前日,各地相关部门下发开展网络安全监督检查工作的通知,明确提出了对各单位完成等保工作的要求。国家层面更是不断修订网络安全等级保护的相关法律法规,对于网络安全等级保护制度施行力度愈来愈大,一再强调:企业不做等保等于违法。
2017年6月1日起施行的《网络安全法》第21条明确要求,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。
根据2021年6月10日通过的《数据安全法》第二十七规定:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
中联信科有接收到有很多客户的疑问:相关部门下发给我们网络安全等级保护工作的通知,可我们的系统都部署在云计算平台上,也要做等保吗?怎么给云计算平台上的系统做等保?
误区一:我们系统在云平台上,我们作为云系统租户不用做等保了
误区二:我是云租户,云平台的等级跟我没关系
误区三:上云,全部安全就由云服务商负责
事实上,这几个问题本质还是云等保是什么、云等保怎么做的问题。
云等保是什么
根据《信息安全技术网络安全等级保护定级指南》的规定,网络安全等级保护工作的作用对象,主要包括基础信息网络、信息系统(例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统)和大数据等。
《定级指南》中对云计算平台明确要求:
在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。
对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
云等保的工作流程也和传统等保工作流程一致:定级、备案、建设整改、测评、监督检查等环节是必不可少的;云等保总地来说分成两个部分,技术要求及管理要求。
其中,技术要求中的安全物理环境、包括在安全通信网络中的云平台的基础框架安全建设这些部分不需要云租户自己建设的,而其它技术要求则需要通过云上安全服务产品进行满足。
在云计算环境中,应将云资源平台作为单独定级对象,云租户侧的等级保护对象也应作为单独的定级对象定级。同时云计算平台安全保护等级,原则上不低于其承载的业务系统的安全保护等级。
在明确完被测系统是云计算平台还是业务应用系统后,上面几个问题就有了清楚的答案:
标准答案!
1、我的系统已经上云了,系统就不用去定级了?
不行,要分开定级,新的定级指南里明确说明,云计算平台和云上的租户应用系统要分开定级。
2、我是云租户,云平台的等级跟我没关系
不对,云平台的等级要不低于云上租户的业务应用系统的最高级。且明确规定“国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三级”。
3、上云,全部安全就由云服务商负责
不对,云计算环境的安全性由云服务商和租户共同保障。
云计算的设施层(物理环境)、硬件层(物理设备)、资源抽象和控制层都处于云服务商的完全控制下,所有安全责任由云服务商承担。应用软件层、软件平台层、虚拟化计算资源层的安全责任则由双方共同承担,越靠近底层的云计算服务(即IaaS),云服务商的管理和安全责任越大;反之,云租户的管理和安全责任越大。
咨询热线
010-85377344
135-21581588
微信客服
QQ客服
3026106565 点击咨询