云平台请注意!中国评测告诉你做等保测评or安全评估?
网络安全等级保护(等保2.0前称为“信息安全等级保护”,以下简称“等保”)工作开展以来,各云计算服务平台(以下简称“云平台”)纷纷结合自身实际情况开展网络安全等级保护测评工作(以下简称“等保测评”)。随着云计算在内的新技术新应用的快速发展,网络安全等级保护工作也于2019年10月1日正式进入2.0时代,其中针对云计算的个性化安全保护需要,在安全通用要求的基础上提出了云计算安全扩展要求,云平台的等保测评工作变得更为科学、落地。
2019年7月2日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部联合发布关于《云计算服务安全评估办法》(以下简称“评估办法”)的公告,并建立云计算服务安全评估工作协调机制。公告指出云服务商可向云计算服务安全评估工作协调机制办公室申请安全评估并提供相关申报材料。
“评估办法”发布以来,不少相关工作者对于云平台的等保测评和安全评估之间的区别和联系不甚明晰,比如云平台在做完等保测评后是否还需通过安全评估等。在此,中国软件评测中心网安中心从两项工作对比入手,结合官方公开发布的信息,将相关内容及参考资料整理如下,以解大家心中之惑。
云平台的等保测评主要是落实国家有关网络安全等级保护的政策要求、法律法规要求。而等保工作的牵头组织需要从2007年6月22日说起,届时公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部委联合发布《信息安全等级保护管理办法》,办法指出“公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调”。2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》,向社会公开征求意见。其中在职责分工部分指出“中央网络安全和信息化领导机构统一领导网络安全等级保护工作。国家网信部门负责网络安全等级保护工作的统筹协调。国务院公安部门主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫。国家保密行政管理部门主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理。国务院其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。县级以上地方人民政府依照本条例和有关法律法规规定,开展网络安全等级保护工作”。即常见云平台的等保工作开展主要由公安部监督管理,牵头司局是公安部网络安全保卫局。
云计算服务安全评估,由国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、财政部建立云计算服务安全评估工作协调机制(以下简称“协调机制”),审议云计算服务安全评估政策文件,批准云计算服务安全评估结果,协调处理云计算服务安全评估有关重要事项。云计算服务安全评估工作协调机制办公室,受理云计算服务安全评估申请,组织专业技术机构参照国家有关标准对云平台进行安全评价,并在专业技术机构安全评价基础上,组织云计算服务安全评估专家组进行综合评价。办公室设在国家互联网信息办公室网络安全协调局。
开展云平台的网络安全等级保护工作主要是为了落实国家有关网络安全等级保护工作的监管要求,其最终目的与国家开展网络安全等级保护工作的目的一致,即提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。
开展云计算服务安全评估工作是为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,降低采购使用云计算服务带来的网络安全风险,增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。
网络安全等级保护工作主要面向在中华人民共和国境内建设、运营、维护、使用的对信息进行收集、存储、传输、交换、处理的系统。云平台只是对象之一。
云计算服务安全评估主要是面向为党政机关、关键信息基础设施运营者提供云计算服务的云平台(注:前期已经通过党政部门云计算服务网络安全审查的云平台,视同为已通过云计算服务安全评估,不需要再重新申请)。
即云平台必须做等保测评,但不一定要做云计算服务安全评估,跟其服务对象有关。
云平台的网络安全等级保护测评工作的实施机构是由经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐的等级保护测评机构。
云计算服务安全评估的实施机构是由云计算服务安全评估工作协调机制办公室认定的专业技术机构。
云平台的网络安全等级保护主要流程是定级(涉及定级备案材料准备、专家评审、主管部门审核等环节)、备案(公安机关备案审查,通过后取得备案证明)、建设整改、等级测评(测评报告应盖有等保章)、监督检查(测评报告应提交定级备案机关)。
云计算服务安全评估主要包括申报、受理、专业技术机构评价、云计算服务安全评估专家组综合评价、云计算服务安全评估工作协调机制审议、国家互联网信息办公室核准、评估结果发布、持续监督等环节。
云平台的网络安全等级保护工作主要参照:GBT22239-2019《信息安全技术网络安全等级保护基本要求》;GBT28448-2019《信息安全技术 网络安全等级保护测评要求》;GBT25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》;GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》;GB∕T 25058-2019《信息安全技术 网络安全等级保护实施指南》;GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》。
云计算服务安全评估主要参照:GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》;GB/T 31167-2014《信息安全技术 云计算服务安全指南》。
结语国家正在逐步制定并不断完善网络安全战略,重点领域的网络安全政策、工作任务和措施也陆续出台,中国软件评测中心作为工业和信息化部直属的国家级一级科研事业单位,30年的发展历程中,持续追踪国内外重点领域的理论技术、政策法规的发展,为业界提供优质高效、全方位的第三方服务。其中,云计算领域合作客户包括百度云、华为云、京东云、腾讯云、云上贵州、曙光云、金山云、美团云、用友云(顺序不分先后)等。单位核心业务详见http://www.cstc.org.cn/Art/works/pid/3.html。
中国软件评测中心网络空间安全测评工程技术中心致力于信息系统的网络安全防护和安全运行,支撑政府主管部门履行网络安全相关的社会管理和公共服务职能。疫情之下,我们在行动!
白利芳
中国软件评测中心网络安全专家、资深测评工程师,任网络安全中心部门副总经理。主要从事网络安全研究、评估、咨询以及政府部门支撑等工作。先后参与国家网络安全主管部门多项重大活动网络安全保障及网络安全检查工作。目前主要研究方向为云计算安全、区块链。
END
文字 / 白利芳
配图 / 般若
编辑 / 般若
参考资料友情链接目录(资料下载请点击阅读原文)
网络安全等级保护主要参照标准:
云计算服务安全评估主要参照标准:
云计算服务安全评估工作协调机制成员单位名单:
云计算服务安全评估专家组名单
截至发文时间,通过云计算服务安全评估的28个云平台:
信息安全等级保护管理办法:
关于《网络安全等级保护条例(征求意见稿)》公开征求意见的公告:
关于发布《云计算服务安全评估办法》的公告:
全国等级保护测评机构推荐目录查询地址: