品牌华清信安
产地北京
服务对象全国用户
是否定制是
服务全流程服务
如何开展等级保护工作?
依据等保2.0,在对公有云环境下开展等级保护工作应遵循如下原则:
(1)应确保云计算平台不承载**其安全保护等级的业务应用系统。
(2)应确保云计算基础设施位于中国境内。
(3)云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定。
(4)云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。
公有云开展等级保护一般分为两个部分:
(1)是云平台本身,在等保2.0里面明确提出:对于公有云定级流程为云平台先定级测评,再提供云服务。
(2)是云租户信息系统,比如单位门户网站系统,在迁入公有云平台后,还需要对这个门户网站独立定级备案、进行等保测评。其中,涉及云平台部分的内容可以不重复测评,测评结论直接引用即可。
不同云计算服务模式需要采取不同职责划分方式:
(1)对于IaaS(基础设施即服务)模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用数据。
(2)对于PaaS(平台即服务)模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职责范围为应用和数据。
(3)对于SaaS(软件即服务)模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。
哪些单位或机构需要落实等级保护制度?
依据《网络安全法》,在*共和国境内建设、运营、维护和使用的网络都必须落实网络安全等级保护制度。
也就是说,无论网络运营者的单位性质是机关,还是事业单位,或者是互联网企业;无论网络的形态是通信网络设施,还是云计算平台、工业控制系统或者是采用移动互联技术的信息系统;也不论是一般信息系统,或者是重要的关键信息基础设施,只要是境内的网络都必须开展等级保护工作(个人及家庭自建自用的网络除外)。
关于等级保护怎么办理欢迎咨询我们在线客服!
等级保护定义和工作内容:
定义:等级保护也叫信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
工作内容:信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
关于等级保护怎么办理欢迎咨询我们在线客服!
等保2.0测评:
信息安全等级保护是国家信息安全**工作的基本制度、基本策略、基本方法。在我国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上称为的一般指信息系统安全等级保护,是指对、法人和其他组织及公民的专有信息以及息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。
经过多年的实践,等级保护由1.0正式进入2.0时代。等级保护2.0相对1.0除了增加了一些保护范围之外,就是对1.0的一些标准进行了改进,让每一条规定都更合理化,人性化。
等保2.0中取消了“自主定级、自主保护”的定级原则,采取*评审, 主管部门审核的定级方式。修改后的定级工作包括5个环节:确定定级对象——初步定级——*评审——主管部门审核——公安机关备案审查。
也就是说,二级及二级以上所有系统定级必须经过*评审和主管部门审核,才能到公安机关备案。有行业主管部门的,应当在评审后报请主管部门核准;跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。
-/gbagefh/-
http://bjhqsec.b2b168.com
