业务上云后的等保注意事项

如今，很多公司出于成本和便利性的考虑，逐渐将一些业务系统或公司外部网站迁移到了云平台上。一开始，很多公司因为缺乏技术人员和IT维护人员而选择了云平台，觉得托管方式可以省去很多运维工作。但是，随着平等保护2.0的到来，云端系统和网站也需要进行等级保护工作。是否需要进行等级备案，需要根据实际情况确定。因此，云租户不应急于进行维护工作。你先把这些内容说清楚是有好处的。

首先，查明租用（托管）云平台是否通过了二级或三级等级保护的分类记录。

你为什么要弄清楚这个？因为如果云平台没有备案证书，会影响租户在云平台上的信息系统安全记录或者网站安全记录。

基础：

根据《网络安全法》，云平台的级别不能低于云上租户业务应用系统的最高级别，并明确规定“国家关键信息的安全”基础设施（云计算平台）“保护等级不得低于三级”。

根据《网络安全法》规定的“谁操作谁负责、谁使用谁负责、谁负责”的原则，该系统的责任主体仍属于网络运营者本人，因此仍需承担相应的网络安全责任。被评级的还是要被评级的，应该保证的还是应该保证的。

因此，在云计算环境下，将云服务侧的云计算平台作为单独的定级对象进行定级，将云租户侧的等级保护对象作为单独的定级对象进行定级。

云租户负责对云平台承载的租户信息系统进行定级备案，备案地为工商注册地或实际经营地。

其次，弄清楚你目前使用的是什么类型的云平台服务。

了解云平台服务的类型可以帮助您确定哪些系统需要进行定级保护评估，哪些不需要。

系统上云或托管后，并不是安全责任主体的转移，而是系统所在机房地址的变化。当然，在公有云模式下，Iaas、Paas、Saas不同模式下相应的安全责任会有有些分歧，但并非没有责任。因此，不同模式下的评价内容存在一定差异。下图是对以上机型的部分防护等级构建的一些参考。具体情况需要结合具体云服务提供商的具体情况来确定。一般情况下，Iaas和Paas模式下的租户应用系统需要独立定级保护，而Saas模式下的租户应用系统是否需要定级保护则视具体情况而定。

最后根据租户在云平台上的系统比对，进行自我评估，需要被评为2级以上的才会进行。一般而言，普通企业官网（信息类，不涉及网上交易）一般评级为1级，可独立评级，注意相关安全防护即可，无需进行等级保护评估。但也有一些有网上交易的，特别是允许第三方在平台/网站（如电商、游戏平台、知识支付平台）等上进行网上交易的，根据用户数量和数据类型，一般被评为二级以上。 Level 2，也就是Level 3，需要结合具体的信息系统情况进行分析。一般建议先评分为2级。以上内容仅供参考。具体情况还需根据定级标准和定级申请结果来确定。

此外，亿林提醒所有云租户，等级保护是一项长期任务。目标是使被评估对象能够动态提高网络安全防护能力。因此，二级保护需要至少每两年评估一次。等级及以上需每年进行安全等级考核。所以，等级保护通过也不是第一次了，还好。要继续做好网络安全工作，定期进行安全评估。