系统部署在阿里云上,也需要做等保。不过相比线下做等保,部署在阿里云上的系统过等保要更简单也更快捷。今天这篇文章就给大家分享一下部署在阿里云上的系统怎么做等保。
一、部署在阿里云的系统,如何做等保备案?
先定级再备案,系统定级仍然是根据《定级指南》。确定信息系统等级以后,就可以准备材料到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。第三级以上信息系统需提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
备案材料准备好以后,要提交到哪个公安机关进行备案呢?答:由于上云的系统部署在各类云平台上面,但云平台的实际物理地址又往往和云系统网络运营者不在同一地址,企业/机构往往不知道去哪里进行定级备案。不过,从方便属地公安机关监管的角度出发,企业/机构应该在系统实际运维团队所在地市的网安部门进行系统备案。
二、部署在阿里云的系统,如何通过等级测评?
备案成功之后,就可以着手准备信息系统的测评和整改工作。测评步骤和线下系统的测评要求没什么两样,但需要注意的是,云上过等保,云服务商和云服务客户拥有不同控制范围,其安全责任边界不同。具体来说,如果企业的系统部署在某个云平台上,那么涉及云平台侧的相关要求,客户就不用再单独测评,可以直接引用该平台的测评结论,所以更加简单。可以引用的测评结论包括物理和环境安全以及部分网络和通信安全、安全管理等。
在这一步,企业根据公安机关推荐的测评机构名单挑选合适的测评机构来给自己的信息系统做测评即可。测评机构测评结束之后,会出具测评报告,如果测评通过,企业将测评报告提交公安机关进行备份,就算是落实了这一次的等级保护。如果测评发现信息系统有安全问题,不符合等保要求,企业的技术人员就需要对这些问题进行整改,然后重新测评,直至测评通过。当然,企业也可以委托第三方专业等保整改机构来做,比如我们。
三、部署在云上的系统做等保和线下系统做等保有什么区别?
答案:无论系统在云上还是线下,都要做等保,但云上过等保更容易。
1. 极大降低等保成本
如果客户选择线下过等保,很容易遇到一个麻烦的事情——由于线下机房用了很多年,设备老旧,当客户进行等级测评的时候,就会因为机房不达标而一直通过不了,白花测评费。为了解决这个问题,客户必须花大价钱购买设备,成本就会非常高,甚至要花一两百万。同时由于要更换的设备多,会导致等保整改周期特别长,耗费很多不必要的时间。
但如果客户选择云上过等保,由于云平台已经通过等保认证,客户在进行等级测评的时候,就不需要再考虑线下机房这一块的情况,可以直接采用云平台的等保证明,就会省去很大一部分的时间和成本。根据等保专家做过的等保案例,选择云上过等保的客户,能比选择线下过等保的客户节约十分之九的成本。
2. 省心省时间:云平台侧标准无需再考虑
虽然根据等保2.0相关规定,“谁主管谁负责、谁运营谁负责、谁使用谁负责”,云服务客户也必须要进行等保测评。但是云上过等保,企业需要测评的项目会减少,自然能更快通过。以部署在阿里云的系统为例,阿里云采用的是“云上系统合规责任共担”机制,租户的云上系统等保合规由客户负责,阿里云负责的是云平台等保合规。由于阿里云已经通过云计算安全等级保护三级测评,在具体的云上应用等级保护合规和测评中,涉及阿里云平台侧的相关要求不再进行单独测评,可以直接引用阿里云平台的测评结论,可以引用的测评结论包括物理和环境安全以及部分网络和通信安全、安全管理等。
换句话说,虽然企业/机构还是得按照要求给自己的云上系统做等保,但作为云租户,从IaaS到PaaS再到SaaS模式,企业/机构所需要承担的责任是越来越少的。
阿里云等保现状 | |
2016年9月,阿里云通过新的云计算安全等级保护三级要求的测评,是国内首个通过国家权威机构依据云等保要求联合测评的公共云服务平台。按照新的云等保要求和监管部门的意见,在具体的云上应用等级保护合规和测评中,涉及阿里云平台侧的相关要求不再进行单独测评,客户无需再关注物理环境和网络环境,可以直接引用阿里云平台的测评结论。 | |
阿里云将提供材料 协助租户云上系统通过等保测评 | 阿里云等保备案证明 |
阿里云测评报告封面及结论页 | |
阿里云安全产品销售许可证(公安部) |
四、部署在云平台的系统可以找谁做等级保护?
在详细整理国家相关等保规范的基础上,我们整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,竭诚为企业提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段。无论是定级备案,还是测评整改,我们都能协助企业快速合规落实等级保护工作。
而在云上过等保这一块,作为阿里云战略级合作伙伴,我们也能快速满足企业的需求。如果涉及到云上安全设备的购买,我们还能为企业争取更多折扣。