如何开展等级保护工作?
依据等保2.0,在对公有云环境下开展等级保护工作应遵循如下原则:
(1)应确保云计算平台不承载**其安全保护等级的业务应用系统。
(2)应确保云计算基础设施位于中国境内。
(3)云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定。
(4)云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。
公有云开展等级保护一般分为两个部分:
(1)是云平台本身,在等保2.0里面明确提出:对于公有云定级流程为云平台先定级测评,再提供云服务。
(2)是云租户信息系统,比如单位门户网站系统,在迁入公有云平台后,还需要对这个门户网站独立定级备案、进行等保测评。其中,涉及云平台部分的内容可以不重复测评,测评结论直接引用即可。
不同云计算服务模式需要采取不同职责划分方式:
(1)对于IaaS(基础设施即服务)模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用数据。
(2)对于PaaS(平台即服务)模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职责范围为应用和数据。
(3)对于SaaS(软件即服务)模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。
等保定级所需提交材料:
备案单位需要提交《信息系统安全等级保护备案表》和《定级系统等级保护定级报告》。
1、填写《信息系统安全等级保护备案表》(以下简称《备案表》),纸质材料,一式两份;包括:《单位基本情况》(表一)、《信息系统情况》(表二)、《信息系统定级情况》(表三)和《*三级以上信息系统提交材料情况》(表四)。*二级以上信息系统备案时需提交《备案表》中的表一、二、三;*三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材料。
《备案表》需通过“等级保护备案端软件”填写信息,并导出word文档生成。另,在填写表三“09 系统定级报告”时,需把《信息系统安全等级保护定级报告》上传到“附件”再导出word文档。
2、《信息系统安全等级保护定级报告》(以下简称《定级报告》),纸质材料,一式两份。每个备案的信息系统均需提供对应的《定级报告》,《定级报告》参照模版格式填写。
3、备案电子数据,刻录光盘。每个备案的信息系统,均需通过“等级保护备案端软件”填写信息,并保存为一个压缩文件(压缩文件需包含sysdata.xml、orgdata.xml及《定级报告》3个文件)。另,*三级以上系统备案电子数据还应包括《备案表》表四所列的各项内容。
4、《信息安全等级保护工作小组名单表》,刻录光盘。参照模版格式填写。
等级保护实施原则:
根据《信息系统安全等级保护实施指南》精神,明确了以下基本原则:
自主保护原则:信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源**保护涉及**业务或关键信息资产的信息系统。
同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,**信息安全与信息化建设相适应。
动态调整原则:要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
等级测评
等保测评是测评机构依据国家信息安全保护制度规定进行测评。华清信安协助客户按照有关管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统及安全技术进行测评和安全管理咨询服务。判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议,并协助客户接受测评机构在测评过程中进行指导运营。配合测评中心开展等级测评工作,并**顺利通过等保测评获得测评报告。
主要工作内容:
1、辅助客户开展测评
2、安全整改规划
3、技术体系整改实施
4、管理体系整改实施口辅助正式测评
交付成果:
1、预测评报告V安全整改计划
2、技术体系整改方案
3、管理体系整改方案
4、测评报告
北京华清信安科技有限公司是国家**企业和中关村**企业,以”安全赋能—让客户完全**”为使命,致力于为客户提供新一代智能安全咨询服务和解决方案,**客户安全**地畅享新一代智能网络科技。截止2019年,华清信安及其控股公司已获得软件着作权近50项,申请发明**15项,承担国家科技发展专项5项,入选省市级科技创新创业计划2项,通过国家*机构认证8项,是国家认证的安全风险评估、安全运维、应急响应服务的企业,多次被工信部CCID评为年度较佳产品、解决方案或可以选择品牌,我们的安全咨询、安全产品、专业安全服务已获得包括**、金融、企业等在内的数百家客户。华清人秉承“客户**,持续创新,追求卓越,厚德载物”的**理念,力争打造中国新一代智能安全的**品牌。