云安全中心的合规检查功能提供了等保合规检查和ISO 27001合规检测,您可以使用该功能检查系统是否符合等保合规要求以及ISO 27001国际信息安全管理体系的认证标准。

背景信息

2019年12月01日起,网络安全等级保护基本要求(GB/T 22239-2019信息安全技术)等系列标准正式实施,落实网络安全等级保护制度是每个企业和单位的基本义务和责任。阿里云在确保云平台自身满足基本要求的基础上,提供了等保合规检查功能,帮助您更快速、高效和持续地落实网络安全等级保护制度,提升云上业务系统的安全防护能力。

ISO 27001是国际信息安全管理体系的认证标准。企业通过ISO 27001认证,表示国际权威组织认可企业的信息安全体系,证明企业有能力为客户提供安全可靠的信息服务。云安全中心提供ISO 27001合规检测功能,可以帮助您通过ISO 27001认证。

等保合规检查

等保合规检查(全称为等级保护合规检查)为您提供了全面覆盖通信网络、区域边界、计算环境和管理中心的网络安全检查。您可以使用该功能检查系统是否符合等保合规要求,及时发现和处理安全风险。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏选择系统配置 > 合规检查
  2. 可选:等保合规检查页签上方阿里云公共云等保合规白皮书2.0提示信息右侧单击申请下载,申请下载云安全中心为您提供的等保2.0解决方案材料包。
    等保2.0解决方案材料包页面,请根据提示填写您的信息并提交。您的申请审核通过后(预计2~4个工作日),您的邮箱将会收到等保2.0解决方案材料包。
    说明 等保2.0解决方案材料包含以下内容:
    • 阿里云安全架构师免费专业指导
    • 等保2.0解决方案PPT
    • 安全产品的销售许可证
    • 阿里云平台等保备案证明
    • 等保测评报告
    • 阿里云公共云等保合规白皮书2.0(介绍阿里云如何助力云服务客户构建基于网络安全等级保护的安全合规体系)
  3. 等保合规检查页签,查看检查结果的统计数据。
    您可以执行以下操作。
    • 查看检测项总数和不合规项数

      检测项总数待处理不合规项数查看等保合规支持的检测项总数量和不合规项的数量。单击待处理不合规项数可直接查看不合规的检查项列表。

    • 查看等级保护最佳实践

      阿里云为您提供了等保合规2.0安全解决方案,可以帮助您顺利通过等保合规2.0的等保测评。您可以单击点击查看等级保护最佳实践,了解等保合规2.0安全解决方案的更多信息。

    • 等保问题在线咨询

      单击在线咨询右侧的咨询,跳转到聊天窗口咨询等保相关问题。咨询时间为工作日09:00~17:00,请您在此时间内进行咨询。

    • 主机配置检查

      单击前往合规检查功能,进行深度检查,前往基线检查页面,查看并处理您资产中的基线问题。更多信息,请参见查看和处理基线检查结果

    • 搜索指定检测项

      在搜索框设置检查项分类和是否合规,或输入检测项目名称,查看符合条件的检测项。

  4. 处理不合规的检查项目。
    根据改进建议下的说明,处理不合规的检查项目。
    说明 云安全中心等保合规检查检测您的系统是否具备等保合规检查要求的安全能力,例如访问控制、日志审计等。您在确保具备等保合规检查的能力,并处理完发现的问题后,才可以通过等保测评。等保更多信息请参见等保合规2.0安全解决方案

查看ISO 27001合规检测结果

您无需手动执行ISO 27001合规检测,每次访问ISO 27001合规检测页面时,云安全中心会自动执行ISO 27001合规检测并为您提供最新的ISO 27001合规检测结果。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏选择系统配置 > 合规检查
  2. ISO 27001合规检测页签,查看检查结果的统计数据和检查结果列表。
    首次使用云安全中心时,云安全中心需要获取您的授权后,才能访问您的云资源并进行ISO 27001合规检测。您需要单击立即授权完成授权。
    您可以执行以下操作:
    • 查看检测项总数和不合规项数

      检测项总数待处理不合规项数区域,查看ISO 27001合规检测支持的检测项总数量和不合规项的总数量。

    • 查看合规、不合规或检测中的检查项

      在搜索框将搜索条件设置为合规、不合规或检测中,可查看合规、不合规或检测中的检测项列表。

  3. 处理不合规的检查项目。
    根据改进建议下的说明,处理不合规的检查项目。

    云安全中心ISO 27001合规检测可以检测您的系统是否符合ISO 27001认证的要求,例如资产管理、访问控制、密码学、操作安全等。建议您及时处理不合规的检测项。