系統(tǒng)部署在阿里云上，也需要做等保。不過(guò)相比線下做等保，部署在阿里云上的系統(tǒng)過(guò)等保要更簡(jiǎn)單也更快捷。今天這篇文章就給大家分享一下部署在阿里云上的系統(tǒng)怎么做等保。
 
一、部署在阿里云的系統(tǒng)，如何做等保備案？
 
先定級(jí)再備案，系統(tǒng)定級(jí)仍然是根據(jù)《定級(jí)指南》。確定信息系統(tǒng)等級(jí)以后，就可以準(zhǔn)備材料到公安機(jī)關(guān)進(jìn)行備案。備案所需材料主要是《信息安全等級(jí)保護(hù)備案表》，不同級(jí)別的信息系統(tǒng)需要的備案材料有所差異。第三級(jí)以上信息系統(tǒng)需提供以下材料：（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明；（二）系統(tǒng)安全組織機(jī)構(gòu)和管理制度；（三）系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案；（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；（五）測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告；（六）信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見(jiàn)；（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見(jiàn)。
 
備案材料準(zhǔn)備好以后，要提交到哪個(gè)公安機(jī)關(guān)進(jìn)行備案呢？答：由于上云的系統(tǒng)部署在各類云平臺(tái)上面，但云平臺(tái)的實(shí)際物理地址又往往和云系統(tǒng)網(wǎng)絡(luò)運(yùn)營(yíng)者不在同一地址，企業(yè)/機(jī)構(gòu)往往不知道去哪里進(jìn)行定級(jí)備案。不過(guò)，從方便屬地公安機(jī)關(guān)監(jiān)管的角度出發(fā)，企業(yè)/機(jī)構(gòu)應(yīng)該在系統(tǒng)實(shí)際運(yùn)維團(tuán)隊(duì)所在地市的網(wǎng)安部門進(jìn)行系統(tǒng)備案。
 
二、部署在阿里云的系統(tǒng)，如何通過(guò)等級(jí)測(cè)評(píng)？
 
備案成功之后，就可以著手準(zhǔn)備信息系統(tǒng)的測(cè)評(píng)和整改工作。測(cè)評(píng)步驟和線下系統(tǒng)的測(cè)評(píng)要求沒(méi)什么兩樣，但需要注意的是，云上過(guò)等保，云服務(wù)商和云服務(wù)客戶擁有不同控制范圍，其安全責(zé)任邊界不同。具體來(lái)說(shuō)，如果企業(yè)的系統(tǒng)部署在某個(gè)云平臺(tái)上，那么涉及云平臺(tái)側(cè)的相關(guān)要求，客戶就不用再單獨(dú)測(cè)評(píng)，可以直接引用該平臺(tái)的測(cè)評(píng)結(jié)論，所以更加簡(jiǎn)單?？梢砸玫臏y(cè)評(píng)結(jié)論包括物理和環(huán)境安全以及部分網(wǎng)絡(luò)和通信安全、安全管理等。
 
在這一步，企業(yè)根據(jù)公安機(jī)關(guān)推薦的測(cè)評(píng)機(jī)構(gòu)名單挑選合適的測(cè)評(píng)機(jī)構(gòu)來(lái)給自己的信息系統(tǒng)做測(cè)評(píng)即可。測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)結(jié)束之后，會(huì)出具測(cè)評(píng)報(bào)告，如果測(cè)評(píng)通過(guò)，企業(yè)將測(cè)評(píng)報(bào)告提交公安機(jī)關(guān)進(jìn)行備份，就算是落實(shí)了這一次的等級(jí)保護(hù)。如果測(cè)評(píng)發(fā)現(xiàn)信息系統(tǒng)有安全問(wèn)題，不符合等保要求，企業(yè)的技術(shù)人員就需要對(duì)這些問(wèn)題進(jìn)行整改，然后重新測(cè)評(píng)，直至測(cè)評(píng)通過(guò)。當(dāng)然，企業(yè)也可以委托第三方專業(yè)等保整改機(jī)構(gòu)來(lái)做，比如靈狐網(wǎng)絡(luò)。
 
