Anna艷娜
2
CISO
高級信息系統項目管理師
PMP
Anna艷娜2
CISO
高級信息系統項目管理師
PMP
云計算平臺的安全等級測評工作應選擇具有合格資質的信息安全等級保護測評機構進行測評。
信息安全等級保護測評機構應依據《安全通用要求》和《云計算安全擴展要求》相應等級安全要求對云計算平臺及云上租戶信息系統進行測評。
在測評云計算平臺時,測評機構首先依據《安全通用要求》對云計算平臺上的定級系統進行測評,將《安全通用要求》中針對云租戶及云租戶業務系統提出的要求做不適用處理。測評內容包括:
網絡和通信安全測評:測評對象包括但不限于物理網絡及云服務方負責運維的虛擬網絡;每個物理網絡和虛擬網絡對應一個網絡全局。
設備和計算安全測評。測評對象包括但不限于物理機、宿主機和虛擬機的操作系統;數據庫應包括云服務方擁有管理員權限的數據庫管理系統。
應用安全測評:測評對象應包括但不限于構成云計算平臺的各軟件系統。
數據安全測評:測評對象包括但不限于云計算平臺賬戶數據、云計算平臺管理數據及云計算平臺審計數據等。
物理安全測評:測評對象為云計算平臺所在物理機房。
管理測評:測評對象為云服務方管理架構內的制度、人員,建設和運維流程、記錄文檔等。
在測評云計算平臺時,測評機構還應依據《云計算安全擴展要求》將整個云計算平臺作為一個全局對象進行測評,測評時將針對云租戶及云租戶業務系統提出的要求做不適用處理。
云服務方應將云計算平臺的等級測評結論提供給云租戶使用,包括備案編號、云計算平臺等級、結論、綜合得分。
云租戶作為云上業務系統的責任主體,負責選擇具有合格資質的信息安全等級保護測評機構從租戶端對業務系統開展信息安全等級測評工作,云租戶僅需獲取云計算平臺的等級測評結論(包括等級、備案編號、綜合得分)。
信息安全等級測評機構在對云租戶業務系統開展測評時應先查驗云服務方側云計算平臺的等級備案證書和等級測評結論,檢查等級測評結論是否為基本符合或符合,測評報告是否在有效期內,檢查云計算平臺的綜合得分。
在測評云租戶業務系統時,測評機構首先依據《安全通用要求》對云租戶業務系統進行測評,將《安全通用要求》中針對云服務方及云計算平臺提出的要求做不適用處理。如云租戶業務系統采用混合部署模式(一部分上云,另一部分未上云),未上云部分測評內容與傳統系統測評一致,已上云部分測評內容包括:
網絡和通信安全測評:測評對象包括但不限于云租戶負責運維的虛擬網絡、虛擬防火墻或安全組、網絡安全防護系統/設備;每個虛擬網絡對應一個網絡全局。
主機安全測評:測評對象包括但不限于虛擬機操作系統、云租戶業務系統的數據庫實例或云租戶擁有管理員權限的數據庫管理系統。
應用安全測評:測評對象應包括但不限于云租戶業務系統上部署的各軟件系統、中間件等。
數據安全測評:測評對象包括但不限于云租戶業務系統上的賬戶數據、業務數據、審計數據等。
物理安全測評:略。
管理測評:測評對象為云租戶管理架構內的制度、人員等。
在測評云租戶業務系統時,測評機構還應依據《云計算安全擴展要求》將整個云作為一個全局對象,對云租戶業務系進行測評。測評時將針對云服務方及云計算平臺提出的要求做不適用處理。
推薦文章
