示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予安全治理云图服务系统管理员权限“Compass FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，验证权限： 验证方式（参考）：您可以尝试订阅安全合规包，此时如果订阅成功，则表示设置的“Compass FullAccess”安全治理云图服务系统管理员角色已生效。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 权限 授权项 授予Compass服务用户的操作权限 compass:agency:create 查看Compass服务的授权信息 compass:agency:get 获取发布的合规包的列表 compass:releasePackage:list 订阅合规包 compass:releasePackage:subscribe 取消订阅合规包 compass:package:delete 获取订阅合规包的列表 compass:package:list 获取合规包的检测路径 compass:packageDetectionPath:get 获取合规包的详情 compass:packageDetail:get 获取合规包扫描的统计情况 compass:packageStatistics:get 获取订阅合规包的检查项列表 compass:packageCheckitem:list 更新订阅合规包的检查项 compass:packageCheckitem:set 下载合规包检查项的文件 compass:packageCheckitemFile:get 获取合规包标准扫描的统计结果 compass:packageStandardStatistics:get 获取合规包标准的目录树信息 compass:packageStandardCatalog:get 上传合规包的检查项的证据文件 compass:packageCheckitemFile:upload 获取合规包检查项文件列表 compass:packageCheckitemFile:list 删除合规包的检查项的文件 compass:packageCheckitemFile:delete 获取合规包标准控制项的详情 compass:packageStandardItem:get 获取合规包检查项的详情 compass:packageCheckitem:get 获取合规包检查项的策略列表 compass:packageCheckitemPolicy:list 获取合规包检查项的控制项列表 compass:packageCheckitemItem:list 获取安全合规包策略扫描结果的统计信息 compass:packagePolicyStatistics:get 获取合规包服务扫描结果的统计信息 compass:packageServiceStatistics:get 获取合规包策略的扫描结果列表 compass:packagePolicy:list 获取策略扫描的详情 compass:packagePolicy:get 获取合规包的检查项的历史操作列表 compass:packageCheckitemUpdate:list 获取策略下资源的扫描结果列表 compass:packagePolicyResource:list 下载安全合规报表 compass:packageReport:get

Compass自定义策略样例 示例1：授权用户获取发布的合规包列表信息 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "compass:releasePackage:list" ] } ]} 示例2：拒绝用户订阅安全合规包信息 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予“Compass FullAccess”的系统策略，但不希望用户拥有“Compass FullAccess”中定义的订阅安全合规包的权限，您可以创建一条拒绝修改配置信息的自定义策略，然后同时将“Compass FullAccess”和拒绝策略授予用户，根据Deny优先原则，则用户可以对Compass执行除了修改配置信息外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Action": [ "compass:releasePackage:subscribe" ], "Effect": "Deny" } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "compass:releasePackage:list", "compass:releasePackage:subscribe" ] }, { "Effect": "Allow", "Action": [ "hss:accountCracks:unblock", "hss:commonIPs:set" ] } ]}

云审计服务支持的Compass操作列表 安全治理云图服务Compass通过云审计服务（Cloud Trace Service，CTS）为用户提供云服务资源的操作记录，记录内容包括用户从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供用户查询、审计和回溯使用。 云审计服务支持的Compass操作列表如表1所示。 表1 云审计服务支持的安全治理云图服务Compass操作列表 操作名称 资源类型 事件名称 订阅合规包 package subscribePackage 删除合规包 package deletePackage 上传检查项的证据 package uploadCheckitemFile 删除检查项的证据 package deleteCheckitemFile 更新检查项 package updatePackageCheckitem 父主题： 云审计服务支持的关键操作

Compass权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对Compass服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表1所示，包括了Compass下所有的系统角色。 表1 Compass系统角色 角色名称 描述 类别 依赖关系 Compass FullAccess 安全治理云图服务所有权限。 系统策略 无 Compass ReadOnlyAccess 安全治理云图服务只读权限。 系统策略 无 用户在执行租户授权时必须拥有IAM的管理员权限（“Security Administrator”权限）。

