阿里云客户等级保护测评说明-控制点责任说明(物理、网络、管理)

等保2.0测评详细指标（1-3级）PS：一级指标没有整理成表格，二三级整理成表格，看的会清晰一点。

一级测评要求指标一．技术安全大类1.安全的物理环境物理访问控制：机房出入口应安排专人值守或配置电子门禁系统，控制，鉴别和记录进入的人员。

防盗窃和破坏：应将设备或主要部件进行固定，并设置明显的不易除去的标识。

防雷击：应将各类机柜，设施和设备等通过基地系统安全接地。

防火：机房应该设置灭火设备。

防水和防潮：应采取措施防止雨水通过机房窗户，屋顶和墙壁渗透。

温湿度控制：应设置必要的温湿度调节设施，使机房温湿度的变化在设备运行所允许的范围之内。

电力供应：应在机房供电线路上配置稳压器和过电压防护设备。

2.安全的通信网络通信传输：应采用检验技术保证通信过程中数据的完整性。

可信验证：可给予可信根对通信设备的系统引导程序，系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。

3.安全的计算环境身份鉴别：1.应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份辨别信息具有复杂度要求并定期更换。

2.应具有登陆失败处理功能，应配置并启用结束会话，限制非法登录次数和挡登录连接超时自动退出等相关措施。

访问控制：1.应对登录的用户分配账户和权限2.应重命名或删除默认账户，修改默认账户的默认口令。

3.应及时删除或停用多余的，过期的账户，避免共享账户的存在。

入侵防范：1.应遵循最小安装的原则，仅安装需要的组件和应用程序。

2.应关闭不需要的系统服务，默认共享和高危端口。

恶意代码防范：应安装放恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。

可信验证：可基于可信根对计算机设备的系统引导程序，系统程序等进行可信验证，并在检测到其可信性受到破坏后进行报警。

数据完整性：应采用检验技术保证重要数据在传输过程中的完整性。

数据备份恢复：应提供重要数据的本地数据备份与恢复功能。

4.安全的区域边界边界防护：应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。

内容安全API参考（检测服务）··法律声明法律声明阿里云提醒您在阅读或使用本文档之前仔细阅读、充分理解本法律声明各条款的内容。

如果您阅读或使用本文档，您的阅读或使用行为将被视为对本声明全部内容的认可。

1. 您应当通过阿里云网站或阿里云提供的其他授权通道下载、获取本文档，且仅能用于自身的合法合规的业务活动。

本文档的内容视为阿里云的保密信息，您应当严格遵守保密义务；未经阿里云事先书面同意，您不得向任何第三方披露本手册内容或提供给任何第三方使用。

2. 未经阿里云事先书面许可，任何单位、公司或个人不得擅自摘抄、翻译、复制本文档内容的部分或全部，不得以任何方式或途径进行传播和宣传。

3. 由于产品版本升级、调整或其他原因，本文档内容有可能变更。

阿里云保留在没有任何通知或者提示下对本文档的内容进行修改的权利，并在阿里云授权通道中不时发布更新后的用户文档。

您应当实时关注用户文档的版本变更并通过阿里云授权渠道下载、获取最新版的用户文档。

4. 本文档仅作为用户使用阿里云产品及服务的参考性指引，阿里云以产品及服务的“现状”、“有缺陷”和“当前功能”的状态提供本文档。

阿里云在现有技术的基础上尽最大努力提供相应的介绍及操作指引，但阿里云在此明确声明对本文档内容的准确性、完整性、适用性、可靠性等不作任何明示或暗示的保证。

任何单位、公司或个人因为下载、使用或信赖本文档而发生任何差错或经济损失的，阿里云不承担任何法律责任。

在任何情况下，阿里云均不对任何间接性、后果性、惩戒性、偶然性、特殊性或刑罚性的损害，包括用户使用或信赖本文档而遭受的利润损失，承担责任（即使阿里云已被告知该等损失的可能性）。

5. 阿里云网站上所有内容，包括但不限于著作、产品、图片、档案、资讯、资料、网站架构、网站画面的安排、网页设计，均由阿里云和/或其关联公司依法拥有其知识产权，包括但不限于商标权、专利权、著作权、商业秘密等。

非经阿里云和/或其关联公司书面同意，任何人不得擅自使用、修改、复制、公开传播、改变、散布、发行或公开发表阿里云网站、产品程序或内容。

1物理安全测评指导书1.1机房安全测评序号测评指标测评项检查方法预期结果1物理位置的选择a)通过访谈物理安全负责人，检查机房，测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。

