按照等保2.0定级指南要求,明确指出云上用户应用系统和云服务商云计算平台部分要分别作为单独的定级对象,也就是说云上用户自己的应用系统也要单独进行等保测评 。同时,云等保2.0测评要求的最新变化,测评结论从原有等保1.0时代的“符合、基本符合、不符合”变成现在的“优、良、中、差”,低于70分就是差,70分以上才算基本符合要求,因此及格分数调高了,测评要求也更严格了。对于用户来说想要拿到“优”,必须同时满足以下三个条件:
1、选择的云平台等级测评结论为优;
2、业务应用系统存在的问题中无中、高风险项;
3、得分高于90分(含90分)。
也就是说,用户的等保测评结论与云平台绑定,只有选择测评结论为“优”的云平台,用户才有可能拿到“优”。
一、公有云承载客户的业务系统的安全边界在哪里?
用户使用了公有云后,存在安全责任的边界。就像客户使用了云桌面,中病毒、删除驱动造成无法登陆等问题出现, 都会联系到云服务商进行处理。安全责任边界的清晰,将使云等保测评中,双方对维护、投资、整改、测评的边界有明确的界定。
客户主要责任:云上的业务合规性、应用安全性。云服务商主要责任: 业务合规、背景可信、资质齐全,保障基础设施安全、云服务安全,提供云服务安全功能、云安全服务。
二、公有云在“技术要求”部分,提供哪些防护能力供用户选择?
针对等保在系统、网络、应用、数据、管理安全方面的要求,云提供了相应的安全产品和服务来满足。