在对云计算系统进行测评时,应同时满足安全通用要求和云计算安全扩展要求部分的相关要求。在这个过程中根据云上系统的责任分担不同,要对安全通用要求和云计算安全扩展要求做拆分,云服务商和云服务客户针对应要求采取对应安全保护措施。
我们要考虑几方面因素,首先要确定被测系统是云计算平台还是业务应用系统。其次,确定被测系统使用哪种服务模式,以此来确定保护责任。在确定了服务商和客户各自保护责任之后,在定级过程中需要注意以下几点:
1.云计算平台安全保护等级,原则上不低于其承载的业务系统的安全保护等级。
2.国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三极。
3.在云计算环境中,应将云资源平台作为单独定级对象,云租户侧的等级保护对象也应作为单独的定级对象定级。
4.对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
西部数码提供云平台用户与各省市等级保护测评机构的沟通渠道,促成用户与测评机构等级保护测评合作关系,帮助西部数码云平台用户的信息系统完成等级保护测评工作,业务链接 https://www.west.cn/web/dengbao/