访谈：询问物理安全负责人，现有机房和办公场地的环境条件是否具有基本的防震、防风和防雨能力。

检查：检查机房和办公场地的设计/验收文档，查看机房和办公场所的物理位置选择是否符合要求。

机房和办公场地的设计/验收文档中有关于机房和办公场所的物理位置选择的内容,并符合防震、防风和防雨能力要求。

b)通过访谈物理安全负责人，检查机房，测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。

检查：检查机房场地是否避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；检查机房场地是否避免设在强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生水灾、火灾、易遭受雷击的地区。

1）机房没有在建筑物的高层或地下室，附近无用水设备； 2）机房附近无强电场、强磁场、强震动源、强噪声源、重度环境污染，机房建筑地区不发生水灾、火灾，不易遭受雷击。

2物理访问控制a)检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。

访谈： 1）询问物理安全负责人，了解具有哪些控制机房进出的能力，是否安排专人值守； 2）访谈机房值守人员，询问是否认真执行有关机房出入的管理制度，是否对进入机房的人员记录在案。

1）有专人值守和电子门禁系统； 2）出入机房需要登记，有相关记录。

b)检查机房出入口等过程，测评信息系统在物访谈：询问物理安全负责人，了解是否有关于机房来访人员的申请和审批流程，是1）来访人员进入机房需经过申请、审批流程并记录； 2）进入机房有机房管理人员理访问控制方面的安全防范能力。

