现在很多公司基于成本、便捷性的考虑,渐渐把一些业务系统或者公司对外网站移到了云平台上。刚开始很多公司应该是由于缺乏技术人员和IT维护人员,所以选择了云平台,觉得托管的方式,可以省去很多运维的工作。但是,随着等保2.0的到来,云上系统和网站也需要开展等级保护工作了,是否需要进行定级备案,需要根据实际情况而定。因此,云租户不要急于开展等保工作,先来弄清这些内容,对你有好处。
首先,弄清楚租用(托管)的云平台是否通过了等级保护三级或者四级定级备案。
为什么要弄清楚这个呢?因为云平台没有备案证明的话,将影响到该云平台上的租户的信息系统等保备案或者网站等保备案。
依据:
根据《网络安全法》的规定,云平台的等级不可以低于云上租户的业务应用系统的最高级,并且明确规定“国家关键信息基础设施(云计算平台)的安全保护等级不低于三级”。
根据网络安全法规定“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
因此,在云计算环境中,将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象作为单独的定级对象定级。
云租户负责对云平台上承载的租户信息系统进行定级备案,备案地为工商注册或实际经营所在地。
其次,要弄清楚,目前使用的那种类型的云平台服务。
弄清楚云平台服务类型,可以帮助您确定哪些系统需要进行等级保护测评,哪些不需要。
一般情况下,Iaas、Paas模式下租户的应用系统需要独立开展等级保护,而Saas模式下租户的应用系统是否需要开展等级保护需要结合具体情况而定。
最后,就是根据租户在云平台上的系统对照等保定级要求,进行自我评估,定级为等保二级以上的需要开展等保工作。
另外,提醒各位云租户哦,等级保护是一个长期工作,目标是为了让被测评对象能够动态完善网络安全的防护能力,所以二级等保需要每两年至少开展一次等保测评,三级以上的需要每年开展等保测评。因此,等级保护不是首次过了,就行,还需要持续做网络安全工作,定期开展等保测评工作。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。
