等保咨询服务的实际实施方是谁?
本服务是由天翼云授权的第三方专业安全服务提供商提供的,天翼云将对其提供技术指导及服务质量监督。
不同服务模式下等保技术测评要求?
从云上用户等保2.0技术测评项可以看出,如果用户是自建云平台或传统IDC托管,那么等保中的所有技术条款都要进行测评。如果是laaS用户,只需关注涉及自身虚拟基础环境和业务应用系统安全的83项技术指标,不需关注物理机房环境和云平台网络等内容,测评条款数约是自建云平台的62.4%。如果是PaaS用户则需要测评内容更少,只需要关注涉及产品配置以及自身业务应用系统安全的49项技术指标,测评范围是自建云平台的36.8%。对于SaaS用户来说,只需要关注涉及应用安全配置以及业务数据保护的45项技术指标,需要投入的人力和经费成本也最少。
综合来讲,云时代因服务模式不同带来的云上用户合规责任的变化,使得公共云用户比自建云平台或传统IDC用户在等保2.0中投入的合规成本大幅降低,并且在PaaS和SaaS服务模式下优势更为突出,可以让用户将更多精力聚焦自身的业务应用系统和数据安全保护上。
如果一次测评没通过,还可以继续提供整改服务么?
将会继续提供整改服务。
在下单后一年的期限内,本服务将持续提供,直到客户通过等保测评或者一年期限已满。
内网是否需要做等级测评?
需要。所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系。
而且,在内网的系统往往其网络安全技术措施相对薄弱,甚至不少系统长期“带病运行”,对等级测评的需求同样甚至更加紧迫。
等级保护测评多久做一次?
根据《网络安全等级保护条例》(征求意见稿)第二十三条规定:第三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。
如何选择等级保护备案所在地?
建议根据被测评业务系统的经营主体与法人注册地优先向当地公安网警(公共信息网络安全监察局)备案并找本地测评机构测评。或可选择IT运维团队所在地进行备案与测评。与业务系统在云上的资源物理节点的地点无关。
系统在云上,还要做等保吗?
要做。业务上云有多种情况,如在公有云、私有云、专有云等不同属性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服务,虽然安全责任边界发生了变化,但网络运营者的安全责任不会转移。
因此,根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则,应承担网络安全责任进行等级保护工作。
是否系统定级越低越好?
不是。可根据实际业务系统的情况参照定级标准进行定级,采用“定级过低不允许、定级过高不可取”的原则。
当出现网络安全事件进行追责的时候,如因系统定级过低,需承担系统定级不合理、安全责任没有履行到位的风险。
如何什么证明开展过等级保护工作?
一般情况,可以通过提供备案证明和测评报告来证明开展过等级保护工作,测评报告应加盖测评机构公章和测评专用章。
如何确定业务系统属于等保几级?
可参照等级保护定级指南,从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度,取两个方面较高的等级。
当确定系统级别后,应开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据,可直接参照采纳行业定级标准定级。
| 受侵害的客体 | 对客体的侵害程度 |
|---|---|
| 一般损害 | 严重损害 |
| 公民、法人和其他组织的合法权益 | 第一级 |
| 社会秩序、公共利益 | 第二级 |
| 国家安全 | 第三级 |
等保2.0政策之物联网的安全需求包括哪些?
物联网安全扩展要求是针对感知层提出的特殊安全要求,与安全通用要求一起构成针对物联网的完整安全要求。主要内容包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等。
