云计算平台即采用了云计算技术的信息系统。云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。软件即服务（SaaS）、平台即服务（PaaS）、基础设施即服务（IaaS）是三种基本的云计算服务模式。如下图所示，在不同的服务模式中，云服务方和云租户对计算资源拥有不同的控制范围，控制范围则决定了安全责任的边界。在基础设施即服务模式下，云计算平台由设施、硬件、资源抽象控制层组成；在平台即服务模式下，云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台；在软件即服务模式下，云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件。

由于在云计算环境中，应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。一般云服务方侧的云计算平台自身已经具备较高级别的安全等级。所以云租户只需对其自身的信息系统实施等级保护，在后期测评过程中涉及云服务方侧的相关要求可直接采用云平台的测评结论。

1.  等保工作流程

1.1.    系统定级

依据客户所属信息系统的重要程度和遭到破坏后的危害程度，帮助确定信息系统的安全保护等级。按照确定定级责任主体，定级要素，明确处理方法，和建议新建系统定级的规则帮助客户完成系统定级。具体内容包括：

1）根据《信息系统安全等级保护定级指南》（GB/T 22240—2008）识别信息系统的等级保护级别；

2）编制等级保护定级报告。

1.2.    系统备案

协助客户开展信息系统等级保护备案工作，主要根据相关要求进行相关备案资料的整理，包括备案表的编制、申请备案报告的准备等。信息系统运营使用单位和受理备案的公安机关应按照《信息安全等级保护备案实施细则》（公信安【2007】1360号）的要求办理信息系统备案工作。

1.3.    差距分析

投标人需在第三方测评机构开展第三方测评前对信息系统进行差距分析，从安全技术和安全管理两个方面分析系统现有的安全措施和安全要求之间的差距，根据这些差距提出安全建议。

1.4.    等保整改

针对差距分析结果进行加固改造，及时发现信息系统中存在的安全隐患和问题，并通过风险分析，确定应解决的主要问题，帮助客户指定合规的安全架构。针对等保要求的技术防护，用户一般通过购买云服务方的安全产品来进行技术加固，使其信息系统达到相应的防护水平，同时也满足了合规性要求。

1.5.    等级测评

在帮助客户完成信息系统安全建设整改后，协助客户完成第三方测评机构的等保测评。

1.6.    定期自查

为客户提供专业的运维服务，实时检查系统运行情况，并且能够及时发现安全隐患和存在的突出问题，提供针对性的技术和管理措施解决方案。