等保2.0時(shí)代最受關(guān)注的變化，莫過(guò)于其保護(hù)范圍的大大擴(kuò)展，此外，在原有的基礎(chǔ)上，等保2.0細(xì)化擴(kuò)展了諸多細(xì)分安全領(lǐng)域的要求和標(biāo)準(zhǔn)，既與時(shí)俱進(jìn)提高了保障的要求門檻，也讓工作開展的依據(jù)更加清晰和可操作。

云等保是在原等?？蚣芟聦?duì)新事物的擴(kuò)展，云計(jì)算架構(gòu)之下，等級(jí)保護(hù)依然需要落地，包括定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查五個(gè)規(guī)定動(dòng)作。不同的是等?？蚣芟滦略黾拥脑匦枰獙?duì)原有等級(jí)保護(hù)相關(guān)工作的具體內(nèi)容進(jìn)行擴(kuò)充并統(tǒng)一。

首先是租戶和平臺(tái)的責(zé)任劃分問(wèn)題。在云計(jì)算條件下，目前采取的是云平臺(tái)和租戶的責(zé)任共擔(dān)機(jī)制，而從IaaS到PaaS再到SaaS模式，云租戶所需要承擔(dān)的責(zé)任是越來(lái)越少的，但無(wú)論如何，對(duì)于云租戶而言，數(shù)據(jù)安全始終是最核心的安全問(wèn)題，不可松懈。

其次是定級(jí)備案的問(wèn)題。傳統(tǒng)的信息系統(tǒng)其架構(gòu)是隨著業(yè)務(wù)變化而變化的，實(shí)際上是以物理網(wǎng)絡(luò)和安全設(shè)備為邊界的；而對(duì)于云環(huán)境而言，則是以虛擬邊界作為系統(tǒng)定級(jí)的邊界，采用原有的思路無(wú)法體現(xiàn)出業(yè)務(wù)應(yīng)用系統(tǒng)的邏輯關(guān)系，需要從業(yè)務(wù)應(yīng)用的角度出發(fā)，梳理業(yè)務(wù)應(yīng)用和對(duì)應(yīng)的模塊。

原則上，定級(jí)、備案工作是由用戶單位自己填寫定級(jí)備案表交給公安網(wǎng)監(jiān)部門去進(jìn)行備案工作，但考慮到實(shí)際情況，絕大多數(shù)情況下都是用戶單位在測(cè)評(píng)機(jī)構(gòu)的協(xié)助下完成這些工作。系統(tǒng)安全建設(shè)和等級(jí)測(cè)評(píng)的工作不一定要嚴(yán)格按照這個(gè)順序開展，可以先測(cè)評(píng)再整改，也可以先建設(shè)再測(cè)評(píng)，具體還是根據(jù)自身實(shí)際情況來(lái)辦。

選擇的測(cè)評(píng)機(jī)構(gòu)很重要，測(cè)評(píng)機(jī)構(gòu)的權(quán)威性，測(cè)評(píng)質(zhì)量直接關(guān)系到單位信息系統(tǒng)后期整改內(nèi)容，提前發(fā)現(xiàn)問(wèn)題提前整改，可以有效降低被攻擊的風(fēng)險(xiǎn)，提高信息安全防護(hù)能力。

在定級(jí)當(dāng)中還存在著兩個(gè)重要誤區(qū)：

再次是備案的問(wèn)題。傳統(tǒng)的系統(tǒng)備案很簡(jiǎn)單，IT基礎(chǔ)設(shè)施、運(yùn)維地點(diǎn)、工商注冊(cè)地基本上都是一致的，直接去所在地市局、網(wǎng)安或者是分局即可；然而上云的系統(tǒng)由于部署在各類云平臺(tái)上面，而云平臺(tái)的實(shí)際物理地址往往和云系統(tǒng)網(wǎng)絡(luò)運(yùn)營(yíng)者不在同一地址，大型云平臺(tái)還有許多物理節(jié)點(diǎn)，很難確定云平臺(tái)的具體物理地址，因此從方便屬地公安機(jī)關(guān)監(jiān)管的角度出發(fā)，應(yīng)該在系統(tǒng)實(shí)際運(yùn)維團(tuán)隊(duì)所在地市網(wǎng)安部門進(jìn)行系統(tǒng)備案。

再就是如何建設(shè)整改的問(wèn)題。云計(jì)算已經(jīng)深刻的影響到了IT架構(gòu)、業(yè)務(wù)系統(tǒng)部署方式，以及服務(wù)模式，一方面它可以讓用戶快速、彈性、按需、隨時(shí)隨地的獲取到IT資源和服務(wù)，實(shí)現(xiàn)IT即服務(wù)的轉(zhuǎn)變，是重要的一次信息化變革，另一方面這種新型的IT架構(gòu)也帶來(lái)了新的安全挑戰(zhàn)和安全需求。

邊界、通信和計(jì)算的安全均需要考慮在內(nèi)，而重中之重的則是云數(shù)據(jù)安全的建設(shè)，依據(jù)客戶實(shí)際需求和相關(guān)安全合規(guī)標(biāo)準(zhǔn)，進(jìn)行數(shù)據(jù)創(chuàng)建、傳輸、存儲(chǔ)、使用、共享和銷毀在內(nèi)的全生命周期的云環(huán)境下的數(shù)據(jù)安全設(shè)計(jì)，以及數(shù)據(jù)安全體系建設(shè)，從而保障用戶數(shù)據(jù)在云環(huán)境下的安全使用，保護(hù)云環(huán)境中的數(shù)據(jù)的機(jī)密性、可用性、完整性。

最后是測(cè)評(píng)的問(wèn)題。云計(jì)算系統(tǒng)保護(hù)措施通常是以系統(tǒng)整體能力體現(xiàn)，云計(jì)算安全擴(kuò)展要求作為全局對(duì)待，在報(bào)告結(jié)構(gòu)上等同于全局測(cè)評(píng)，各測(cè)評(píng)項(xiàng)不再重復(fù)對(duì)應(yīng)一個(gè)或多個(gè)測(cè)評(píng)對(duì)象。等保工作是一個(gè)持續(xù)的工作，等保測(cè)評(píng)也是一個(gè)周期性的工作，三級(jí)系統(tǒng)要求每年做一次，四級(jí)系統(tǒng)每半年做一次，二級(jí)系統(tǒng)部分行業(yè)明確要求每?jī)赡曜鲆淮?，沒(méi)有明確要求的行業(yè)一般是建議兩年做一次測(cè)評(píng)。