統是否需要開(kāi)展等級保護需要結合具體情況而定。

最后，就是根據租戶(hù)在云平臺上的系統對照等保定級要求，進(jìn)行自我評估，定級為等保二級以上的需要開(kāi)展等保工作。一般來(lái)說(shuō)，普通的企業(yè)官網(wǎng)(資訊類(lèi)，不涉及在線(xiàn)交易的)一般定級為一級即可，可以自主定級，注重相關(guān)的安全保護就好，無(wú)需進(jìn)行等級保護測評。但是一些具備在線(xiàn)交易，特別是允許第三方在該平臺/網(wǎng)站進(jìn)行在線(xiàn)交易的(如電商、游戲平臺、知識付費平臺)等等根據用戶(hù)量以及數據類(lèi)型，一般定級為二級以上，具體二級，還是三級，需要結合具體信息系統情況分析。一般建議可以先定級為二級。上述內容僅供參考，具體情況還是需要各位按照等保定級標準，依據等保定級申請結果而定。

另外，提醒各位云租戶(hù)哦，等級保護是一個(gè)長(cháng)期工作，目標是為了讓被測評對象能夠動(dòng)態(tài)完善網(wǎng)絡(luò )安全的防護能力，所以二級等保需要每?jì)赡曛辽匍_(kāi)展一次等保測評，三級以上的需要每年開(kāi)展等保測評。因此，等級保護不是首次過(guò)了，就行，還需要持續做網(wǎng)絡(luò )安全工作，定期開(kāi)展等保測評工作。