一、云服务模式及安全责任主体阐析

云服务模式解析

云服务的服务模式包括基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS），具体如下：

基础设施即服务（IaaS）模式，云服务客户需对其部署在云上的各类可控的资源进行安全配置：对虚拟网络资源安全防护，对其云资源账户进行安全策略配置，对运维人员实施权限管理及职责分离，并对云产品合理的安全策略配置。此外，对于云服务客户自行部署在云上的业务应用、数据库及中间件等均需云服务客户进行安全管理；

平台即服务（PaaS）模式，云服务客户需保证其部署在云平台上的业务应用和数据的安全性，并对云产品进行安全配置，云资源账户安全管理；

软件即服务（SaaS）模式，云服务客户仅需对其选用的应用进行安全配置，并对自身业务数据做好安全防护工作。

云服务模式安全管理责任主体解析

基础设施即服务（IaaS）

平台即服务 (PaaS)

软件即服务(SaaS)

二、基于“云”的信息系统开展等级保护测评工作

云服务方及云租户在分别对云计算平台和云租户信息系统开展等保测评工作时，应委托具有公安部认证资质的测评机构，并依据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）中的通用要求和扩展要求开展等保测评工作。

云服务方在等保测评工作中，应对其提供云服务的云计算平台的物理基础设施、网络（含物理网络及虚拟网络）环境及设备（含网络通信及安全防护设备）、承载云服务的物理/虚拟主机、云管理应用业务平台、数据安全保护（含备份恢复）、安全策略及管理制度、安全管理机构及人员、安全建设管理、安全运维管理等方面开展等保测评获取相应的测评数据，并分析评估输出正式的《测评报告》。

云租户在等保测评工作中，应重点对其运行在云服务方提供的云计算平台上的信息系统的网络（主要是虚拟网络）环境及设备（含虚拟网络通信及虚拟安全防护设备资源）、承载业务应用的虚拟主机、云租户的应用系统及相关软件组件、安全策略及管理制度、安全管理机构及人员、安全建设管理、安全运维管理等方面开展等保测评获取相应的测评数据，并分析评估输出正式的《测评报告》。

在云租户开展等保测评工作中有涉及到需要获取云服务方的测评数据的，云租户应与云服务方协调并签署相应的《保密协议》后，再有云服务方将其相应的测评数据进行提供给云租户。

三、总结

云服务方及云租户应严格遵从“谁使用谁负责，谁主管谁负责，谁运营谁负责”的原则，严格按照《中华人民共和国网络安全》、国家及行业的网络安全规范及标准开展等保工作，履行好相应的网络安全保护责任及义务，切实做好网络安全保护工作，保障系统的稳定运行。

同时，云服务方应切实认真做好云计算平台的基础安全保护，才能更好的向云租户提供优质安全的云服务；云租户不能因为自己的信息系统托管存放在云服务方的云计算平台上，就认为其所管理及使用的信息系统的安全责任全部归属云服务方全权负责；安全责任重于泰山，云服务方与云租户应合力共同做好网络安全保护的相关工作，为国家的网络安全工作贡献一份力，没有网络安全就没有国家安全。

已经托管的云系统是否需要等保？

根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，该系统责任主体还是属于网络运营者自己，所以还是得承担相应的网络安全责任，该进行系统定级的还是得定级，该做等保的还是得做等保。

系统上云或托管后，并不是安全责任主体转移，只是系统所在机房地址的变更，当然在公有云模式下，Iaas、Paas、Saas不同模式相应的安全责任会有些区别，但是并不是没有责任。

如需等保测评服务，可后台私信联系。陆陆信息科技，整合云安全产品的技术优势，联合优质等保咨询、等保测评合作资源，提供等保项目的一站式服务，全面覆盖等保定级、备案、建设整改以及测评阶段，高效通过等保测评，落实网络安全等级保护工作。