等保资讯

在云时代，越来越多的公司已经开始使用公有云，有些公司正在从传统的IDC往云上迁，那么在云时代企业如何做等保。

公有云下等保的责任共担模式

对于公有云模式，在安全保障体系的建设上的区别体现在安全建设责任主体的区分。当使用购买云服务模式时，安全建设的责任主体会区分为“云服务商”和“云租户”两部分；而自行建设模式中，并没有“云服务商”的概念存在，安全建设的责任主体是用户自身。

云上做等保是基于公有云系统建设的，在选择云服务商时，选择已经通过等保三级及等保三级以上的云服务商。在包括机房供电、温湿度控制、防风防雨防雷措施等，可直接复用已经通过云服务商的测评结论。

在安全保障体系建设上是“云服务商”和“云租户”共同来承担和建设，“云服务商”确保云服务平台的安全性，“云租户”负责基于“云服务商”提供的服务构建业务应⽤系统的安全。

云等保服务流程

系统定级

1.等保服务单位

协助定级、推荐测评机构

2.云租户

业务系统定级，与等保服务单位签订服务合同

通用等保测评流程

信息系统运营单位按照《网络安全等级保护定级指南》，自行定级。三级以上系统定级结论需进行专家评审。

系统备案

1.等保服务单位：

协助客户完成备案

2.云租户：

提交备案材料

通用等保测评流程

信息系统定级申报获得通过后，30日内到公安机关办理备案手续

建设整改

1.等保服务单位

提供技术方案建议书、协助整改

2.云租户

依据等级保护标准进行安全建设整改

通用等保测评流程

根据等保有关规定和标准，对信息系统进行安全建设整改

等级测评

1.等保服务单位

协助测评

2.云租户

配合测评机构测评，接收报告（项目完结）

通用等保测评流程

信息系统运营单位选择公安部认可的第三方等级测评机构进行测评，提供跨地市的情况下由本地（本省）测评机构交付的等保测评服务。

监督检查(项目后)

1.等保服务单位

技术支持

2.云租户

安全运营、维护，保障日常系统合规

通用等保测评流程

当地网监定期进行监督检查

等保2.0基本要求

 安全物理环境

主要包括物理位置选择，物理位置访问控制

安全通信网络&区域边界

主要包括网络架构、边界防护、访问控制、通信传输、入侵防范、安全审计

安全计算环境

主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性和保密性、数据备份恢复

安全管理中心

主要包括系统管理、审计管理、安全管理、集中管控

安全管理制度

主要包括安全策略、安全管理制度与流程规范、人员组织、安全管理基线

结论：云时代企业做等保看似简单，其实在责任划分、云产品采购方面比自行建议更复杂，云产品采购缺少不合规，过多的采购云产品又造成费用的增加，甚至浪费。