否限制和监控其活动范围。

检查：检查是否有来访人员进入机房的审批记录。

陪同并监控和限制其活动范围。

c)检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。

等级保护测评服务服务方案等级保护测评服务服务方案一、服务背景和目标随着社会的不断进步和人们对个人发展的追求，等级保护测评服务成为了一种越来越受欢迎的服务方式。

等级保护测评服务通过对个人的能力、技能、知识和经验进行评估，为个人提供个人发展的方向和目标，帮助他们提升自己的职业能力和竞争力，实现自身价值的最大化。

本服务方案旨在提供一种全面、多层次的等级保护测评服务，帮助个人实现职业规划和个人发展目标。

二、服务内容和流程1.需求分析：与客户进行沟通，了解他们的需求和期望，确定测评的具体目标和要求。

2.测评工具选择：根据客户的需求，选择合适的测评工具，如能力测评、技能测评、知识测评等，确保测评结果的准确性和可靠性。

3.测评实施：根据测评工具的要求，对客户进行测评，收集相关数据和信息，评估客户的能力、技能、知识和经验水平。

4.数据分析：对收集到的数据进行分析和整理，将客户的测评结果转化为客观的评估报告，呈现客户的优势和不足之处。

5.结果反馈：将测评结果反馈给客户，让他们了解自己的能力强项和发展潜力，提供相应的职业规划和发展建议。

6.个性化咨询：根据客户的测评结果和特点，为他们提供个性化的职业咨询和发展建议，帮助他们制定职业发展计划和目标。

7.定期跟踪：与客户保持定期联系和跟踪，了解他们的发展情况和需求变化，为他们提供持续的职业咨询和支持。

三、服务特色和竞争优势1.多维度测评：本服务方案采用多种测评工具，包括能力、技能、知识等多个方面的评估，从多个维度全面评估客户的职业能力和潜力。

2.个性化咨询：根据客户的测评结果和特点，为他们提供个性化的咨询和建议，帮助他们制定个人职业发展计划和目标，实现个人发展的最大化。

3.专业团队：本服务方案由一支专业的团队提供服务，拥有丰富的测评经验和专业知识，能够为客户提供准确、可靠的测评结果和咨询建议。

4.持续支持：本服务方案提供定期跟踪和支持，与客户保持联系，了解他们的发展情况和需求变化，为他们提供持续的职业咨询和支持，帮助他们实现个人职业发展目标。

阿里云等保三级基本要求"等保" 是中国政府对信息系统安全的等级保护制度，分为三个级别：等保一级、等保二级、等保三级。

阿里云等保三级基本要求主要涵盖了以下几个方面：1. 基础设施安全•网络架构：采用防火墙、入侵检测系统（IDS）、虚拟专用云（VPC）等技术构建安全的网络架构。

•数据中心：使用符合等保三级要求的安全、可靠的数据中心，确保基础设施的物理安全性。

2. 身份认证和访问控制•身份验证：实施强身份认证机制，包括多因素认证，确保用户身份的安全。

•访问控制：建立精确的访问控制策略，确保只有授权用户能够访问敏感信息和系统功能。

3. 数据安全•加密：对敏感数据进行加密存储和传输，确保数据在存储和传输过程中的机密性。

•备份与恢复：定期备份关键数据，并建立完善的数据恢复机制，防范数据丢失或遭受攻击后的损失。

4. 系统审计与监控•安全审计：实施系统操作的审计，记录关键系统活动，以便追溯和分析潜在的安全问题。

•实时监控：部署实时监控系统，及时检测和应对潜在的安全威胁。

5. 安全运维管理•漏洞管理：及时修复系统和应用程序中的漏洞，保持系统处于最新的安全状态。

•应急响应：制定完善的应急响应计划，对可能的安全事件做出迅速而有效的反应。

6. 合规性管理•合规审查：定期进行安全合规性审查，确保符合相关法规和标准的要求。

•报告和记录：定期生成安全报告，记录安全事件和管理活动，为合规性审查提供支持。

7. 培训与意识•培训计划：开展定期的安全培训，提高员工的信息安全意识和技能。

•安全文化建设：建立积极的安全文化，使员工将安全作为工作中的重要因素。

阿里云等保三级基本要求的具体细节可能根据政策的变化而有所更新，因此建议用户定期查阅阿里云等保三级文档和政策，以保持最新的合规性。

1物理安全测评指导书1.1机房安全测评序号测评指标测评项检查方法预期结果1物理位置的选择a)通过访谈物理安全负责人，检查机房，测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。

访谈：询问物理安全负责人，现有机房和办公场地的环境条件是否具有基本的防震、防风和防雨能力。

检查：检查机房和办公场地的设计/验收文档，查看机房和办公场所的物理位置选择是否符合要求。

机房和办公场地的设计/验收文档中有关于机房和办公场所的物理位置选择的内容,并符合防震、防风和防雨能力要求。

b)通过访谈物理安全负责人，检查机房，测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。

检查：检查机房场地是否避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；检查机房场地是否避免设在强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生水灾、火灾、易遭受雷击的地区。

1）机房没有在建筑物的高层或地下室，附近无用水设备； 2）机房附近无强电场、强磁场、强震动源、强噪声源、重度环境污染，机房建筑地区不发生水灾、火灾，不易遭受雷击。

2物理访问控制a)检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。

访谈： 1）询问物理安全负责人，了解具有哪些控制机房进出的能力，是否安排专人值守； 2）访谈机房值守人员，询问是否认真执行有关机房出入的管理制度，是否对进入机房的人员记录在案。

1）有专人值守和电子门禁系统； 2）出入机房需要登记，有相关记录。

b)检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。

访谈：询问物理安全负责人，了解是否有关于机房来访人员的申请和审批流程，是否限制和监控其活动范围。

检查：检查是否有来访人员进入机房的审批记录。

1）来访人员进入机房需经过申请、审批流程并记录；2）进入机房有机房管理人员陪同并监控和限制其活动范围。

c)检查机房出入口等过程，测评信息系统在物理访问控访谈：访谈物理安全负责人，是否对机房进行了划分区域管理，是否对各个区域都有专门的管理要求；检1）对机房进行了划分区域管理； 2）对各个区域都有专门的管理要求。

分级保护测评内容一、基础设施安全1.物理安全：包括物理访问控制、物理安全审计、防盗窃和防破坏等。

2.网络安全：包括网络和通信安全、网络设备安全、网络服务安全等。

3.主机安全：包括主机设备安全、主机操作系统安全、应用软件安全等。

4.身份和访问管理：包括用户身份认证、访问控制、会话管理、审计跟踪等。

二、数据安全1.数据传输安全：包括数据加密、数据传输安全协议等。

2.数据存储安全：包括数据加密存储、数据备份和恢复等。

3.数据处理安全：包括数据加密处理、数据脱敏处理等。

4.数据安全审计：包括数据安全事件监控、审计跟踪等。

三、用户隐私保护1.用户隐私保护政策：包括隐私保护政策制定和发布、用户隐私保护意识培训等。

2.用户数据采集：包括用户数据采集范围、采集方式、存储和使用等。

3.用户数据保护：包括数据加密、数据脱敏、数据备份和恢复等。

4.用户隐私保护审计：包括隐私保护事件监控、审计跟踪等。

四、应急响应能力1.应急预案制定：包括应急预案制定和发布、应急预案培训和演练等。

2.应急响应组织：包括应急响应小组设立、应急响应流程制定等。

3.应急技术能力：包括应急处置工具、应急技术研究和储备等。

4.应急响应效果评估：包括应急响应效果评估和总结、应急预案修订等。

五、法律法规合规性1.相关法律法规遵循情况：包括个人信息保护法、网络安全法等相关法律法规的遵循情况。

2.合规性审核和管理：包括合规性审核流程制定、合规性审核结果记录等。

3.合规性培训和宣传：包括合规性培训计划制定和实施、合规性宣传等。

4.合规性监督和检查：包括合规性监督机制设立、合规性检查开展等。

5.六、系统运维管理6.系统运维流程制定：包括系统运维流程设计、系统运维流程实施等。

2. 系统运维人员管理：包括系统运维人员招聘、系统运维人员培训和考核等。

3.系统运维安全管理：包括系统运维访问控制、系统运维漏洞管理等。

4. 系统运维审计跟踪：包括系统运维活动监控、系统运维审计跟踪等。