三、部署在云上的系統(tǒng)做等保和線下系統(tǒng)做等保有什么區(qū)別？
 
答案：無(wú)論系統(tǒng)在云上還是線下，都要做等保，但云上過(guò)等保更容易。
 
1. 極大降低等保成本
 
如果客戶選擇線下過(guò)等保，很容易遇到一個(gè)麻煩的事情——由于線下機(jī)房用了很多年，設(shè)備老舊，當(dāng)客戶進(jìn)行等級(jí)測(cè)評(píng)的時(shí)候，就會(huì)因?yàn)闄C(jī)房不達(dá)標(biāo)而一直通過(guò)不了，白花測(cè)評(píng)費(fèi)。為了解決這個(gè)問(wèn)題，客戶必須花大價(jià)錢購(gòu)買設(shè)備，成本就會(huì)非常高，甚至要花一兩百萬(wàn)。同時(shí)由于要更換的設(shè)備多，會(huì)導(dǎo)致等保整改周期特別長(zhǎng)，耗費(fèi)很多不必要的時(shí)間。
 
但如果客戶選擇云上過(guò)等保，由于云平臺(tái)已經(jīng)通過(guò)等保認(rèn)證，客戶在進(jìn)行等級(jí)測(cè)評(píng)的時(shí)候，就不需要再考慮線下機(jī)房這一塊的情況，可以直接采用云平臺(tái)的等保證明，就會(huì)省去很大一部分的時(shí)間和成本。根據(jù)等保專家靈狐網(wǎng)絡(luò)做過(guò)的等保案例，選擇云上過(guò)等保的客戶，能比選擇線下過(guò)等保的客戶節(jié)約十分之九的成本。
 
2. 省心省時(shí)間：云平臺(tái)側(cè)標(biāo)準(zhǔn)無(wú)需再考慮
 
雖然根據(jù)等保2.0相關(guān)規(guī)定，“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”，云服務(wù)客戶也必須要進(jìn)行等保測(cè)評(píng)。但是云上過(guò)等保，企業(yè)需要測(cè)評(píng)的項(xiàng)目會(huì)減少，自然能更快通過(guò)。以部署在阿里云的系統(tǒng)為例，阿里云采用的是“云上系統(tǒng)合規(guī)責(zé)任共擔(dān)”機(jī)制，租戶的云上系統(tǒng)等保合規(guī)由客戶負(fù)責(zé)，阿里云負(fù)責(zé)的是云平臺(tái)等保合規(guī)。由于阿里云已經(jīng)通過(guò)云計(jì)算安全等級(jí)保護(hù)三級(jí)測(cè)評(píng)，在具體的云上應(yīng)用等級(jí)保護(hù)合規(guī)和測(cè)評(píng)中，涉及阿里云平臺(tái)側(cè)的相關(guān)要求不再進(jìn)行單獨(dú)測(cè)評(píng)，可以直接引用阿里云平臺(tái)的測(cè)評(píng)結(jié)論，可以引用的測(cè)評(píng)結(jié)論包括物理和環(huán)境安全以及部分網(wǎng)絡(luò)和通信安全、安全管理等。
 
換句話說(shuō)，雖然企業(yè)/機(jī)構(gòu)還是得按照要求給自己的云上系統(tǒng)做等保，但作為云租戶，從IaaS到PaaS再到SaaS模式,企業(yè)/機(jī)構(gòu)所需要承擔(dān)的責(zé)任是越來(lái)越少的。
 

 
四、部署在云平臺(tái)的系統(tǒng)可以找誰(shuí)做等級(jí)保護(hù)？
 
在詳細(xì)整理國(guó)家相關(guān)等保規(guī)范的基礎(chǔ)上，靈狐整合云安全產(chǎn)品的技術(shù)優(yōu)勢(shì)，聯(lián)合優(yōu)質(zhì)等保咨詢、等保測(cè)評(píng)合作資源，竭誠(chéng)為企業(yè)提供等保項(xiàng)目的一站式服務(wù)，全面覆蓋等保定級(jí)、備案、建設(shè)整改以及測(cè)評(píng)階段。無(wú)論是定級(jí)備案，還是測(cè)評(píng)整改，我們都能協(xié)助企業(yè)快速合規(guī)落實(shí)等級(jí)保護(hù)工作。
 
而在云上過(guò)等保這一塊，作為阿里云戰(zhàn)略級(jí)合作伙伴，我們也能快速滿足企業(yè)的需求。如果涉及到云上安全設(shè)備的購(gòu)買，我們還能為企業(yè)爭(zhēng)取更多折扣。