了解最新等保资讯及等保政策
在云时代,越来越多的公司已经开始使用公有云,有些公司正在从传统的IDC往云上迁,那么在云时代企业如何做等保。
公有云下等保的责任共担模式
对于公有云模式,在安全保障体系的建设上的区别体现在安全建设责任主体的区分。当使用购买云服务模式时,安全建设的责任主体会区分为“云服务商”和“云租户”两部分;而自行建设模式中,并没有“云服务商”的概念存在,安全建设的责任主体是用户自身。
云上做等保是基于公有云系统建设的,在选择云服务商时,选择已经通过等保三级及等保三级以上的云服务商。在包括机房供电、温湿度控制、防风防雨防雷措施等,可直接复用已经通过云服务商的测评结论。
在安全保障体系建设上是“云服务商”和“云租户”共同来承担和建设,“云服务商”确保云服务平台的安全性,“云租户”负责基于“云服务商”提供的服务构建业务应⽤系统的安全。
云等保服务流程
系统定级
1.等保服务单位
协助定级、推荐测评机构
2.云租户
业务系统定级,与等保服务单位签订服务合同
通用等保测评流程
信息系统运营单位按照《网络安全等级保护定级指南》,自行定级。三级以上系统定级结论需进行专家评审。
系统备案
1.等保服务单位:
协助客户完成备案
2.云租户:
提交备案材料
通用等保测评流程
信息系统定级申报获得通过后,30日内到公安机关办理备案手续
建设整改
1.等保服务单位
提供技术方案建议书、协助整改
2.云租户
依据等级保护标准进行安全建设整改
通用等保测评流程
根据等保有关规定和标准,对信息系统进行安全建设整改
等级测评
1.等保服务单位
协助测评
2.云租户
配合测评机构测评,接收报告(项目完结)
通用等保测评流程
信息系统运营单位选择公安部认可的第三方等级测评机构进行测评,提供跨地市的情况下由本地(本省)测评机构交付的等保测评服务。
监督检查(项目后)
1.等保服务单位
技术支持
2.云租户
安全运营、维护,保障日常系统合规
通用等保测评流程
当地网监定期进行监督检查
等保2.0基本要求
安全物理环境
主要包括物理位置选择,物理位置访问控制
安全通信网络&区域边界
主要包括网络架构、边界防护、访问控制、通信传输、入侵防范、安全审计
安全计算环境
主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性和保密性、数据备份恢复
安全管理中心
主要包括系统管理、审计管理、安全管理、集中管控
安全管理制度
主要包括安全策略、安全管理制度与流程规范、人员组织、安全管理基线
结论:云时代企业做等保看似简单,其实在责任划分、云产品采购方面比自行建议更复杂,云产品采购缺少不合规,过多的采购云产品又造成费用的增加,甚至浪费。
上一篇:互联网药品交易软件测评
下一篇:关键信息基础设施的运行安全