云等安全和云计算服务安全评估是不同的网络安全评估方法。这两种方法有什么不同?我们来看看监管部门、对象、目的、参考标准和实施过程的五个主要方面。
1、监管机构
云等保险的监管部门是公安部监督管理,主管司局是公安部网络安全保卫局。
云计算服务安全评估监督部门是位于国家互联网信息办公室网络安全协调局的云计算服务安全评估工作协调机制办公室。
2、面向对象
网络安全等级保护工作主要针对建设、运营、维护、使用的信息收集、存储、传输、交换、处理系统。云平台只是对象之一。
云计算服务安全评估主要面向党政机关、主要信息基础设施运营者提供云计算服务的云平台。注:以前通过党政部门云计算服务网络安全审查的云计算平台被认为通过了云计算服务安全评估,无需再次申请。)
3、开发目的
云平台的网络安全级别保护工作主要是为了满足国家对网络安全级别保护的监管要求,最终目的与国家执行网络安全级别保护工作的目的一致。也就是说,提高网络安全预防能力和水平,保护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济、社会、信息化的健康发展。
云计算服务安全评估工作旨在提高党政机关、主要信息基础设施运营者使用云计算服务的安全控制水平,减少购买云计算服务带来的网络安全风险。提高党政机关、主要信息基础设施运营者将业务和数据迁移到云服务平台的可信度。
4、参考标准
云平台网络安全级别保护的主要参考:GBT 2239-2019 《信息安全技术网络安全等级保护基本要求》 GBT 28448-2019 《信息安全技术网络安全等级保护测评要求》;
GBT 25070-2019 《信息安全技术网络安全等级保护安全设计技术要求》;GB/t 22240-2008 《信息安全技术信息系统安全等级保护定级指南》:GBT 25058-2019 《信息安全技术网络安全等级保护实施指南》;GB/T28449-2018 《信息安全技术网络安全等级保护测评过程指南》。
云计算服务安全评估的主要参考:GB/t 31168-2014《信息安全技术云计算服务安全能力要求》;GB/T31167-2014 《信息安全技术云计算服务安全指南》。
5、其他评价和实施机构
云平台的网络安全级别保护评估实施机构是通过省级以上网络安全级别保护工作,对组长(协调)团队办公室(以下简称“等保证”)推荐的级别保护评估机构进行审查。