要通過等保測評，云上企業(yè)需要確保所使用的云平臺的等保級別不低于企業(yè)自身系統(tǒng)的等保級別。如果云平臺已經(jīng)通過等級保護(hù)三級及以上測評備案，云上企業(yè)只需要對自身的業(yè)務(wù)系統(tǒng)做合規(guī)測評即可。對于阿里云的企業(yè)用戶來說，阿里云的公共云、專有云、行業(yè)云均已通過等級保護(hù)三級及以上測評備案，因此阿里云上企業(yè)只需要對自身的業(yè)務(wù)系統(tǒng)進(jìn)行合規(guī)測評即可。

• 不同服務(wù)模式下的等保技術(shù)測評要求

  企業(yè)使用的云服務(wù)類別（IaaS、PaaS和SaaS服務(wù)模式）不同，等保2.0測評要求的技術(shù)測評項目也有所不同。用戶自建云平臺或IDC環(huán)境中，基礎(chǔ)安全防護(hù)需由用戶自身承擔(dān)相應(yīng)的安全能力建設(shè)；在云計算環(huán)境中，用戶無需關(guān)注物理、網(wǎng)絡(luò)、通信等基礎(chǔ)安全防護(hù)，只需要關(guān)注云服務(wù)類別下的安全防護(hù)能力。以下是阿里云不同云服務(wù)類別用戶所要承擔(dān)的技術(shù)要求：

  • IaaS用戶：只需關(guān)注涉及自身虛擬基礎(chǔ)環(huán)境和業(yè)務(wù)應(yīng)用系統(tǒng)安全的技術(shù)指標(biāo)，不需要關(guān)注物理機(jī)房環(huán)境和云平臺網(wǎng)絡(luò)等內(nèi)容，測評條款數(shù)約是自建云平臺的62.4%。

  • PaaS用戶：需要測評的內(nèi)容更少，只需要關(guān)注涉及產(chǎn)品配置以及自身業(yè)務(wù)應(yīng)用系統(tǒng)安全的技術(shù)指標(biāo)，測評條款數(shù)約是自建云平臺的36.8%。

  • SaaS用戶：只需要關(guān)注涉及應(yīng)用安全配置以及業(yè)務(wù)數(shù)據(jù)保護(hù)的技術(shù)指標(biāo)，需要投入的人力和經(jīng)費(fèi)成本也最少。

  綜上，在云平臺通過等保2.0測評的前提下，企業(yè)上云的程度越深，自身所需要進(jìn)行測評項數(shù)量就越少，需要投入的成本更低，此時企業(yè)可以投入更多精力聚焦在自身業(yè)務(wù)發(fā)展。

• 如何滿足等保2.0測評中物聯(lián)網(wǎng)安全的擴(kuò)展要求

  等保2.0測評中，物聯(lián)網(wǎng)部分主要擴(kuò)展了感知層的安全要求，在物理和環(huán)境安全、網(wǎng)絡(luò)和通訊安全、設(shè)備和計算安全，以及應(yīng)用和數(shù)據(jù)安全做了擴(kuò)展要求。用戶需要建設(shè)并滿足相應(yīng)的安全防護(hù)能力后，才能通過等保2.0物聯(lián)網(wǎng)擴(kuò)展要求。如果用戶物聯(lián)網(wǎng)平臺在云計算環(huán)境中，云平臺物聯(lián)網(wǎng)擴(kuò)展支持能力不同，用戶所承擔(dān)的安全建設(shè)能力要求不同。對于阿里云用戶來說，只需要通過涉及設(shè)備物理防護(hù)及感知節(jié)點(diǎn)管理相關(guān)的技術(shù)指標(biāo)測評即可。

• 云上用戶等保測評流程

  等級保護(hù)工作流程包括定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查五個階段，阿里云為您提供了一站式服務(wù)，全面覆蓋等保定級階段、備案階段、建設(shè)整改階段以及等保測評階段。通過差距性分析評估，幫助您找出業(yè)務(wù)系統(tǒng)安全管理過程中與等保2.0要求的實(shí)際差距，同時提供安全管理加固建議、協(xié)助安全產(chǎn)品選型、協(xié)助各項安全加固，最終通過等保測評。依托阿里云安全團(tuán)隊多年的技術(shù)實(shí)戰(zhàn)和經(jīng)驗沉淀，可以幫助您快速解決等保測評過程中的各類安全風(fēng)險，提高服務(wù)效率，提升客戶整體安全防護(hù)能力。