隐私保护遵从包 当前可选择的安全遵从包如表1所示，租户依据判定指引选择并订阅安全遵从包。 表2 遵从包名称 描述 适用区域 分类 领域 判定指引 马来西亚隐私保护遵从包 该遵从包依据《马来西亚个人数据保护法》2010年（Personal Data Protection Act，2010，简称“PDPA”），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 马来西亚 法律法规 隐私保护 您是否涉及在马来西亚境内设立组织处理或授权处理商业交易有关的任何个人数据？ 您是否涉及使用马来西亚的设备收集处理商业交易有关的任何个人数据？ 您是否期望对您在马来西亚PDPA下的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 印度尼西亚隐私保护遵从包 该遵从包依据2008年第11号《电子信息和交易法》（EIT）、2019年第71号政府条例（GR71/2019）、 2016年第20号关于《电子系统中个人数据保护》的条例（MOCI 20/2016），提供检查项和评测指引供云计算客户（在本遵从包中也称作“企业”）自评遵从情况，并为您的企业处理个人数据的有关活动提供指引。 印度尼西亚 法律法规 隐私保护 您是否涉及在印度尼西亚境内或境外从事与印尼国民个人数据有关的活动？包括使用电子设备或程序收集、处理、分析、储存、显示、发送或分发个人数据。 您是否期望对您在印度尼西亚的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 巴基斯坦隐私保护遵从包 该遵从包依据《巴基斯坦个人数据保护法案》2020年（Personal Data Protection Act, 2020.），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 巴基斯坦 法律法规 隐私保护 您是否涉及处理、控制或被授权处理个人数据？此类个人数据由在巴基斯坦境内的任何数据主体、数据控制者或处理者（本国或外国）提供。 您是否期望对您在巴基斯坦的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 阿根廷隐私保护遵从包 该遵从包依据《阿根廷第25,326号个人数据保护法》2000年（Argentina Personal Data Protection Act 25,326，2000，简称“PDPL”），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，指导您的企业对收集、存储的客户个人数据进行适当地保护。 阿根廷 法律法规 隐私保护 您是否涉及在阿根廷境内对个人或法律实体（位于阿根廷或在阿根廷设有办事处、分支机构）个人数据的处理行为，包括通过文件、录音录像、数据库或其他数据处理技术手段记录个人数据？ 您是否期望对您在阿根廷PDPL下的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 智利隐私保护遵从包 该遵从包依据《智利个人数据保护法》2020年（Law No.19,628），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 智利 法律法规 隐私保护 您是否涉及公共机构或私人对登记册或数据库中的个人数据的处理？ 说明： 智利个人数据保护法没有对适用的“地域范围”进行规定。是否适用智利个人数据保护法或者是否受智利法律的管辖，在上述场景涉及的情况，建议考虑以下两点： 数据处理活动是否在智利领土范围有关联，例如在智利境内进行的搜集、储存数据。 数据处理活动是否与智利居民（包括法人、自然人）有关联。 您是否期望对您在智利的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 菲律宾隐私保护遵从包 该遵从包依据《菲律宾数据隐私法案》2012年（Data privacy Act of 2012,简称“DPA”）、《菲律宾数据隐私法案实施细则》（Implementing Rules and Regulations of the Data privacy Act of 2012,简称“DPA实施细则”）、以及《关于个人数据泄露管理的通知》（NPC Circular 16-03-Personal Data Breach Management），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 菲律宾 法律法规 隐私保护 您是否涉及在菲律宾境内通过办公室、分支机构或代理进行的个人数据处理行为？ 您是否涉及使用位于菲律宾境内的设备进行的个人数据处理行为？ 您是否涉及发生在菲律宾境外但针对菲律宾居民或公民进行的个人数据处理行为？ 您是否期望对您在菲律宾DPA、DPA实施细则下的个人数据保护相关风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 中国-澳门隐私保护遵从包 该遵从包依据《澳门个人资料保护法》2005年（Personal Data Protection Act，2005，简称“PDPA”），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并为您的企业处理个人数据的有关活动提供指引。 中国-澳门 法律法规 隐私保护 您或者您的企业是否涉及如下场景之一： 以全部或部分自动化方式进行个人资料（在本遵从包中也称作“个人数据”）处理活动； 以非自动化方式进行的，构成或拟构成人工存档系统的一部分的个人资料的处理活动； 使用监控录像或其它设备来捕捉、处理和传播可用以识别某一特定个人的声音和图像。 说明： 澳门个人资料保护法没有对适用的“地域范围”进行规定。是否适用澳门PDPA或者是否受澳门法律的管辖，在上述3个场景涉及的情况，建议考虑以下两点： 资料处理活动是否在澳门特区领土范围有关联，例如在澳门特区内进行的个人资料搜集、储存的行为； 资料处理活动是否与澳门居民（包括法人、自然人）有关联。 您是否期望对您在澳门的个人资料处理方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 中国-大陆隐私保护遵从包 该遵从包依据《中国个人信息安全规范》2020年的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，为企业提供开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的安全要求，并给出了隐私保护方面的改进建议，帮助您的企业提升个人信息保护水平。 中国大陆 法律法规 隐私保护 您是否涉及在中国大陆境内进行个人数据的收集、使用或披露等个人信息处理活动？ 您是否期望对您在中国个人信息安全规范下的个人信息安全风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 中国-香港隐私保护遵从包 该遵从包依据《香港个人资料（私隐）条例》1995年（Personal Data （Privacy ）Ordinance，1995，简称PDPO）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，指导您的企业如何收集、存储、传输、处理和使用收集到的个人数据，并给出了隐私保护方面的改进建议，帮助您的企业提升隐私保护及信息安全水平。 