云上企业在进行等级保护(简称等保)时,需要遵循一系列特殊要求,这些要求主要涉及到云服务的安全性、合规性以及数据保护等方面。以下是一些关键点:
-
云服务模式的选择:云上企业需要根据自身业务系统的特点选择合适的云服务模式,如公有云、专有云或行业云,并确保所选云服务平台已经通过了等级保护三级及以上的测评备案。
-
云服务的安全责任共担:在云服务模式下,安全建设的责任主体会区分为“云服务商”和“云租户”两部分。云服务商负责确保云服务平台的安全性,而云租户则负责基于云服务商提供的服务构建业务应用系统的安全。
-
云平台的安全防护能力:云上企业需要关注云服务类别下的安全防护能力,包括虚拟基础环境、业务应用系统安全、产品配置以及业务数据保护等方面。
-
云平台的合规性:云上企业需要确保云平台的合规性,包括物理和环境安全、网络和通信安全、安全管理等方面。这些要求可以直接引用云平台的等保证明,从而节省时间和成本。
-
云平台的技术测评要求:不同服务模式下的等保技术测评要求不同,用户自建云平台或IDC环境中,基础安全防护需由用户自身承担相应的安全能力建设。在云计算环境中,用户无需关注物理、网络、通信等基础安全防护,只需要关注云服务类别下的安全防护能力。
-
云平台的安全管理制度:云上企业需要建立完善的安全管理制度,包括授权和审批流程、文档管理、安全策略和管理制度等,以确保云服务的安全性和合规性。
-
云平台的安全建设管理:云上企业需要进行系统安全建设管理,包括安全方案设计、测试验收、云服务商选择、供应链管理等,以确保云服务的安全性和稳定性。
-
云平台的系统安全运维管理:云上企业需要进行系统安全运维管理,包括监控和审计管理的相关流程、策略和数据,以确保云服务的持续安全和稳定运行。
综上所述,云上企业在进行等保时,需要特别注意云服务模式的选择、云平台的安全防护能力、合规性、技术测评要求、安全管理制度以及系统安全运维管理等方面的特殊要求。这些要求有助于确保云上企业的信息系统安全和合规,降低系统被攻击的风险。