現(xiàn)在很多公司基于成本、便捷性的考慮，漸漸把一些業(yè)務(wù)系統(tǒng)或者公司對(duì)外網(wǎng)站移到了云平臺(tái)上。剛開始很多公司應(yīng)該是由于缺乏技術(shù)人員和IT維護(hù)人員，所以選擇了云平臺(tái)，覺得托管的方式，可以省去很多運(yùn)維的工作。但是，隨著等保2.0的到來，云上系統(tǒng)和網(wǎng)站也需要開展等級(jí)保護(hù)工作了，是否需要進(jìn)行定級(jí)備案，需要根據(jù)實(shí)際情況而定。因此，云租戶不要急于開展等保工作，先來弄清這些內(nèi)容，對(duì)你有好處。

首先，弄清楚租用(托管)的云平臺(tái)是否通過了等級(jí)保護(hù)三級(jí)或者四級(jí)定級(jí)備案。

為什么要弄清楚這個(gè)呢?因?yàn)樵破脚_(tái)沒有備案證明的話，將影響到該云平臺(tái)上的租戶的信息系統(tǒng)等保備案或者網(wǎng)站等保備案。

依據(jù)：

根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，云平臺(tái)的等級(jí)不可以低于云上租戶的業(yè)務(wù)應(yīng)用系統(tǒng)的最高級(jí)，并且明確規(guī)定“國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施(云計(jì)算平臺(tái))的安全保護(hù)等級(jí)不低于三級(jí)”。

根據(jù)網(wǎng)絡(luò)安全法規(guī)定“誰運(yùn)營(yíng)誰負(fù)責(zé),誰使用誰負(fù)責(zé),誰主管誰負(fù)責(zé)”的原則,該系統(tǒng)責(zé)任主體還是屬于網(wǎng)絡(luò)運(yùn)營(yíng)者自己,所以還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任,該進(jìn)行系統(tǒng)定級(jí)的還是得定級(jí),該做等保的還是得做等保。

因此，在云計(jì)算環(huán)境中，將云服務(wù)方側(cè)的云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象定級(jí)，云租戶側(cè)的等級(jí)保護(hù)對(duì)象作為單獨(dú)的定級(jí)對(duì)象定級(jí)。

云租戶負(fù)責(zé)對(duì)云平臺(tái)上承載的租戶信息系統(tǒng)進(jìn)行定級(jí)備案，備案地為工商注冊(cè)或?qū)嶋H經(jīng)營(yíng)所在地。

其次，要弄清楚，目前使用的那種類型的云平臺(tái)服務(wù)。

弄清楚云平臺(tái)服務(wù)類型，可以幫助您確定哪些系統(tǒng)需要進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，哪些不需要。

系統(tǒng)上云或托管后,并不是安全責(zé)任主體轉(zhuǎn)移,只是系統(tǒng)所在機(jī)房地址的變更,當(dāng)然在公有云模式下,Iaas、Paas、Saas不同模式相應(yīng)的安全責(zé)任會(huì)有些區(qū)別,但是并不是沒有責(zé)任。因此，不同模式下的測(cè)評(píng)內(nèi)容有一些區(qū)別。下圖是針對(duì)上述模式提出一些等級(jí)保護(hù)建設(shè)的一些參考，具體情況需要結(jié)合具體云服務(wù)商的具體情況而定。

一般情況下，Iaas、Paas模式下租戶的應(yīng)用系統(tǒng)需要獨(dú)立開展等級(jí)保護(hù)，而Saas模式下租戶的應(yīng)用系統(tǒng)是否需要開展等級(jí)保護(hù)需要結(jié)合具體情況而定。

最后，就是根據(jù)租戶在云平臺(tái)上的系統(tǒng)對(duì)照等保定級(jí)要求，進(jìn)行自我評(píng)估，定級(jí)為等保二級(jí)以上的需要開展等保工作。一般來說，普通的企業(yè)官網(wǎng)(資訊類，不涉及在線交易的)一般定級(jí)為一級(jí)即可，可以自主定級(jí)，注重相關(guān)的安全保護(hù)就好，無需進(jìn)行等級(jí)保護(hù)測(cè)評(píng)。但是一些具備在線交易，特別是允許第三方在該平臺(tái)/網(wǎng)站進(jìn)行在線交易的(如電商、游戲平臺(tái)、知識(shí)付費(fèi)平臺(tái))等等根據(jù)用戶量以及數(shù)據(jù)類型，一般定級(jí)為二級(jí)以上，具體二級(jí)，還是三級(jí)，需要結(jié)合具體信息系統(tǒng)情況分析。一般建議可以先定級(jí)為二級(jí)。上述內(nèi)容僅供參考，具體情況還是需要各位按照等保定級(jí)標(biāo)準(zhǔn)，依據(jù)等保定級(jí)申請(qǐng)結(jié)果而定。

另外，提醒各位云租戶哦，等級(jí)保護(hù)是一個(gè)長(zhǎng)期工作，目標(biāo)是為了讓被測(cè)評(píng)對(duì)象能夠動(dòng)態(tài)完善網(wǎng)絡(luò)安全的防護(hù)能力，所以二級(jí)等保需要每?jī)赡曛辽匍_展一次等保測(cè)評(píng)，三級(jí)以上的需要每年開展等保測(cè)評(píng)。因此，等級(jí)保護(hù)不是首次過了，就行，還需要持續(xù)做網(wǎng)絡(luò)安全工作，定期開展等保測(cè)評(píng)工作。