现在很多公司为了成本和方便,逐渐把一些业务系统或者外部网站迁移到云平台上。一开始很多公司选择云平台是因为缺乏技术人员和IT维护人员,觉得托管可以省去很多运维工作。然而,随着平等保护2.0的到来,云系统和网站也需要分级保护。是否需要等级备案,需要根据实际情况确定。所以云租户不要急于进行维护工作。你先把这些内容搞清楚,是有好处的。
先弄清楚租用的云平台是否通过了二级或三级保护的分类记录。
你为什么想弄清楚这件事?如果云平台没有备案证明,会影响租户在云平台上的信息系统安全记录或网站安全记录。
基础:
根据网络安全法,云平台的等级不能低于云上租户业务应用系统的最高等级,并明确规定“国家关键信息”基础设施的安全“保护等级不得低于三级”。
根据《网络安全法》规定的“谁运营谁负责,谁使用谁负责,谁使用谁负责”的原则,系统的责任主体仍属于网络运营者本人,因此仍需承担相应的网络安全责任。该评的要评,该保的要保。
因此,在云计算环境下,云服务侧的云计算平台作为单独的分级对象进行分级,云租户侧的分级保护对象作为单独的分级对象进行分级。
租户负责对云平台承载的租户信息系统进行分级备案,备案地点为工商登记或实际经营场所。
其次,弄清楚你目前使用的是什么类型的云平台服务。
了解云平台服务的类型可以帮助您确定哪些系统需要评估分级保护,哪些不需要。
系统上云或托管后,不是安全责任主体的转移,而是系统所在机房地址的变更。当然,在公有云模式下,Iaas、Paas、Saas不同模式下对应的安全责任会有一些差异,但也不是没有责任。因此,不同模式下的评价内容有所不同。下图是以上型号的局部防护等级构造的一些参考。具体情况需要结合具体云服务商的具体情况来确定。一般来说,Iaas和Paas模式下的租户应用系统需要独立的分级保护,而Saas模式下的租户应用系统是否需要分级保护要看具体情况。
最后根据云平台上租户的系统对比,进行自我评估,只有被评为2级以上的才会这么做。一般来说,普通企业的官网一般评级为一级,可以独立评级。只需要关注相关的安全防护即可,不需要等级防护评价。但也有一些网上交易,尤其是允许第三方在平台/网站上进行网上交易等。根据用户数量和数据类型,一般评级为二级以上。二级,也就是三级,需要结合具体的信息系统情况来分析。一般建议先上2级。以上内容仅供参考。具体情况需要根据分级标准和分级申请结果确定。
此外,艺林提醒所有云租户,分级保护是一项长期任务。目标是使被评估对象能够动态提高网络安全防护能力。因此,二级保护至少需要每两年评估一次。等级及以上应接受年度安全等级评估。所以不是第一次等级保护过了,没问题。要继续做好网络安全工作,定期进行安全评估。
你可以去xinnnetlabs.cn的网站了解多保托管的相关业务。
