信息系统托管云端后还做等保吗？

我们见证了一种新经济动力的彻底爆发，那就是云计算。云计算指的是把运算和信息放置在云端，节省能耗和成本的同时提升沟通与产业效率。

相比于本地服务云端服务似乎更安全更便捷，越来越多的企业用户开始托管自己的服务器，但这其中还存在这样一个问题：信息系统托管在了云端，还要不要做等保测评呢？

等保说“谁主管谁负责、谁运营谁负责、谁使用谁负责”，托管完之后自认为终于把包袱扔出去了，省了很多事，不用再担心系统出问题了，出了问题也不是自己的事。这其中还有没理清的问题。

云定级对象一般包括两部分：

一是云平台本身，像我们各地市政府搞的政务云平台；行业客户搞的云平台，税务云，国土云之类；阿里云平台；电信的云平台；这几种平台需要平台运营方对这个平台单独进行定级备案、单独进行等保测评；

二是云租户信息系统，比如某政府单位的门户网站系统，它迁移到市政务云平台后，还是需要该单位对这个门户网站独立定级备案，进行等保测评。当然涉及云平台端的内容可以不重复测评，测评结论直接引用即可，前提是建立在这个平台做了等保。

最后一些云平台需要注意的事项：

同一云平台可以承载不同等级的信息系统，但云平台的安全保护等级不能低于所承载信息系统的安全保护等级，通俗点就是：安全保护等级为2级的云平台不能承载3级信息系统，3级云平台不能承载4级系统，这是云等保的基本要求。

我们在某地级市就曾遇到过一个地级市的电子政务云平台定成二级，全市很多政府单位的信息系统都放在那，这么大的一个平台运营方就定二级，你们不担心吗？公安也和他们提出过需要定到三级，最终还是定到二级，测评的结果最终也是不符合，当然后来的高风险问题改了，如果再测应该是可以基本符合了。

这个里面就存在很大的风险：

一、系统定级不合理，定级过低；

二、存在安全隐患，公安也是告知你们定级过低，你们还没改正，最好不要出问题，出了问题对照2015年11月的刑法修正案（九），

第二百八十六条：

“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。

下列情形大体就是信息泄露，违法信息传播等造成严重后果的；自己对照看看，应该怎么追究你的责任。

三、置把信息系统托管在你这边的用户单位的安全不顾，你的平台都不安全，防护能力不够，你们保证他们的信息系统安全吗？所以啊，安全来不得半点马虎，半点松懈，你不履行好，落实好，主管单位来找你，用户来找你，法律来找你。