系統(tǒng)部署在阿里云上，也需要做等保。不過相比線下做等保，部署在阿里云上的系統(tǒng)過等保要更簡單也更快捷。今天這篇文章就給大家分享一下部署在阿里云上的系統(tǒng)怎么做等保。
 
一、部署在阿里云的系統(tǒng)，如何做等保備案？
 
先定級再備案，系統(tǒng)定級仍然是根據(jù)《定級指南》。確定信息系統(tǒng)等級以后，就可以準(zhǔn)備材料到公安機關(guān)進(jìn)行備案。備案所需材料主要是《信息安全等級保護備案表》，不同級別的信息系統(tǒng)需要的備案材料有所差異。第三級以上信息系統(tǒng)需提供以下材料：（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；（二）系統(tǒng)安全組織機構(gòu)和管理制度；（三）系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案；（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；（五）測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；（六）信息系統(tǒng)安全保護等級專家評審意見；（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護等級的意見。
 
備案材料準(zhǔn)備好以后，要提交到哪個公安機關(guān)進(jìn)行備案呢？答：由于上云的系統(tǒng)部署在各類云平臺上面，但云平臺的實際物理地址又往往和云系統(tǒng)網(wǎng)絡(luò)運營者不在同一地址，企業(yè)/機構(gòu)往往不知道去哪里進(jìn)行定級備案。不過，從方便屬地公安機關(guān)監(jiān)管的角度出發(fā)，企業(yè)/機構(gòu)應(yīng)該在系統(tǒng)實際運維團隊所在地市的網(wǎng)安部門進(jìn)行系統(tǒng)備案。
 
二、部署在阿里云的系統(tǒng)，如何通過等級測評？
 
備案成功之后，就可以著手準(zhǔn)備信息系統(tǒng)的測評和整改工作。測評步驟和線下系統(tǒng)的測評要求沒什么兩樣，但需要注意的是，云上過等保，云服務(wù)商和云服務(wù)客戶擁有不同控制范圍，其安全責(zé)任邊界不同。具體來說，如果企業(yè)的系統(tǒng)部署在某個云平臺上，那么涉及云平臺側(cè)的相關(guān)要求，客戶就不用再單獨測評，可以直接引用該平臺的測評結(jié)論，所以更加簡單?？梢砸玫臏y評結(jié)論包括物理和環(huán)境安全以及部分網(wǎng)絡(luò)和通信安全、安全管理等。
 
在這一步，企業(yè)根據(jù)公安機關(guān)推薦的測評機構(gòu)名單挑選合適的測評機構(gòu)來給自己的信息系統(tǒng)做測評即可。測評機構(gòu)測評結(jié)束之后，會出具測評報告，如果測評通過，企業(yè)將測評報告提交公安機關(guān)進(jìn)行備份，就算是落實了這一次的等級保護。如果測評發(fā)現(xiàn)信息系統(tǒng)有安全問題，不符合等保要求，企業(yè)的技術(shù)人員就需要對這些問題進(jìn)行整改，然后重新測評，直至測評通過。當(dāng)然，企業(yè)也可以委托第三方專業(yè)等保整改機構(gòu)來做，比如靈狐網(wǎng)絡(luò)。
 
三、部署在云上的系統(tǒng)做等保和線下系統(tǒng)做等保有什么區(qū)別？
 
答案：無論系統(tǒng)在云上還是線下，都要做等保，但云上過等保更容易。
 
1. 極大降低等保成本
 
如果客戶選擇線下過等保，很容易遇到一個麻煩的事情——由于線下機房用了很多年，設(shè)備老舊，當(dāng)客戶進(jìn)行等級測評的時候，就會因為機房不達(dá)標(biāo)而一直通過不了，白花測評費。為了解決這個問題，客戶必須花大價錢購買設(shè)備，成本就會非常高，甚至要花一兩百萬。同時由于要更換的設(shè)備多，會導(dǎo)致等保整改周期特別長，耗費很多不必要的時間。
 
但如果客戶選擇云上過等保，由于云平臺已經(jīng)通過等保認(rèn)證，客戶在進(jìn)行等級測評的時候，就不需要再考慮線下機房這一塊的情況，可以直接采用云平臺的等保證明，就會省去很大一部分的時間和成本。根據(jù)等保專家靈狐網(wǎng)絡(luò)做過的等保案例，選擇云上過等保的客戶，能比選擇線下過等保的客戶節(jié)約十分之九的成本。
 
2. 省心省時間：云平臺側(cè)標(biāo)準(zhǔn)無需再考慮
 
雖然根據(jù)等保2.0相關(guān)規(guī)定，“誰主管誰負(fù)責(zé)、誰運營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”，云服務(wù)客戶也必須要進(jìn)行等保測評。但是云上過等保，企業(yè)需要測評的項目會減少，自然能更快通過。以部署在阿里云的系統(tǒng)為例，阿里云采用的是“云上系統(tǒng)合規(guī)責(zé)任共擔(dān)”機制，租戶的云上系統(tǒng)等保合規(guī)由客戶負(fù)責(zé)，阿里云負(fù)責(zé)的是云平臺等保合規(guī)。由于阿里云已經(jīng)通過云計算安全等級保護三級測評，在具體的云上應(yīng)用等級保護合規(guī)和測評中，涉及阿里云平臺側(cè)的相關(guān)要求不再進(jìn)行單獨測評，可以直接引用阿里云平臺的測評結(jié)論，可以引用的測評結(jié)論包括物理和環(huán)境安全以及部分網(wǎng)絡(luò)和通信安全、安全管理等。
 
換句話說，雖然企業(yè)/機構(gòu)還是得按照要求給自己的云上系統(tǒng)做等保，但作為云租戶，從IaaS到PaaS再到SaaS模式,企業(yè)/機構(gòu)所需要承擔(dān)的責(zé)任是越來越少的。
 

 
四、部署在云平臺的系統(tǒng)可以找誰做等級保護？
 
在詳細(xì)整理國家相關(guān)等保規(guī)范的基礎(chǔ)上，靈狐整合云安全產(chǎn)品的技術(shù)優(yōu)勢，聯(lián)合優(yōu)質(zhì)等保咨詢、等保測評合作資源，竭誠為企業(yè)提供等保項目的一站式服務(wù)，全面覆蓋等保定級、備案、建設(shè)整改以及測評階段。無論是定級備案，還是測評整改，我們都能協(xié)助企業(yè)快速合規(guī)落實等級保護工作。
 
而在云上過等保這一塊，作為阿里云戰(zhàn)略級合作伙伴，我們也能快速滿足企業(yè)的需求。如果涉及到云上安全設(shè)備的購買，我們還能為企業(yè)爭取更多折扣。