現在很多公司基于成本、便捷性的考慮，漸漸把一些業(yè)務系統或者公司對外網站移到了云平臺上。剛開始很多公司應該是由于缺乏技術人員和IT維護人員，所以選擇了云平臺，覺得托管的方式，可以省去很多運維的工作。但是，隨著等保2.0的到來，云上系統和網站也需要開展等級保護工作了，是否需要進行定級備案，需要根據實際情況而定。因此，云租戶不要急于開展等保工作，先來弄清這些內容，對你有好處。

首先，弄清楚租用(托管)的云平臺是否通過了等級保護三級或者四級定級備案。

為什么要弄清楚這個呢?因為云平臺沒有備案證明的話，將影響到該云平臺上的租戶的信息系統等保備案或者網站等保備案。

依據：

根據《網絡安全法》的規(guī)定，云平臺的等級不可以低于云上租戶的業(yè)務應用系統的最高級，并且明確規(guī)定“國家關鍵信息基礎設施(云計算平臺)的安全保護等級不低于三級”。

根據網絡安全法規(guī)定“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則,該系統責任主體還是屬于網絡運營者自己,所以還是得承擔相應的網絡安全責任,該進行系統定級的還是得定級,該做等保的還是得做等保。

因此，在云計算環(huán)境中，將云服務方側的云計算平臺單獨作為定級對象定級，云租戶側的等級保護對象作為單獨的定級對象定級。

云租戶負責對云平臺上承載的租戶信息系統進行定級備案，備案地為工商注冊或實際經營所在地。

其次，要弄清楚，目前使用的那種類型的云平臺服務。

弄清楚云平臺服務類型，可以幫助您確定哪些系統需要進行等級保護測評，哪些不需要。

系統上云或托管后,并不是安全責任主體轉移,只是系統所在機房地址的變更,當然在公有云模式下,Iaas、Paas、Saas不同模式相應的安全責任會有些區(qū)別,但是并不是沒有責任。因此，不同模式下的測評內容有一些區(qū)別。下圖是針對上述模式提出一些等級保護建設的一些參考，具體情況需要結合具體云服務商的具體情況而定。

一般情況下，Iaas、Paas模式下租戶的應用系統需要獨立開展等級保護，而Saas模式下租戶的應用系統是否需要開展等級保護需要結合具體情況而定。

最后，就是根據租戶在云平臺上的系統對照等保定級要求，進行自我評估，定級為等保二級以上的需要開展等保工作。一般來說，普通的企業(yè)官網(資訊類，不涉及在線交易的)一般定級為一級即可，可以自主定級，注重相關的安全保護就好，無需進行等級保護測評。但是一些具備在線交易，特別是允許第三方在該平臺/網站進行在線交易的(如電商、游戲平臺、知識付費平臺)等等根據用戶量以及數據類型，一般定級為二級以上，具體二級，還是三級，需要結合具體信息系統情況分析。一般建議可以先定級為二級。上述內容僅供參考，具體情況還是需要各位按照等保定級標準，依據等保定級申請結果而定。

另外，提醒各位云租戶哦，等級保護是一個長期工作，目標是為了讓被測評對象能夠動態(tài)完善網絡安全的防護能力，所以二級等保需要每兩年至少開展一次等保測評，三級以上的需要每年開展等保測評。因此，等級保護不是首次過了，就行，還需要持續(xù)做網絡安全工作，定期開展等保測評工作。