等级保护安全合规方案

为了便于阿里云上系统能够快速满足等保合规的要求,阿里云通过建立“等保合规生态”,联合阿里云的安全咨询合作厂商、各地测评机构,提供一站式、全流程的等保合规解决方案。

等保责任分担

阿里云是全国唯一一家参与等级保护新标准和云计算等保标准试点示范的云服务商,目前已经通过公安部组织的云计算等级保护新标准试点示范工作,其中公共云平台、电子政务云平台等五大系统通过等级保护三级备案和测评,金融云平台通过等级保护四级的备案和测评。

根据国家等级保护监管部门明确的云计算平台测评结论复用原则,未来阿里云公共云、电子政务云、金融云等各大平台系统上的客户系统通过等级保护测评时只需测评自身业务系统安全,及所负责管理和维护的虚拟机、虚拟网络和数据库安全,无需对云平台进行重复测评。

等保合规生态

为了便于阿里云上系统能够快速满足等保合规的要求,阿里云通过建立“等保合规生态”,联合阿里云的安全咨询合作厂商、各地测评机构,提供一站式、全流程的等保合规解决方案。

等级保护工作分工:

(1)阿里云:提供云安全产品和服务

(2)咨询厂商:提供全流程技术支撑和咨询服务

(3)测评机构:提供测评服务

(4)公安机关:负责备案审核和监督检查

等保实施流程

  • STEP1 系统定级

  • STEP2 建设整改

  • STEP3 等级测评

  • STEP4 系统备案

  • STEP5 监督检查

  • 信息系统运营使用单位按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草《信息系统安全等级保护定级报告》(有统一的模板)

  • 依据《信息系统安全等级保护基本要求》,利用自有或第三方的安全产品和专家服务,对信息系统进行安全建设和整改,同时制定相应的安全管理制度

  • 信息系统建设整改完成后,运营使用单位应当选择合适的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评

  • 安全保护等级为二级及以上的信息系统,信息系统运营使用单位应到对口的公安部门进行备案,同时提交《信息系统安全等级保护备案表》

  • 公安机关及其他监管部门会在整个过程中,履行相应的监管、审核和检查等职责

云上合规方案

通过等保合规生态的建立,可以帮助客户迅速找到等保相关的各方机构,并快速进行项目实施。在等保实施每个阶段,由咨询厂商、阿里云协助运营单位完成相关工作,最后接受测评机构的测评,同时接受公安机关的监管。整体的工作内容和分工如左图所示:

云计算环境下,等级保护主要的两个合规标准为:

《GB/T 22239.1信息安全技术 信息安全等级保护基本要求 第1部分安全通用要求》

《GB/T 22239.2信息安全技术 信息安全等级保护基本要求 第2部分云计算安全扩展要求》

四大具体技术要求

  • 网络和通信安全
  • 设备和计算安全
  • 应用与数据安全
  • 物理和环境安全

官方推荐合规产品

  • Web应用防火墙(高级版)

    网站必备的一款安全防护产品。 通过分析网站的访问请求、过滤异常攻击,保护网站业务可用及资产数据安全。

    ¥3880/月起

  • 安骑士(企业版)

    轻量级的主机安全产品。集安全配置核查、漏洞管理、入侵防护于一体,让攻击无“门”,服务器稳定运转。

    ¥200/月起

  • 态势感知(企业版)

    安全大数据分析和日志审计平台,通过机器学习并结合全网威胁情报,发现未知网络威胁,并且提供可行动的解决方案。

    ¥1275/年起

  • 证书服务

    云上签发Symantec等SSL数字证书,轻松实现全站HTTPS化,防监听、防劫持,呈现给用户可信的网站访问。

    ¥2578/年起

专属服务

免费体验

完成认证,赢最高15天免费云产品

电子合同生成

1 确认订单
购买套餐,一键下单

2 生成电子合同
选择订单,生成合同

金牌架构师咨询

  • 紫奇

    行业安全专家

  • 行逸

    高级安全专家

  • 麓飞

    高级安全专家

  • 宽夫

    高级安全专家

  • 金融行业安全专家,对证券、保险和互联网金融等行业客户的安全需求有深刻的理解,熟悉等保合规流程。

  • 医疗、物联网行业高级安全专家,十年安全行业经验,精通安全技术架构和等保咨询,在网络安全、应用安全、云安全等方面拥有丰富的经验。

  • 政府、电商行业高级安全专家,多年政府行业安全服务经验,在安全技术架构、ISMS建设和等保咨询等方面具有丰富的经验。

  • 多媒体、数据营销行业高级安全专家,熟悉云计算环境下的防攻击技术,擅长安全策略及方案设计,在等保咨询方面拥有丰富的经验。