公有云如何做等级保护（一）

一、信息安全等级保护的范围：

理论上有信息以及公开信息和存储、传输、处理这些信息的系统都要做分等级安全保护。没有系统理论上不需要做等级保护。

二、做等级保护的意义：

1、通过等级保护的评测、整改工作进行系统加固。

2、避免后期系统运营过程中的信息安全事件发生。

3、满足国家相关法律法规的要求。如《网络安全法》

4、满足相关主管单位和行业的要求。这条是很多医疗、金融机构取得更高认证的前置条件。

三、不做等级保护的后果：

由主管单位进行警告；如果不整改或不做等保而发生安全事故的则直接进行罚款。

四、等级保护的分类：

等级保护分为五级。一般在实践中常见为二级、三级。四级一般是金融重要业务系统的要求。

等保测评以信息系统为测评整体，并非按照单位去做。

如医院：

医院外网/办公网承载OA，网站，mail等二级信息系统

医院内网/业务网承载HIS，LIS，PACS等三级信息系统

其中，二级系统部分行业要求每两年测评一次，三级系统要求每年测评一次，四级系统每半年测评一次。

五、等级保护(2.0 云等保）的要求：

云等保总体分为两个部分，技术要求、管理要求。其中云服务商主要协助完成“技术要求”。物理和环境安全可以复用云平台自身的安全检测结果，而其它技术要求则需要叠加云上的安全服务产品进行满足。

六、等级保护工作流程：

明天继续！