布署到云端是不是必须做等保测评?依云服务平台和云租赁户都必须做等保测评,由于等保衡量的是业务的责任主体,业务布署在云上并不表明彻底没义务,例如如果你租赁大型商场的一个店面,发生了安全隐患,你一样要担负对应的义务,因此在云上和当地都必须做等保测评的。一般来说,等保是根据系统软件来计算的,一个系统软件做一个评测,关键目的是为了更好地评定你的平台是不是符合检测标准。 实际上,上云过等保,是企业的必然趋势。由于云端过等保更划算,节省时。等保评测并不是一个容易的验证,反而是多方位的技术性验证,说成一个大的工程项目也不算过。如上图所述所显示,等保2.0的产品规定,包含技术标准和管理方法规定一共约200个评测项,就是要检验包含物理机房环境,网络通信环境,边界环境,测算环境,管理方法及管理制度这些。在其中物理学环境(机房)针对绝大部分企业而言,一般便是个简易的屋子加好多个简易的服务器机柜,压根沒有依照机房建设标准去基本建设,“风火雷电水尘”一样也不合格。甚至有,工程建筑自身也不适合做为机房。这也就是为什么有10%的评测新项目烂尾楼的首要缘故。 云过等保就彻底无需有关机房环境的现象了,由于云服务平台自身早已通过了三级等保评测。物理环境早已合格。因而在评测时,只需给予云平台服务商过等保的报告就可以了。云服务平台服务提供商早已帮企业顾客解决了机房的难题,企业顾客只需关心云端系统软件的服务器安全性,网络安全及运用安全性就可以。与此同时云服务提供商都给予了过等保必须配对的安全性SaaS服务项目,只需租赁服务项目就可以。针对企业而言,极大地减少了过等保的难度系数,门坎和成本费,减少了工程的時间,给企业缓解了压力。 对于公有云模式,在安全保障体系的建设上的区别体现在安全建设责任主体的区分。当使用购买云服务模式时,安全建设的责任主体会区分为“云服务商”和“云租户”两部分;而自行建设模式中,并没有“云服务商”的概念存在,安全建设的责任主体是用户自身。 云上做等保是基于公有云系统建设的,在选择云服务商时,选择已经通过等保三级及等保三级以上的云服务商。在包括机房供电、温湿度控制、防风防雨防雷措施等,可直接复用已经通过云服务商的测评结论。 在安全保障体系建设上是“云服务商”和“云租户”共同来承担和建设,“云服务商”确保云服务平台的安全性,“云租户”负责基于“云服务商”提供的服务构建业务应⽤系统的安全。 云等保服务流程 系统定级:等保服务单位,协助定级、推荐测评机构 云租户:业务系统定级,与等保服务单位签订服务合同 通用等保测评流程:信息系统运营单位按照《网络安全等级保护定级指南》,自行定级。三级以上系统定级结论需进行专家评审。 系统备案:等保服务单位:协助客户完成备案 云租户:提交备案材料,通用等保测评流程,信息系统定级申报获得通过后,30日内到公安机关办理备案手续 建设整改:等保服务单位,提供技术方案建议书、协助整改 云租户:依据等级保护标准进行安全建设整改,通用等保测评流程,根据等保有关规定和标准,对信息系统进行安全建设整改 等级测评:等保服务单位,协助测评 云租户:配合测评机构测评,接收报告(项目完结)通用等保测评流程 信息系统运营单位选择公安部认可的第三方等级测评机构进行测评,提供跨地市的情况下由本地(本省)测评机构交付的等保测评服务。 监督检查(项目后):等保服务单位,技术支持 云租户:安全运营、维护,保障日常系统合规,通用等保测评流程,当地网监定期进行监督检查