公有云如何做等級(jí)保護(hù)
一、信息安全等級(jí)保護(hù)的范圍:理論上有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的系統(tǒng)都要做分等級(jí)安全保護(hù)。沒(méi)有系統(tǒng)理論上不需要做等級(jí)保護(hù)。二、做等級(jí)保護(hù)的意義:1、通過(guò)等級(jí)保護(hù)的評(píng)測(cè)、整改工作進(jìn)行系統(tǒng)加固。2、避免后期系統(tǒng)運(yùn)營(yíng)過(guò)程中的信息安全事件發(fā)生。
3、滿足國(guó)家相關(guān)法律法規(guī)的要求。如《網(wǎng)絡(luò)安全法》
4、滿足相關(guān)主管單位和行業(yè)的要求。這條是很多醫(yī)療、金融機(jī)構(gòu)取得更高認(rèn)證的前置條件。三、不做等級(jí)保護(hù)的后果:由主管單位進(jìn)行警告;如果不整改或不做等保而發(fā)生安全事故的則直接進(jìn)行罰款。四、等級(jí)保護(hù)的分類:
等級(jí)保護(hù)分為五級(jí)。一般在實(shí)踐中常見(jiàn)為二級(jí)、三級(jí)。四級(jí)一般是金融重要業(yè)務(wù)系統(tǒng)的要求。等保測(cè)評(píng)以信息系統(tǒng)為測(cè)評(píng)整體,并非按照單位去做。
如醫(yī)院:醫(yī)院外網(wǎng)/辦公網(wǎng)承載OA,網(wǎng)站,mail等二級(jí)信息系統(tǒng)醫(yī)院內(nèi)網(wǎng)/業(yè)務(wù)網(wǎng)承載HIS,LIS,PACS等三級(jí)信息系統(tǒng) 其中,二級(jí)系統(tǒng)部分行業(yè)要求每?jī)赡隃y(cè)評(píng)一次,三級(jí)系統(tǒng)要求每年測(cè)評(píng)一次,四級(jí)系統(tǒng)每半年測(cè)評(píng)一次。五、等級(jí)保護(hù)(2.0 云等保)的要求:云等??傮w分為兩個(gè)部分,技術(shù)要求、管理要求。其中云服務(wù)商主要協(xié)助完成“技術(shù)要求”。物理和環(huán)境安全可以復(fù)用云平臺(tái)自身的安全檢測(cè)結(jié)果,而其它技術(shù)要求則需要疊加云上的安全服務(wù)產(chǎn)品進(jìn)行滿足。