等保测评服务

要通过等保测评，云上企业需要确保所使用的云平台的等保级别不低于企业自身系统的等保级别。如果云平台已经通过等级保护三级及以上测评备案，云上企业只需要对自身的业务系统做合规测评即可。对于阿里云的企业用户来说，阿里云的公共云、专有云、行业云均已通过等级保护三级及以上测评备案，因此阿里云上企业只需要对自身的业务系统进行合规测评即可。

• 不同服务模式下的等保技术测评要求

  企业使用的云服务类别（IaaS、PaaS和SaaS服务模式）不同，等保2.0测评要求的技术测评项目也有所不同。用户自建云平台或IDC环境中，基础安全防护需由用户自身承担相应的安全能力建设；在云计算环境中，用户无需关注物理、网络、通信等基础安全防护，只需要关注云服务类别下的安全防护能力。以下是阿里云不同云服务类别用户所要承担的技术要求：

  • IaaS用户：只需关注涉及自身虚拟基础环境和业务应用系统安全的技术指标，不需要关注物理机房环境和云平台网络等内容，测评条款数约是自建云平台的62.4%。

  • PaaS用户：需要测评的内容更少，只需要关注涉及产品配置以及自身业务应用系统安全的技术指标，测评条款数约是自建云平台的36.8%。

  • SaaS用户：只需要关注涉及应用安全配置以及业务数据保护的技术指标，需要投入的人力和经费成本也最少。

  综上，在云平台通过等保2.0测评的前提下，企业上云的程度越深，自身所需要进行测评项数量就越少，需要投入的成本更低，此时企业可以投入更多精力聚焦在自身业务发展。

• 如何满足等保2.0测评中物联网安全的扩展要求

  等保2.0测评中，物联网部分主要扩展了感知层的安全要求，在物理和环境安全、网络和通讯安全、设备和计算安全，以及应用和数据安全做了扩展要求。用户需要建设并满足相应的安全防护能力后，才能通过等保2.0物联网扩展要求。如果用户物联网平台在云计算环境中，云平台物联网扩展支持能力不同，用户所承担的安全建设能力要求不同。对于阿里云用户来说，只需要通过涉及设备物理防护及感知节点管理相关的技术指标测评即可。

• 云上用户等保测评流程

  等级保护工作流程包括定级、备案、建设整改、等级测评、监督检查五个阶段，阿里云为您提供了一站式服务，全面覆盖等保定级阶段、备案阶段、建设整改阶段以及等保测评阶段。通过差距性分析评估，帮助您找出业务系统安全管理过程中与等保2.0要求的实际差距，同时提供安全管理加固建议、协助安全产品选型、协助各项安全加固，最终通过等保测评。依托阿里云安全团队多年的技术实战和经验沉淀，可以帮助您快速解决等保测评过程中的各类安全风险，提高服务效率，提升客户整体安全防护能力。