阿里云安全中心服务等级协议

云安全中心服务等级协议  版本生效日期：2020年4月1日

本服务等级协议（Service Level Agreement，以下简称 “SLA”）规定了阿里云向客户提供的云安全中心（简称“云安全中心”）的服务可用性等级指标及赔偿方案。

1.定义

1.1服务周期：一个服务周期为一个自然月。

1.2服务周期总分钟数：服务周期内的总天数╳24（小时）╳60（分钟）计算。

1.3失败请求：失败请求包括下述情形：

（1）因云安全中心系统原因导致的域名返回状态码为5XX请求；

（2）因云安全中心故障导致的正常请求未能到达云安全中心服务器端的请求（通过故障前7天内使用云安全中心的域名的平均请求数计算）。

1.4有效的总请求：客户某一阿里云账号下云安全中心服务器端接收到的所有请求视为有效的总请求。

1.5每5分钟错误率：根据地域以每5分钟为单位按照如下方式计算：

每5分钟错误率= 每5分钟失败请求数/每5分钟有效总请求数X100%                                          

1.6月度服务费用：按一个自然月中客户某一阿里云账号下云安全中心的地域统计月度服务费用，如果客户一次性支付了多个月份的服务费用，则将按照所购买的月数或使用量比例分摊计算月度服务费用。

2.服务可用性

2.1 服务可用性计算公式

云安全中心服务可用性按服务周期统计，根据客户某一阿里云账号下云安全中心的地域统计服务可用性。若客户某一阿里云账号下存在相同地域，将合并计算服务可用性。

服务可用性将根据服务周期内每5分钟错误率之和除以服务周期内5分钟的总个数计算出每5分钟错误率的平均值，从而计算得出服务可用性，即：

服务可用性=（1-服务周期内Σ每5分钟错误率/服务周期内5分钟总个数）x100%   （注：服务周期内5分钟总个数=12x24X该服务周期的天数）

2.2 服务可用性承诺

云安全中心服务可用性不低于99.95%，如云安全中心未达到前述可用性承诺，客户可以根据本协议第3条约定获得赔偿。

2.3除外情形

因下述原因导致的服务不可用的时长不计入服务不可用时间：

（1）阿里云预先通知客户后进行系统维护所引起的，包括割接、维修、升级和模拟故障演练；

（2）任何阿里云所属设备以外的网络、设备故障或配置调整引起的；

（3）客户的应用程序或数据信息受到黑客攻击而引起的；

（4）客户维护不当或保密不当致使数据、口令、密码等丢失或泄漏所引起的；

（5）客户的疏忽或由客户授权的操作所引起的；

（6）客户未遵循阿里云产品使用文档或使用建议引起的；

（7）不可抗力引起的。

3.赔偿方案

3.1 赔偿标准

根据客户某一阿里云账号下云安全中心的服务可用性，按照下表中的标准计算赔偿金额，赔偿方式仅限于用于购买云安全中心产品的代金券，且赔偿总额不超过未达到服务可用性承诺当月客户支付的月度服务费用的25%（不含用代金券抵扣的费用）。

服务可用性赔偿代金券金额

99.90%  ≤ 服务可用性 ＜ 99.95%月度服务费用的10%

服务可用性 ＜ 99.90%月度服务费用的25%

3.2赔偿申请时限

客户可在每个自然月第五（5）个工作日后对上个月没有达到服务可用性承诺的【产品简称】提出赔偿申请。赔偿申请最迟不应晚于云安全中心未达到服务可用性承诺的相关月份结束后两（2）个月内提出。

4.其他

阿里云有权对本SLA条款作出修改。如本SLA条款有任何修改，阿里云将提前30天以网站公示或发送邮件的方式通知您。如您不同意阿里云对SLA所做的修改，您有权停止使用云安全中心，如您继续使用云安全中心，则视为您接受修改后的SLA。

等级测评的流程：

差距测评阶段又分为以下内容：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动，整改阶段、验收测评阶段。

