云上系统责任共担
企业申请云上系统的等保认证时,使用的云平台及企业部署在云上的系统应用均需满足等保认证的要求,云上系统的合规性由阿里云与企业共同承担。图 1. 云上系统责任共担 
等保合规生态
为了助力企业云上系统能够快速满足等保合规的要求,阿里云通过建立等保合规生态,联合阿里云合作伙伴咨询机构、各地测评机构和公安机关,向运营单位(阿里云客户)提供一站式、全流程等保合规解决方案。
根据等保实施流程,阿里云等保安全解决方案的实施过程中,各角色及责任分工如下。
| 机构 | 系统定级 | 系统备案 | 建设整改 | 等级测评 | 监督检查 |
|---|---|---|---|---|---|
| 运营单位 | 确定安全保护等级,编写定级报告 | 准备备案材料,到当地公安机关备案 | 建设符合等级要求的安全技术和管理体系 | 准备和接受测评机构测评 | 接受公安机关的定期检查 |
| 阿里云 | 协调第三方机构为运营单位提供辅导服务 | 协调第三方机构为运营单位提供辅导服务 | 提供符合等级要求必须的安全产品和服务 | 提供云服务商安全资质、云平台通过等保的证明材料 | - |
| 咨询机构 | 辅导运营单位准备定级报告,并组织专家评审(三级) | 辅导运营单位准备备案材料和备案 | 辅导运营单位进行系统安全加固和制定安全管理制度 | 协助运营单位参与等级测评过程并进行整改 | 协助运营单位接受检查和进行整改 |
| 测评机构 | - | - | - | 测评机构对系统等级符合性状况进行测评 | - |
| 公安机关 | - | 当地公安机关审核受理备案材料 | - | - | 公安机关监督检查运营单位开展等级保护工作 |
说明 测评机构可以提供咨询服务。
责任分工说明:
- 阿里云:整合服务机构能力,并提供安全整改方案
- 咨询机构:提供全流程技术支撑和咨询服务
- 测评机构:可提供等保咨询和测评服务
- 公安机关:负责备案审核和监督检查
建设整改方案输出
建设整改阶段,需要运营单位根据相应的安全保护等级要求,对信息系统进行建设和整改,建立完善的 安全管理和 安全技术体系。
| 安全管理体系 | 安全技术体系 |
|---|---|
| 安全策略和管理制度 | 物理和环境安全 |
| 安全管理机构和人员 | 网络和通信安全 |
| 安全建设管理 | 设备和计算安全 |
| 安全运维管理 | 应用与数据安全 |
阿里云等保安全解决方案除整合周边角色资源外,在建设整改阶段可根据企业自身业务特点,结合阿里云自身安全等保认证经验,输出安全等保技术体系,根据企业认证要求,给出基础合规方案及增强合规方案建议。
详细的建设整改阶段的安全技术体系方案请参考 安全合规架构 章节。