中国香港 法律法规 隐私保护 您是否涉及对一名在世人士有关及可确定个人身份的资料，以可供查阅及处理的方式记录下来？ 说明： 香港PDPO没有对适用的“地域范围”进行规定，是否适用中国香港PDPO，建议结合以下条件考虑：您是否涉及作为香港境内的资料使用者（在本遵从包中也称作“数据控制者”）收集、使用、或处理个人资料（在本遵从包中也称作“个人数据”）？ 您是否期望对您在香港PDPO下的个人资料处理相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 新加坡隐私保护遵从包 该遵从包依据《新加坡个人数据保护法》2012年（Personal Data Protection Act，2012，简称PDPA）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助您的企业规范个人数据的收集、使用或披露，以及提升个人保护其个人信息数据各项权利的意识。 新加坡 法律法规 隐私保护 您是否涉及在新加坡境内进行个人数据的收集、使用或披露等个人信息处理活动？ 您是否期望对您在新加坡个人数据保护法下的个人数据保护相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 泰国隐私保护遵从包 该遵从包依据《泰国个人数据保护法 B.E.2562》 2019年（Personal Data Protection Act B.E.2562 2019, 简称PDPA）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助企业全面管理数据保护以及个人数据的收集、保护、使用、存储、披露、传输。 泰国 法律法规 隐私保护 您是否涉及在泰国境内收集、保护、使用、披露、传输和其他处理个人数据的情形？ 您是否涉及对位于泰国境内的个人数据主体从事以下活动： 您向泰国境内的数据主体提供服务，无论是否由该数据主体支付费用 监控数据主体的行为，且该监控发生在泰国境内 您是否期望对您在泰国个人数据保护法下的个人数据保护风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 南非隐私保护遵从包 该遵从包依据《南非个人信息保护法》2013年（Protection of Personal Information Act，2013，简称POPIA）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，保护企业处理的个人信息。 南非 法律法规 隐私保护 您的企业是否设立在南非境内，并涉及处理个人信息？ 若您的企业不设立在南非境内，是否涉及在南非境内通过自动或非自动手段处理个人信息？ 您是否期望对您在南非个人信息保护法下的个人数据保护相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 墨西哥隐私保护遵从包 该遵从包根据《墨西哥保护私人实体持有的个人数据联邦法》2010年（The Federal Law on the Protection of Personal Data held by Private Parties，2010，简称PPDPP）、《墨西哥保护私人实体持有的个人数据联邦法实施细则》2011年（Regulations to the Federal Law on the Protection of Personal Data held by Private Parties，2011）、《墨西哥联邦消费者保护法》2004年（Federal Consumer Protection Law，2004）、《墨西哥保护义务主体持有的个人数据联邦法》2017年（The General Law for the Protection of Personal Data in Possession of Obligated Subjects，2017）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，为您的企业提供了处理个人数据时可参照的安全保护要求。 墨西哥 法律法规 隐私保护 您或者您的企业是否涉及在物理或电子媒体中的个人数据的处理？ 说明： 墨西哥PPDPP没有对适用的“地域范围”进行规定，根据该法的相关条例中对于该条例的处理所发生的“领土范围”的补充，是否适用墨西哥PPDPP，在上述场景涉及的情况下，建议考虑以下几点： 该处理是在您作为数据控制者的位于墨西哥的机构中进行的。 该处理是由您作为数据处理者代表在墨西哥设立的数据控制者进行的，无论其位置。 您的企业未在墨西哥设立机构，但由于提供服务/产品签订了合同或根据国际条约而受墨西哥法律的约束。 您的企业未在墨西哥设立机构，但使用位于墨西哥的媒介，除非这些媒介仅用于不涉及处理的过境目的。 您是否期望对您在墨西哥的个人数据保护相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 巴西隐私保护遵从包 该遵从包根据《巴西2020年通用数据保护法》（in Portuguese，LGPD, Lei Geral de Proteção de Dados，2020，简称LGPD）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助您在进行个人数据的收集、使用、处理和存储时提供安全遵从要求。 巴西 法律法规 隐私保护 您是否在巴西境内进行个人信息处理的操作？ 若您的企业不设立在巴西境内，但以提供货物或服务为目的处理位于巴西境内的个人数据？ 若您的企业不设立在巴西境内，但所处理的个人数据在巴西境内收集？ 您是否期望对您在巴西通用数据保护法下的个人数据保护风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 秘鲁隐私保护遵从包 该遵从包根据《秘鲁个人数据保护法》2011年（Personal Data Protection Law，2011，简称PDPL）的法规要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）进行自评估，并给出了隐私保护方面的改进建议，帮助您在进行个人数据的收集、使用、处理和存储时提供安全遵从要求。 秘鲁 法律法规 隐私保护 您是否涉及在秘鲁国家领土内进行的个人数据处理活动？ 若您的企业不设立在秘鲁境内，但是根据合同规定、秘鲁的特定法律或者国际法相关规定，个人数据处理活动仍受秘鲁个人数据保护法的适用？ 若您的企业不设立在秘鲁境内，但是数据处理活动使用的工具或手段位于秘鲁境内，除非使用该工具仅出于传输数据的目的？ 您是否期望对您在秘鲁个人数据保护法下的个人数据保护相关风险进行识别，并获取如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。

