等级保护云平台怎么测评

云计算平台的安全等级测评工作应选择具有合格资质的信息安全等级保护测评机构进行测评。

信息安全等级保护测评机构应依据《安全通用要求》和《云计算安全扩展要求》相应等级安全要求对云计算平台及云上租户信息系统进行测评。

在测评云计算平台时，测评机构首先依据《安全通用要求》对云计算平台上的定级系统进行测评，将《安全通用要求》中针对云租户及云租户业务系统提出的要求做不适用处理。测评内容包括：

• 网络和通信安全测评：测评对象包括但不限于物理网络及云服务方负责运维的虚拟网络；每个物理网络和虚拟网络对应一个网络全局。

• 设备和计算安全测评。测评对象包括但不限于物理机、宿主机和虚拟机的操作系统；数据库应包括云服务方拥有管理员权限的数据库管理系统。

• 应用安全测评：测评对象应包括但不限于构成云计算平台的各软件系统。

• 数据安全测评：测评对象包括但不限于云计算平台账户数据、云计算平台管理数据及云计算平台审计数据等。

• 物理安全测评：测评对象为云计算平台所在物理机房。

• 管理测评：测评对象为云服务方管理架构内的制度、人员，建设和运维流程、记录文档等。

在测评云计算平台时，测评机构还应依据《云计算安全扩展要求》将整个云计算平台作为一个全局对象进行测评，测评时将针对云租户及云租户业务系统提出的要求做不适用处理。

云服务方应将云计算平台的等级测评结论提供给云租户使用，包括备案编号、云计算平台等级、结论、综合得分。

云租户作为云上业务系统的责任主体，负责选择具有合格资质的信息安全等级保护测评机构从租户端对业务系统开展信息安全等级测评工作，云租户仅需获取云计算平台的等级测评结论（包括等级、备案编号、综合得分）。

信息安全等级测评机构在对云租户业务系统开展测评时应先查验云服务方侧云计算平台的等级备案证书和等级测评结论，检查等级测评结论是否为基本符合或符合，测评报告是否在有效期内，检查云计算平台的综合得分。

在测评云租户业务系统时，测评机构首先依据《安全通用要求》对云租户业务系统进行测评，将《安全通用要求》中针对云服务方及云计算平台提出的要求做不适用处理。如云租户业务系统采用混合部署模式（一部分上云，另一部分未上云），未上云部分测评内容与传统系统测评一致，已上云部分测评内容包括：

• 网络和通信安全测评：测评对象包括但不限于云租户负责运维的虚拟网络、虚拟防火墙或安全组、网络安全防护系统/设备；每个虚拟网络对应一个网络全局。

• 主机安全测评：测评对象包括但不限于虚拟机操作系统、云租户业务系统的数据库实例或云租户拥有管理员权限的数据库管理系统。

• 应用安全测评：测评对象应包括但不限于云租户业务系统上部署的各软件系统、中间件等。

• 数据安全测评：测评对象包括但不限于云租户业务系统上的账户数据、业务数据、审计数据等。

• 物理安全测评：略。

• 管理测评：测评对象为云租户管理架构内的制度、人员等。

在测评云租户业务系统时，测评机构还应依据《云计算安全扩展要求》将整个云作为一个全局对象，对云租户业务系进行测评。测评时将针对云服务方及云计算平台提出的要求做不适用处理。