1、测评准备活动阶段

签订《合作合同》与《保密协议》

首先，被测评单位在选定测评机构后，双方需要先签订《测评服务合同》，合同中对项目范围（系统数量）、项目内容（差距测评？验收测评？协助整改？）、项目周期（什么时间进场？项目计划做多长时间？）、项目实施方案（测评工作的步骤）、项目人员（项目实施团队人员）、项目验收标准、付款方式、违约条款等等内容逐一进行约定。

签订《测评服务合同》同时，测评机构应签署《保密协议》。《保密协议》一般分两种，一种是测评机构与被测单位（公对公）签署，约定测评机构在测评过程中的保密责任；一种是测评机构项目组成员与被测单位之间签署。

项目启动会

在双方签完委托测评合同之后，双方即可约定召开项目启动会时间。项目启动会的目的，主要是由甲方领导对公司内部涉及的部门进行动员、提请各相关部门重视、协调内部资源、介绍测评方项目实施人员、计划安排等内容，为整个等级测评项目的实施做基本准备。

系统情况调研

启动会后，测评方开展调研，通过填写《信息系统基本情况调查表》，掌握被测系统的详细情况，为编制测评方案做好准备。测评准备活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分,直接关系到后续工作能否顺利开展。一个二级系统的测评准备工作一般需要1天半，三级系统的准备工作一般需要2天左右完成。

2、测评方案编制阶段

该阶段的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评实施手册，形成测评方案。方案编制活动为现场测评提供最基本的文档依据和指导方案。一个二级系统的方案编制工作一般需要2天左右完成。

3、现场测评阶段

现场测评活动是开展等级测评工作的核心活动，包括技术测评和管理测评。其中技术测评包括: 物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复。管理测评包括:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。现场差距测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。

一个二级系统的现场测评工作一般需要5天左右完成。

此阶段的输出物为物理安全现场测评记录、网络安全现场测评记录、主机安全现场测评记录、应用安全现场测评记录、数据安全和备份恢复现场测评记录、安全管理制度现场测评记录、安全管理机构现场测评记录、人员安全管理现场测评记录、系统建设管理现场测评记录和系统运维管理现场测评记录等。

4、分析与报告编制阶段

此阶段主要任务是根据现场测评结果，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。一个二级系统的分析和报告编制工作一般需要3-4天左右完成。

此阶段工作不一定需要在客户现场完成。《测评报告》的模板是由公安机关统一制定的。

此阶段的输出物为《某系统等级测评报告》、《某系统整改建议》。

5、整改阶段

主要根据测评机构出具的差距测评报告和整改建议进行整改，此阶段主要由备案单位实施，测评机构协助，客户可以根据自身的实际情况，把整改分为短期、中期、长期。

6、验收测评阶段

测评流程与之前的流程相同，主要是检查整改的效果。

综上，一个二级系统完整的测评一次，在客户方充分配合、测评方派3名测评师的情况下，大致需要四周左右。如果有多个系统同时测评，会存在部分重复工作，具体情况需要具体分析。

证书案例

 等级保护共分五个阶段：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

等级保护测评流程是：

1、摸底调查：摸清信息系统底数，掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况。

2、确立定级对象：应用系统应按照业务类别不同单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象。

3、系统定级：定级是信息安全等级保护工作的首要环节，是开展信息系统安全建设、等级测评、监督检查等工作的重要基础。

4、专家批审和主管部门审批：运营使用单位或主管部门在确定系统安全保护等级后，可以聘请专家进行评审。

5、备案：备案单位准备备案工具，填写备案表，生成备案电子数据，到公安机关办理备案手续。

6、备案审核：受理备案的公安机关要及时公布备案受理地点、备案联系方式等，对备案材料进行完整性审核和定级准确审核。

7、系统测评：第三级以上信息系统按《信息系统安全等级保护备案表》表四的要求提交01-07共七分材料。

8、整改实施：根据测评结果进行安全要求整改。

---