安全标准遵从包 当前可选择的安全遵从包如表1所示，租户依据判定指引选择并订阅安全遵从包。 表1 安全遵从包一览 遵从包名称 描述 适用区域 分类 领域 判定指引 PCI DSS安全遵从包 该遵从包依据广受国际认可的数据安全标准-支付卡行业数据安全标准 (PCI DSS 3.2.1版，2018 年 5 月)，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评数据安全管理情况，并结合PCI DSS给出了数据安全方面的改进建议，帮助企业提升数据安全水平。 全球 行业标准 数据安全 您是否作为参与支付卡处理的实体，包括商户、处理商、收单机构、发卡机构和服务提供商？ 您是否存储、处理或传输持卡人数据（主账户信息（PAN，一般为银行卡号）、持卡人姓名、银行卡有效期、业务码）或敏感验证数据（全磁道数据、信用卡安全码、PIN）？ 您是否期望对您在数据安全方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 ISO 27001安全遵从包 该遵从包依据国际上公认的ISO 27001信息安全管理体系要求（2013版），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评信息安全管理情况，并给出了信息安全方面的改进建议，帮助企业提升信息安全水平。 全球 国际标准 信息安全 ISO 27001为组织建立、实施、运行、保持和持续改进信息安全管理体系规定了要求，是一项具有普适性的信息安全标准。 如您期望对您在信息安全方面的风险进行识别，并获知如何采取措施降低风险，建议您订阅该遵从包。 ISO 27701安全遵从包 该遵从包依据国际上公认的ISO 27701隐私信息管理要求和指南（2019版），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评隐私信息管理情况，并给出了隐私保护方面的改进建议，帮助企业贯彻隐私保护的责任，提升隐私保护及信息安全水平。 全球 国际标准 隐私保护 您是否涉及处理（包括收集、使用、传输、存储、删除等）个人可识别信息（简称“PII”，如姓名、电话号码、电子邮箱、身份证件信息等，在本遵从包中也称作“个人数据”）？ 您是否作为PII控制者（决定PII处理目的和方法的隐私利益相关方，在本遵从包中也称作“数据控制者”）和/或PII处理者（代表PII控制者，并按照PII控制者的指示对PII进行处理的隐私利益相关方，在本遵从包中也称作“数据处理者”）的角色？ 您是否期望对您在隐私保护方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 等保2.0标准四级安全遵从包 该遵从包依据国家标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中四级的安全要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评网络安全管理情况，并给出了网络安全等级保护的改进建议，帮助企业建设网络安全体系，提升网络安全水平。 中国 国家标准 网络安全 您是否涉及网络安全等级保护工作的作用对象，主要包括基础信息网络（为信息流通、信息系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备设施）、信息系统（例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统）和大数据等？ 您是否期望对网络实施分级保护措施，在网络安全保护方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 等保2.0标准三级安全遵从包 该遵从包依据国家标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中三级的安全要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评网络安全管理情况，并给出了网络安全等级保护的改进建议，帮助企业建设网络安全体系，提升网络安全水平。 中国 国家标准 网络安全 您是否涉及网络安全等级保护工作的作用对象，主要包括基础信息网络（为信息流通、信息系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备设施）、信息系统（例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统）和大数据等？ 您是否期望对网络实施分级保护措施，在网络安全保护方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。

