云等保合规建设必读

2022-03-21
来源:
在国家层面上,也通过《网络安全法》作为法律依据,明确了企业不做等保的行为就是违法。但是由于不同地区不同企业对等级保护制度的认知程度不同,应对的积极性也不同。于是,企业因网站防护薄弱,相关信息系统网站遭到篡改并发布有害信息等社会新闻屡见不鲜。因为企业网络安全防护不到位所带来的信息泄露、勒索或者系统停用也会给社会和相关用户造成不良影响。此外,企业自身的品牌形象不仅受到损害,还需承担相应执法机关做出的金额罚款。

图片

图片

图片

图片

图片

图片


哪怕同类社会新闻层出不穷,很多企业在享受上云带来的各种便利的同时,依旧没能意识到实施等级保护在自身企业形象、社会及法律层面的重要性,而且还对云等保存在理解误区:
送分题?散财题?

1、误区一:我的系统已经上云了,系统就不用去定级了
2、误区二:我是云租户,云平台的等级跟我没关系
3、误区三:上云,全部安全就由云服务商负责
对于想顺利通过(云)等保大考,完善自身云上系统安全监测及防护能力的企业而言,这几个问题处理得好,就是“关键考点”,处理不好,就是“散财题”,那么(云)等保到底是什么呢?



云等保是什么



云等保不是新鲜事物,而是在安全通用基本要求的基础上新增了云等保拓展要求。云等保对比传统等保而言,定级、备案、建设整改、测评、监督检查等环节都必不可少,云等保总体分为两个部分,技术要求及管理要求。除了物理和环境安全,还有云平台的基础框架安全建设,就是网络和通信安全中的一部分,都是不需要云租户自己建设的,而其它技术要求则需要通过云上安全服务产品进行满足。

在云计算环境中,应将云资源平台作为单独定级对象,云租户侧的等级保护对象也应作为单独的定级对象定级。同时云计算平台安全保护等级,原则上不低于其承载的业务系统的安全保护等级。

在明确完被测系统是云计算平台还是业务应用系统后,上面几个问题就有了清楚的答案:

标准答案!

1、我的系统已经上云了,系统就不用去定级了?
不行,要分开定级,新的定级指南里明确说明,云计算平台和云上的租户应用系统要分开定级。

2、我是云租户,云平台的等级跟我没关系
不对,云平台的等级要不低于云上租户的业务应用系统的***。且明确规定“国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三级”。

3、上云,全部安全就由云服务商负责
不对,云计算环境的安全性由云服务商和租户共同保障。
云计算的设施层(物理环境)、硬件层(物理设备)、资源抽象和控制层都处于云服务商的完全控制下,所有安全责任由云服务商承担。应用软件层、软件平台层、虚拟化计算资源层的安全责任则由双方共同承担,越靠近底层的云计算服务(即IaaS),云服务商的管理和安全责任越大;反之,云租户的管理和安全责任越大。


等保测评
阅读原文
阅读20
分享