深圳：IDC、云平台等保不得低于三级

前几日，深圳市公安局发布了一个要求落实网络安全等级保护制度要求的文件，内容的梗概是这样的

为进一步提升我市互联网数据中心和云平台的网络安全防护水平，切实落实《网络安全法》等法律法规的要求，我局决定组织全市互联网数据中心和云平台开展网络安全等级保护工作，具体要求包括：

一、清醒认识法律责任，严格落实法定义务。参考《网络安全法》第二十一条关于等级保护制度的规定和第五十九条对于不遵守等级保护制度行为的处罚规定，各单位要清醒意识法律责任，主动落实相关工作要求，对于未按要求落实网络安全等级保护制度要求的企业，将依法从严予以处罚；

二、自主开展备案工作，切实提升防护水平。按照《信息安全等级保护管理办法》的要求，各单位需根据本单位所载数据、服务的重要程度，以及所承载信息系统的定级情况，对本单位数据中心进行客观、自主定级，原则上各单位基础网络定级不得低于三级，且不得低于所承载信息系统的最高级别。

“网络安全就是国家安全”在法律和制度上的体现，就是网络运营者(包括网络的所有者、管理者和服务提供者)需要担负起履行网络安全的责任。一方面是对因忽视安全导致的事故要受到处罚，另一方面是要承担起预防的责任，在这里主要体现为满足信息安全等级保护的要求。

国家等级保护认证是中国最权威的信息产品安全等级资格认证，由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。

等级保护的意义可以归结为下面几条

1、保障个人信息不受窃取或损坏；

2、有效防范黑客等不法分子通过网络展开的各种攻击以及病毒传播；

3、加强企业关于客户的信息库安全程度，以免客户个人信息遭到泄露；

4、通过国家人证的形式，加强广大企业及用户的安全意识，对信息安全引起足够的重视；

5、顺应国家监管要求，是推进平台合规化进程的重要举措。

信息安全保护等级共分为5级，等级越高，意味着所需的安全保护能力越强。

第一级：自主保护级

适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级：指导保护级

适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级：监督保护级

适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级：强制保护级

适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级：专控保护级

适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全造成特别严重损害。

先前说过，做好必要的安全措施，是服务商和运营商的责任，也是法律的要求，同时也是市场竞争力的一种体现。但问题在于，由于业务的不断演进和云计算等新兴技术的不断发展，安全建设很容易发生滞后的现象，再者由于不少从业者对等保制度的要求较为陌生，如何分担责任也是较大的问题。

对云平台而言，一般是按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，依据GB/T31167-2014《信息安全技术 云计算服务安全管理指南》中的责任分担模型来处理，只要这个业务应用系统不是由云服务商直接提供的，云上用户都需要对这个应用系统负责，对这个系统和数据的安全负责。

IaaS模式下云服务方与云租户的责任划分

针对云平台的用户，安全狗对国家等级保护规范进行了详细整理，并依托完善的产品体系和专业的服务水平，把技术标准落实到每一种应用的配置检查工作上，同时结合等级保护工作过程，对业务系统资产进行等保定级跟踪，根据资产定级自动进行对应级别的安全配置检查，对合规情况出具等保符合性报告，保证系统建设符合等保要求，促使等保监督检查工作高效执行。

可以预见的是，等级保护制度将越来越严格和详细，所涉及到的信息系统范围也将越来越广，对于企事业单位而言，满足等保要求将不仅仅是对信息系统本身可靠性的资质证明，更是符合法律法规的合规要求。安全狗将依托专业的技术和服务力量，持之以恒地为用户提供专业的安全产品和服务，满足用户的合规等保需求。