功能特性 安全治理云图为您提供安全治理模板与合规策略扫描服务，将安全遵从包内的法规标准条款转化成检查项。 提供安全遵从包 华为开放的安全治理模板，包含法规标准条款原文、扫描策略、自评估检查项以及华为专家的改进建议，覆盖PCI DSS、ISO27701、ISO27001、隐私等法规标准。租户可以订阅、取消订阅安全遵从包，查看合规评估与治理结果。 合规策略扫描 Policy as Code，将安全遵从包内的法规标准条款代码化，周期性、自动化扫描云上资产的合规情况，可视化看板呈现风险，提供华为专家改进建议。 自评估检查项 将安全遵从包内的法规标准条款转化成检查项，租户可根据检查项完成自身业务的合规评估，查看历史评估结果，进行证据上传和下载，根据华为专家改进建议进行治理。 合规结果可视 可视化呈现合规评估结果与安全治理情况，包括租户订阅的法规、标准条款遵从概况，各安全遵从包状态，各策略扫描概况。

什么是安全治理云图？ 安全治理云图（Compliance Compass）是一个自动化合规评估和安全治理的平台，以华为内部“云服务网络安全与合规标准”（Cloud Service Cybersecurity & Compliance Standard，3CS）为基座，将华为积累的全球安全合规经验服务化，开放PCI DSS、ISO27701、ISO27001等安全治理模板，将合规语言IT化实现自动化扫描，可视化呈现合规状态，一键生成合规遵从性报告，帮助租户快速实现云上业务的安全遵从，提升租户获得法规及行业标准认证的效率。

与云审计服务的关系 云审计服务（Cloud Trace Service，CTS）记录Compass服务相关的操作事件，方便用户日后的查询、审计和回溯，具体请参见《云审计服务用户指南》。 表1 云审计服务支持的安全治理云图服务操作列表 操作名称 资源类型 事件名称 订阅安全遵从包 package subscribePackage 删除安全遵从包 package deletePackage 上传检查项的证据 package uploadCheckitemFile 删除检查项的证据 package deleteCheckitemFile 更新检查项 package updatePackageCheckitem

安全治理云图服务支持哪些云服务进行合规检查？ 目前安全治理云图服务支持对以下云服务的资源进行合规检查： 云数据库（RDS），统一身份认证服务（IAM），文档数据库（DDS），API网关（APIG），Web应用防火墙（WAF）， 弹性云服务器（ECS）云硬盘（EVS），对象存储服务（OBS），AI开发平台（ModelArts），虚拟私有云（VPC）， 数据加密服务（DEW）进行合规策略扫描。 父主题： 咨询类