意見按鈕

粵港雲計算服務採購實務指南

  1. 鳴謝
  2. 免責聲明
  3. 目的
  4. 簡介
  5. 關鍵領域 1 : 服務水平
  6. 關鍵領域 2 : 服務協議
  7. 關鍵領域 3 : 服務費用
  8. 關鍵領域 4 : 服務管理
  9. 關鍵領域 5 : 遷入及遷出雲端
  10. 關鍵領域 6 : 資訊保安管理和私隱保護
  11. 關鍵領域 7 : 數據所有權、位置及知識產權所有權
  12. 關鍵領域 8 : 訂約(服務條款)
  13. 關鍵領域 9 : 服務違約
  14. 圖像: PDF 下載《粵港雲計算服務採購實務指南》的完整PDF版本(點擊這裡下載)

 

鳴謝

 

香港特別行政區政府資訊科技總監辦公室及廣東省經濟和信息化委員會謹此鳴謝「粵港雲計算服務和標準專家委員會」和它轄下的「粵港雲計算服務採購實務指南聯合專責小組」各成員( 見下表)。他們積極投入,並付出寶貴的時間和努力,貢獻他們的專業知識,使《粵港雲計算服務採購實務指南》的擬備、審閱、批註和定稿工作得以順利完成。

 

粵港雲計算服務和標準專家委員會成員
粵方 港方
鄒生博士(粵方召集人) 賴錫璋(港方召集人)
陳少媚 張偉犖教授
趙淦森教授 黃仲翹博士
季統凱博士 鍾偉強博士
徐澤明博士 陳永誠
唐宏 何偉中
劉忻 陳峻斌博士
許洪波 繆正維
呂偉華 林偉喬
陳曉健 李志賢
梁天爵 莫桂英

 

粵港雲計算服務採購實務指南聯合專責小組成員
粵方 港方
趙淦森教授(粵方召集人) 鍾偉強博士(港方召集人)
唐華副教授 李堯 張宇 黃仲翹博士
丁曙初 汪疆平 張昉 繆正維
王芳 周冠宇 畢錦雄 吳瀚博士
王翔 季統凱博士 許暉 李子圖
劉小茵 羅章江 許紅濤  
呂暉 鄒理賢 謝浩安  
何惠研 黃邵明 趙輝國  
李巧玲 黃海 陳天  
李惊生 孫傲冰博士 李剛  
劉峻 許正強 陳統  
林成創      

 

我們特別鳴謝電子工業標準化研究院軟件與信息服務中心周平副主任、香港雲端運算服務和標準專家小組以及其轄下的雲端保安及私隱工作小組和雲端服務提供、互用性及使用事宜工作小組各成員為《粵港雲計算服務採購實務指南》提供了寶貴的意見。

 

我們也特別感謝廣東省軟件行業協會、廣東省雲計算產業聯盟及聯盟的成員單位積極參與和支持《粵港雲計算服務採購實務指南》的編製、試點、驗證和推廣等工作。

 

top

 

免責聲明

 

在《粵港雲計算服務採購實務指南》(下稱「本指南」)所提供的資料僅限於作一般參考之用。本指南所載的資料並非為採購雲端運算服務(下稱「雲端服務」)提供詳盡指導。粵港雲計算服務和標準專家委員會(下稱「專家委」)並沒有就本指南所載資料的準確性和就個別目的或使用的適用性作出明示或隱含保證。

 

本指南亦載有由其他各方提供的資料及連接到其他網站的連結(統稱「其他資料」)。專家委不對網站所載其他資料和相關資料的權威性和準確性作保證。

 

對於與本指南有關聯的任何原因所引致的任何損失或損害,專家委概不負責。專家委保留增加、刪除或編輯本指南所載的各項資料而無須給予任何理由的權利。讀者須負責自行評估本指南所載的各項資料或與本指南有關聯的各項資料。

 

top

 

目的

 

《粵港雲計算服務采購實務指南》(下稱“實務指南”)適用於粵港地區的組織,其主要目的在於幫助各類組織了解雲端運算及其可帶來的好處,以及如何評估和考量採購雲端服務所涉及的風險。在這方面,組織在考慮採用雲端運算時須全面評估自身對雲端運算解決方案的要求,以及這些解決方案能夠在多大程度上滿足這些要求。就此,雲端服務採購方需要謹慎判斷。

 

top

 

簡介

 

