系統部署在阿里云上，也需要做等保。不過相比線下做等保，部署在阿里云上的系統過等保要更簡單也更快捷。今天這篇文章就給大家分享一下部署在阿里云上的系統怎么做等保。
 
一、部署在阿里云的系統，如何做等保備案？
 
先定級再備案，系統定級仍然是根據《定級指南》。確定信息系統等級以后，就可以準備材料到公安機關進行備案。備案所需材料主要是《信息安全等級保護備案表》，不同級別的信息系統需要的備案材料有所差異。第三級以上信息系統需提供以下材料：（一）系統拓撲結構及說明；（二）系統安全組織機構和管理制度；（三）系統安全保護設施設計實施方案或者改建實施方案；（四）系統使用的信息安全產品清單及其認證、銷售許可證明；（五）測評后符合系統安全保護等級的技術檢測評估報告；（六）信息系統安全保護等級專家評審意見；（七）主管部門審核批準信息系統安全保護等級的意見。
 
備案材料準備好以后，要提交到哪個公安機關進行備案呢？答：由于上云的系統部署在各類云平臺上面，但云平臺的實際物理地址又往往和云系統網絡運營者不在同一地址，企業/機構往往不知道去哪里進行定級備案。不過，從方便屬地公安機關監管的角度出發，企業/機構應該在系統實際運維團隊所在地市的網安部門進行系統備案。
 
二、部署在阿里云的系統，如何通過等級測評？
 
備案成功之后，就可以著手準備信息系統的測評和整改工作。測評步驟和線下系統的測評要求沒什么兩樣，但需要注意的是，云上過等保，云服務商和云服務客戶擁有不同控制范圍，其安全責任邊界不同。具體來說，如果企業的系統部署在某個云平臺上，那么涉及云平臺側的相關要求，客戶就不用再單獨測評，可以直接引用該平臺的測評結論，所以更加簡單。可以引用的測評結論包括物理和環境安全以及部分網絡和通信安全、安全管理等。
 
在這一步，企業根據公安機關推薦的測評機構名單挑選合適的測評機構來給自己的信息系統做測評即可。測評機構測評結束之后，會出具測評報告，如果測評通過，企業將測評報告提交公安機關進行備份，就算是落實了這一次的等級保護。如果測評發現信息系統有安全問題，不符合等保要求，企業的技術人員就需要對這些問題進行整改，然后重新測評，直至測評通過。當然，企業也可以委托第三方專業等保整改機構來做，比如靈狐網絡。
 
三、部署在云上的系統做等保和線下系統做等保有什么區別？
 
答案：無論系統在云上還是線下，都要做等保，但云上過等保更容易。
 
1. 極大降低等保成本
 
如果客戶選擇線下過等保，很容易遇到一個麻煩的事情——由于線下機房用了很多年，設備老舊，當客戶進行等級測評的時候，就會因為機房不達標而一直通過不了，白花測評費。為了解決這個問題，客戶必須花大價錢購買設備，成本就會非常高，甚至要花一兩百萬。同時由于要更換的設備多，會導致等保整改周期特別長，耗費很多不必要的時間。
 
但如果客戶選擇云上過等保，由于云平臺已經通過等保認證，客戶在進行等級測評的時候，就不需要再考慮線下機房這一塊的情況，可以直接采用云平臺的等保證明，就會省去很大一部分的時間和成本。根據等保專家靈狐網絡做過的等保案例，選擇云上過等保的客戶，能比選擇線下過等保的客戶節約十分之九的成本。
 
2. 省心省時間：云平臺側標準無需再考慮
 
雖然根據等保2.0相關規定，“誰主管誰負責、誰運營誰負責、誰使用誰負責”，云服務客戶也必須要進行等保測評。但是云上過等保，企業需要測評的項目會減少，自然能更快通過。以部署在阿里云的系統為例，阿里云采用的是“云上系統合規責任共擔”機制，租戶的云上系統等保合規由客戶負責，阿里云負責的是云平臺等保合規。由于阿里云已經通過云計算安全等級保護三級測評，在具體的云上應用等級保護合規和測評中，涉及阿里云平臺側的相關要求不再進行單獨測評，可以直接引用阿里云平臺的測評結論，可以引用的測評結論包括物理和環境安全以及部分網絡和通信安全、安全管理等。
 
換句話說，雖然企業/機構還是得按照要求給自己的云上系統做等保，但作為云租戶，從IaaS到PaaS再到SaaS模式,企業/機構所需要承擔的責任是越來越少的。
 

 
四、部署在云平臺的系統可以找誰做等級保護？
 
在詳細整理國家相關等保規范的基礎上，靈狐整合云安全產品的技術優勢，聯合優質等保咨詢、等保測評合作資源，竭誠為企業提供等保項目的一站式服務，全面覆蓋等保定級、備案、建設整改以及測評階段。無論是定級備案，還是測評整改，我們都能協助企業快速合規落實等級保護工作。
 
而在云上過等保這一塊，作為阿里云戰略級合作伙伴，我們也能快速滿足企業的需求。如果涉及到云上安全設備的購買，我們還能為企業爭取更多折扣。