企业过等保有两种方式,一种是线下机房过等保,一种则是云上过等保。线下机房过等保就是大家比较常见的过等保的方式,很多没上云的企业,就是线下过等保;云上过等保则一般是信息系统部署在云上的上云企业的等级保护办理方式。但等保2.0时代,我们发现,很多信息系统没有部署在云上的企业,也想在云上过等保。
是不是觉得很奇怪?因为根据等保标准,信息系统部署在云上的企业,不仅需要遵循等级保护的基本要求,还要遵循等级保护的扩展要求。需要遵循的要求都更多了,为什么企业还要选择云上过等保的方式,就算此前没有上云,也要租用云服务器做等保,尤其是三级等保呢?
要想解答这个问题,其实还是得从三级信息系统的等保要求和云上过等保的好处说起。
我们都知道,三级信息系统的等级保护要求非常严格,其测评内容涵盖等级保护安全技术要求的5个层面和安全管理要求的5个层面,包含信息保护、安全审计、通信保密等在内的近300项要求,共涉及测评分类73类。因此,企业要想通过三级测评,取得三级等保认证是比较困难的,尤其是等保2.0时代,测评通过标准还提高了,测评得分最低要70分,信息系统也要没有高风险项才算通过。
而在等级保护对三级信息系统的基本要求中,其中一部分要求是对物理安全的测评,主要的测评对象就是机房。但是,很多企业的机房建了很多年,无论是在环境还是设备方面,都难以满足三级等保要求。这个时候,如果企业选择对机房进行等保整改,使之满足等保要求,工作量就很大,再加上还要购买许多新的安全设备,等保整改花费也很多。一句话:如果企业通过线下过等保的方式来过三级等保,对机房进行建设,是很不划算的。
但是,如果企业选择云上过等保的方式,就没有这个烦恼。因为企业的信息系统部署在云上,机房的建设就无需考虑了,只需要云平台已经取得等保认证就可以。所以当企业的信息系统做等级测评的时候,测评机构也不会对机房进行测评,企业直接提交云平台的过等保证明就可以。这样,企业不仅可以省钱,还可以省去机房建设的时间。
云上过等保还有一个好处,那就是:在云计算条件下,目前采取的是云平台和租户的责任共担机制。也就是说,虽然企业/机构还是得按照要求给自己的云上系统做等保,但作为云租户,从IaaS到PaaS再到SaaS模式,企业/机构所需要承担的责任是越来越少的。同时,如果客户的系统部署在某个云平台上,那么涉及云平台侧的相关要求,客户就不用再单独测评,可以直接引用该平台的测评结论。
看了以上的说明,想必大家已经知道为什么有的企业要选择云上过等保的方式了,甚至就算之前没有上云,也要立马租用云服务器过等保。
如果你的企业也有云上过等保的需求,欢迎向陆陆信息科技进行咨询。