等保2.0時代最受關注的變化，莫過于其保護范圍的大大擴展，此外，在原有的基礎上，等保2.0細化擴展了諸多細分安全領域的要求和標準，既與時俱進提高了保障的要求門檻，也讓工作開展的依據(jù)更加清晰和可操作。

云等保是在原等?？蚣芟聦π率挛锏臄U展，云計算架構(gòu)之下，等級保護依然需要落地，包括定級、備案、建設整改、等級測評、監(jiān)督檢查五個規(guī)定動作。不同的是等保框架下新增加的元素需要對原有等級保護相關工作的具體內(nèi)容進行擴充并統(tǒng)一。

首先是租戶和平臺的責任劃分問題。在云計算條件下，目前采取的是云平臺和租戶的責任共擔機制，而從IaaS到PaaS再到SaaS模式，云租戶所需要承擔的責任是越來越少的，但無論如何，對于云租戶而言，數(shù)據(jù)安全始終是最核心的安全問題，不可松懈。

其次是定級備案的問題。傳統(tǒng)的信息系統(tǒng)其架構(gòu)是隨著業(yè)務變化而變化的，實際上是以物理網(wǎng)絡和安全設備為邊界的；而對于云環(huán)境而言，則是以虛擬邊界作為系統(tǒng)定級的邊界，采用原有的思路無法體現(xiàn)出業(yè)務應用系統(tǒng)的邏輯關系，需要從業(yè)務應用的角度出發(fā)，梳理業(yè)務應用和對應的模塊。

原則上，定級、備案工作是由用戶單位自己填寫定級備案表交給公安網(wǎng)監(jiān)部門去進行備案工作，但考慮到實際情況，絕大多數(shù)情況下都是用戶單位在測評機構(gòu)的協(xié)助下完成這些工作。系統(tǒng)安全建設和等級測評的工作不一定要嚴格按照這個順序開展，可以先測評再整改，也可以先建設再測評，具體還是根據(jù)自身實際情況來辦。

選擇的測評機構(gòu)很重要，測評機構(gòu)的權(quán)威性，測評質(zhì)量直接關系到單位信息系統(tǒng)后期整改內(nèi)容，提前發(fā)現(xiàn)問題提前整改，可以有效降低被攻擊的風險，提高信息安全防護能力。

在定級當中還存在著兩個重要誤區(qū)：

再次是備案的問題。傳統(tǒng)的系統(tǒng)備案很簡單，IT基礎設施、運維地點、工商注冊地基本上都是一致的，直接去所在地市局、網(wǎng)安或者是分局即可；然而上云的系統(tǒng)由于部署在各類云平臺上面，而云平臺的實際物理地址往往和云系統(tǒng)網(wǎng)絡運營者不在同一地址，大型云平臺還有許多物理節(jié)點，很難確定云平臺的具體物理地址，因此從方便屬地公安機關監(jiān)管的角度出發(fā)，應該在系統(tǒng)實際運維團隊所在地市網(wǎng)安部門進行系統(tǒng)備案。

再就是如何建設整改的問題。云計算已經(jīng)深刻的影響到了IT架構(gòu)、業(yè)務系統(tǒng)部署方式，以及服務模式，一方面它可以讓用戶快速、彈性、按需、隨時隨地的獲取到IT資源和服務，實現(xiàn)IT即服務的轉(zhuǎn)變，是重要的一次信息化變革，另一方面這種新型的IT架構(gòu)也帶來了新的安全挑戰(zhàn)和安全需求。

邊界、通信和計算的安全均需要考慮在內(nèi)，而重中之重的則是云數(shù)據(jù)安全的建設，依據(jù)客戶實際需求和相關安全合規(guī)標準，進行數(shù)據(jù)創(chuàng)建、傳輸、存儲、使用、共享和銷毀在內(nèi)的全生命周期的云環(huán)境下的數(shù)據(jù)安全設計，以及數(shù)據(jù)安全體系建設，從而保障用戶數(shù)據(jù)在云環(huán)境下的安全使用，保護云環(huán)境中的數(shù)據(jù)的機密性、可用性、完整性。

最后是測評的問題。云計算系統(tǒng)保護措施通常是以系統(tǒng)整體能力體現(xiàn)，云計算安全擴展要求作為全局對待，在報告結(jié)構(gòu)上等同于全局測評，各測評項不再重復對應一個或多個測評對象。等保工作是一個持續(xù)的工作，等保測評也是一個周期性的工作，三級系統(tǒng)要求每年做一次，四級系統(tǒng)每半年做一次，二級系統(tǒng)部分行業(yè)明確要求每兩年做一次，沒有明確要求的行業(yè)一般是建議兩年做一次測評。