云等保该如何做-等保测评-信息安全等级保护资讯网

等保测评

等保测评您的位置：首页>等保测评 >

云等保该如何做

时间：2021-09-03阅读量：2073来源：安徽等级保护网关键词：云等保 返回列表

在云时代，越来越多的公司已经开始使用公有云，有些公司正在从传统的IDC往云上迁，那么在云时代企业如何做等保。

公有云下等保的责任共担模式

对于公有云模式，在安全保障体系的建设上的区别体现在安全建设责任主体的区分。当使用购买云服务模式时，安全建设的责任主体会区分为“云服务商”和“云租户”两部分；而自行建设模式中，并没有“云服务商”的概念存在，安全建设的责任主体是用户自身。

云上做等保是基于公有云系统建设的，在选择云服务商时，选择已经通过等保三级及等保三级以上的云服务商。在包括机房供电、温湿度控制、防风防雨防雷措施等，可直接复用已经通过云服务商的测评结论。

在安全保障体系建设上是“云服务商”和“云租户”共同来承担和建设，“云服务商”确保云服务平台的安全性，“云租户”负责基于“云服务商”提供的服务构建业务应⽤系统的安全。

对于云环境下业务系统建设的责任划分如下表所示：

层面	安全要求	安全组件	责任主体
物理和环境安全	物理位置选择	数据中心及物理设施	云服务方
网络和通信安全	网络结构、访问控制、远程访问、入侵防范、安全审计	物理网络及附属设备、虚拟网络管理平台	云服务方
网络和通信安全	网络结构、访问控制、远程访问、入侵防范、安全审计	云租户虚拟网络安全域	云租户
设备和计算安全	身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护	物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像等	云服务方
设备和计算安全	身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护	云租户虚拟网络设备、虚拟安全设备、虚拟机等	云租户
应用和数据安全	安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复	云管理平台（含运维和运营）、镜像、快照等	云服务方
应用和数据安全	安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复	云租户应用系统及相关软件组件、云租户应用系统配置、云租户业务相关数据等	云租户
安全策略和管理制度	授权和审批	授权和审批流程、文档等	云租户
安全管理机构和人员	授权和审批	授权和审批流程、文档等	云租户
系统安全建设管理	安全方案设计、测试验收、云服务商选择、供应链管理	云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息	云租户
系统安全建设管理	安全方案设计、测试验收、云服务商选择、供应链管理	云服务商选择及管理流程	云租户
系统安全运维管理	监控和审计管理	监控和审计管理的相关流程、策略和数据	云租户

云等保服务流程

系统定级

1.等保服务单位

协助定级、推荐测评机构

2.云租户

业务系统定级，与等保服务单位签订服务合同

通用等保测评流程

信息系统运营单位按照《网络安全等级保护定级指南》，自行定级。三级以上系统定级结论需进行专家评审。

系统备案

1.等保服务单位：

协助客户完成备案

2.云租户：

提交备案材料

通用等保测评流程

信息系统定级申报获得通过后，30日内到公安机关办理备案手续

建设整改

1.等保服务单位

提供技术方案建议书、协助整改

2.云租户

依据等级保护标准进行安全建设整改

通用等保测评流程

根据等保有关规定和标准，对信息系统进行安全建设整改

等级测评

1.等保服务单位

协助测评

2.云租户

配合测评机构测评，接收报告（项目完结）

通用等保测评流程

信息系统运营单位选择公安部认可的第三方等级测评机构进行测评，提供跨地市的情况下由本地（本省）测评机构交付的等保测评服务。

监督检查(项目后)

1.等保服务单位

技术支持

2.云租户

安全运营、维护，保障日常系统合规

通用等保测评流程

当地网监定期进行监督检查

等保2.0基本要求

安全物理环境

主要包括物理位置选择，物理位置访问控制

安全通信网络&区域边界

主要包括网络架构、边界防护、访问控制、通信传输、入侵防范、安全审计

安全计算环境

主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性和保密性、数据备份恢复

安全管理中心

主要包括系统管理、审计管理、安全管理、集中管控

安全管理制度

主要包括安全策略、安全管理制度与流程规范、人员组织、安全管理基线

结论：云时代企业做等保看似简单，其实在责任划分、云产品采购方面比自行建议更复杂，云产品采购缺少不合规，过多的采购云产品又造成费用的增加，甚至浪费。

上一篇：等级测评报告模板最新等保测评标准内容 下一篇：等保测评2.0：应用的数据完整性