等级保护建设新思路

一、什么是等保托管

等保托管是等保整改建设可以选择的一种方式。目前等保整改建设有三种方式：

1、自建：等保整改自建的方式适合于拥有自己数据中心的用户，按照《网络安全等级保护基本要求》，完成技术部分和管理部分的合规。

2、选择云上安全服务：通过购买云服务商的云上解决方案，通常需要包括云基础资源和云安全资源两部分。

3、等保托管：用户选择专业、合规的IDC服务商，通过IDC服务商提供的等保托管环境，托管自有服务器。通常包含了基础运维服务，一些专业提供等保托管的服务商还提供了等保管理运维服务

*表示价格或难度，越少越好

二、等保托管的其他优势

1、数据的完整安全防护方案

通过多年信息安全等级保护项目建设经验和实践积累，提供等保托管服务的企业大部分从中总结了等保对主机操作系统的所有安全要求，针对操作系统的结构安全、访问控制、网络设备防护、安全审计、入侵防范、资源控制和信息保护预置了安全防护策略，定制并生成了专用的等保建设供系统镜像直接使用，支持Windows及主流的Linux版本，减少了后期的等保整改工作量 。

2、缩短等保建设整改周期

等保托管一般都拥有满足三级等保要求的云web防火墙、VPN、入侵防御、病毒过滤网关、网络行为与内容审计等安全组件，为业务系统提供从接入、传输、网络到应用。

3、专业一体化的等保建设服务

等保建设过程涉及定级、备案、整改、测评、检查五个阶段及建设单位、公安机关、测评机构、咨询服务商、产品服务商等多个角色，通过与当地的测评机构及等保咨询服务商合作，等保托管单位为企业提供一体化的等保建设服务，协助企业完成相应的流程、提供业务整改与建设方案、为业务托管与运维提供全程的服务。

三、如何选择等保托管的服务商

首先，等保托管不是简单的服务器托管，因此除要求托管服务商具有IDC专业资质以外，还需要具有网络安全服务的能力，需要具有风险评估、建设整改等相关资质，如果是管理体系通过了ISO27001、ISO20000的服务商，则对用户的信息安全更有保障。

其次，要注意等保托管服务商提供的服务内容，等保建设包括管理要求和技术要求两方面，一部分等保托管服务商仅能提供技术要求部分，不能提供管理要求的部分。同时，还要注意是否包含定级、备案等服务内容。客户可以在这个部分，要求等保服务商提供相关的业务模板和案例。

最后，特别需要注意就是，要评估托管服务商的托管环境是否通过等保评测，评测等级是多少？根据相关国家要求，等保托管的环境等级不能高于自身等保评测等级。也就是说，如果服务商的等保托管环境是3级，就不能提供4级的等保托管。客户可以通过看服务商的等保备案证明，明确服务商的等保托管等级。