目前比较多的小型企业客户偏向于把系统部署在云平台与IDC机房。这些云平台、IDC机房一般都通过了等级测评。不过,根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,系统责任主体仍然还是属于网络运营者自己,所以,还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。简单来说就是部署在云平台的系统还需要购买云平台的安全服务或者第三方安全服务,部署在IDC机房的系统还需要购买相应的安全设备以满足等保安全要求。
IDC如何应对等保2.0
国家层面对等保2.0的定位是两个全覆盖,第一覆盖全社会,第二覆盖所有保护对象。再结合《网络安全法》精神:网络安全已上升到法律层面,保护网络安全是法定义务,拒不履行网络安全保护义务是违法行为。
2019年12月1日等级保护2.0标准正式生效之后,将有很多科研、教育、企业、商业、互联网企业等机构,其网站、信息系统、云计算平台、物联网系统等等,都需要通过等保2.0测评。
面对最新出台的等保2.0标准,几乎整个IDC行业都没有准备好,不少中小IDC企业表现得手忙脚乱。 但对于最新出台的等保2.0标准,等保测评网一直密切关注,充分学习了等保2.0标准的要求,做到了严格按照要求开发,确保IDC企业在申请等保2.0时,更加贴合要求。
等保定级
目前等级保护对象(信息系统)的安全级别分为五个等级:1级为最低级别,5级为最高级别(5级为预留级别,市面上已定级的系统最高为4级)。如果定了1级,不需要做等级测评,自主进行保护即可。定2级以上就需要进行等级测评。系统级别的确定需要根据系统的重要性进行决定。如果定高了,有可能造成投资的浪费;定低了则有可能造成重要信息系统得不到应有的保护,应该谨慎定级。
等保1.0的要求是自主定级,有主管部门的需要主管部门审核,最终报送公安机关进行审核。等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节,这样定级过程将会变得更加规范,定级也会更加准确。
系统备案场所
《信息安全等级保护管理办法》规定,等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商,而是最终的用户方。目前有些单位的注册地跟运营地不一致,正常情况下需要去运营地区的网安部门办理备案手续。
有些单位的系统部署在云平台,云平台的实际物理地址往往和云系统网络运营者不在同一地址。而且,有些单位的运维团队和注册经营地址也不一致。这种情况下,云系统应当在系统实际运维团队所在地市网安部门进行系统备案,因为这样会方便属地公安对系统进行监管。
所以,大部分情况下,还是需要到系统的运维人员实际所在地进行定级备案。当然也有一些特殊行业的要求,比如一些涉及到金融安全的行业,比如互联网金融系统、支付系统需要属地化管理,这些系统需要在注册地办理定级备案手续,以满足本地的监管要求。
等保测评网等已经为医疗、政府、教育等行业客户完成等级保护建设,帮助行业用户持续有效地保持合规状态,为用户带来更大的安全价值。通过一站式、全流程的等保测评服务,帮助用户提供通过“过保”服务,帮助企业快速、省心地通过等保合规建设。
