在等級(jí)保護(hù)中，將云等保涉及的建設(shè)對(duì)象分為兩類：云計(jì)算平臺(tái)（以下簡(jiǎn)稱云平臺(tái)）以及云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)（以下簡(jiǎn)稱業(yè)務(wù)系統(tǒng)）。兩種建設(shè)對(duì)象分別由云服務(wù)商以及云服務(wù)客戶負(fù)有安全責(zé)任以及開(kāi)展等級(jí)保護(hù)工作。

首先是云平臺(tái)的定級(jí)備案。云服務(wù)商應(yīng)負(fù)責(zé)云平臺(tái)備案，備案地點(diǎn)為運(yùn)維管理端所在地，同時(shí)關(guān)鍵信息基礎(chǔ)設(shè)施云平臺(tái)保護(hù)等級(jí)應(yīng)不低于三級(jí)。

在云平臺(tái)通過(guò)等級(jí)保護(hù)測(cè)評(píng)后，云上的業(yè)務(wù)系統(tǒng)需要通過(guò)等級(jí)保護(hù)測(cè)評(píng)。用戶可在工商注冊(cè)地或?qū)嶋H運(yùn)營(yíng)地的公安機(jī)關(guān)進(jìn)行備案，等級(jí)保護(hù)的級(jí)別可參照《GA/T 1389-2017 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（最新國(guó)家推薦性標(biāo)準(zhǔn)GB/T 22240正在修訂中）。但需要注意的是，業(yè)務(wù)系統(tǒng)不能運(yùn)行在低于自身安全保護(hù)等級(jí)的云平臺(tái)中。并且業(yè)務(wù)系統(tǒng)只有在完成并通過(guò)等級(jí)保護(hù)測(cè)評(píng)后方可投入正式使用。

2、分解安全措施

在明確保護(hù)對(duì)象的前提下，需對(duì)當(dāng)前云平臺(tái)提供的安全措施進(jìn)行分解。在《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱“基本要求”）中對(duì)云平臺(tái)需提供的安全措施進(jìn)行了明確，如下圖所示：

▲云平臺(tái)安全防護(hù)措施

在物理環(huán)境方面，云平臺(tái)應(yīng)提供物理隔離、電力保障、外來(lái)人員訪問(wèn)控制、火災(zāi)檢測(cè)、視頻監(jiān)控等措施。