云平台和云租户都需要做等保测评。等保针对的是业务的责任主体。你的业务部署在云上并不表示你完全没有了责任,就好比你租用商场的一个店铺一样,出现了安全问题你一样要承担责任,所以在云上和本地都是一样的。等保是针对系统来算的,一个系统做一个测评,主要就是评估你的系统是否合乎安全标准。
在IDC机房要做机房的等保和应用软件的等保,在云上,自然也要做应用软件的等保。云平台本身就要做等保,其次是应用软件做。等保测评不单只针对你的系统层面的。
私有云需要做等保测评不?
私有云环境,根据有关部门要求需要做等保测评。公有云部分, 根据“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,网络运营者成为等级保护的责任主体。因此,云租户也是需要进行等级保护测评的。云服务商只是做云平台的等保测评。所以云租户可以减少一些云服务商已经参与测评的部分。
云等保测评具体测评指标
云计算测评要求主要针对云计算技术和管理中的特殊性提出要求,相对于传统信息系统,测评单元和测评项均有所新增,云计算系统的测评单元与传统信息系统测评单元对照如下表所示,其中加黑的测评单元为云计算系统所特有的测评单元:
云计算测评工作的开展首先要明确测评对象是云服务商还是云租户,对于同一条测评实施内容,针对云服务商与云租户具有不同的含义,部分条款仅适用于云服务商,而部分条款仅适用于云租户。
例如测评实施中:“应检查云服务商的网络边界设备或虚拟化网络边界设备,查看安全保障机制、访问控制规则或访问控制策略等”仅适用于云服务商,而不适用于云租户。
其次,应明确测评的云计算系统的服务模式,根据云计算系统的服务模式进行职责划分。明确测评对象和服务模式后,云计算测评要求的条款就可以进行相应剪裁以适用于不同的云计算系统。根据裁剪后的结果形成作业指导书,从而指导云计算测评工作的实施。
以上就是等保测评小编为大家整理与分享等保测评的那些事!每周、每月都会不断更新一些等保测评方面的知识分享给大家。如果您觉得以上内容对您有帮助,可以点个赞,也可以分享给更多的朋友们。