雲端運算是服務供應商通過網絡向用戶交付IT資源,例如網絡、伺服器、儲存、應用系統軟件及服務等雲端服務。用戶無需自己建設、設置和管理資訊科技基礎設施、系統和服務。用戶僅僅需要參照租用服務模式,按照使用量來支付使用這些雲端服務的費用。

 

雲端服務模式分類

 

參照財政部2013年發布的《政府採購品目分類目錄》 的分類,雲端服務大致上可分為三種「服務模式」:

 

  • 基礎設施即服務(IaaS) — 向用戶提供資訊科技系統基礎設施的租用服務,如數據中心服務、儲存轉發服務等。
  • 平台即服務(PaaS) — 向用戶提供數據庫、業務支援平台、系統開發、系統配置、系統測試、商業智能等工具的租用服務。
  • 軟件即服務(SaaS) —向用戶提供軟件系統的部分或全部功能的租用服務。

 

設置模式

 

雲端服務共有四種設置模式:

 

  • 公共雲 — 可任意被雲端服務客戶使用,且資源被雲端服務供應商控制。
  • 私有雲 — 僅被一個雲端服務客戶使用,且資源僅被該客戶所控制。雲端運算基礎設施特定為某個組織服務,可以是該組織或某個第三方負責管理,可以是場址內服務,也可以是場址外服務。
  • 社群雲 — 僅支援一組特定的雲端服務客戶,且在這組雲端服務客戶內共享。這組雲端服務客戶的需求共享,彼此相關,且資源至少由一名組內的雲端服務客戶所控制。
  • 混合雲 — 至少包含兩種不同的雲端運算設置模式。

 

採購雲端服務時要考慮的關鍵領域

 

採購雲端服務時要考慮的9個關鍵領域: 服務水平、服務協議、服務費用、服務管理、遷入及遷出雲端、資訊保安管理和私隱保護、數據所有權、位置及知識產權所有權、訂約(服務條款)和服務違約。各個關鍵領域的考慮都在實務指南中各自章節有詳細闡述。

 

top

 

關鍵領域1:服務水平

 

服務水平協議(SLA)規定了雲端服務供應商與用戶之間的相互制約關係。服務水平協議主要分為兩種:現成協議和經磋商後特別制定協議,並包含若干服務水平目標(SLO)。這些服務水平目標客觀規定了可計量的服務要求,並設定服務期望值。

 

一般而言,這些服務水平目標客觀規定了可計量的服務要求,須考慮以下內容:

 

  • 所界定的服務水平目標的相關性
  • 所界定的服務水平目標的充分性
  • 所選服務水平目標的指標是否恰當
  • 如何有效地測量及客觀地監視服務水平目標
  • 若服務供應商未能達到服務水平目標會有什麼後果。用戶如何作出相應的業務應變計劃

 

top

 

關鍵領域2:服務協議

 

就任何有關雲端運算的協議而言,服務供應商就其服務所作的承諾,以及就其服務表現所作的保證,均是協議的重要部分。若服務供應商未能兌現所作的承諾或保證,則須採取特定補救措施。因此,服務承諾應明確規定以下內容:

 

  • 各方的責任;
  • 任何時限或其他限制;以及
  • 未能履行承諾的賠償或補救措施。

 

如果服務供應商在簽約前向用戶作出任何涉及服務承諾和保證的聲明(不論是以書面、口頭或是通過提供服務相關信息的方式作出),則該等聲明應作為協議的一部分,並在協議文件中再次注明。用戶常誤以為此類簽約前聲明最終將構成協議的一部分,且可在後期承諾未兌現時加以倚賴。事實卻往往相反,協議會清楚寫明,凡沒有記錄在合約內的聲明,一律不予接受。

 

 

服務供應商的免責聲明、責任限制及免責條款是用戶須注意的主要問題。鑒於服務供應商通常會盡力免除或限制其在雲端服務協議下承擔的風險,免責條款或責任限制一般會削減或盡量減低服務供應商所願意提供的任何承諾的價值。因此,在評估服務供應商擬就其服務提供承諾及保證時,用戶還須了解這些承諾的限制。

 

top

 

關鍵領域3:服務費用

 

雲端服務的特點在於按需、靈活、可計量,其付費模式一般可分為「按實際使用量付費」和「批量優惠付費」等兩大類,用戶可不用考慮傳統資訊科技週期中計劃、採購、維護硬件的成本和複雜性,按需、靈活的使用各類雲端服務。

 

在採購雲端服務時,用戶須:

 

  • 了解收費詳情-例如收費的計量單位、有關費用是按資源分配量還是資源使用量收取、未經使用的電腦資源(如閒置的虛擬機)是否收費等等。
  • 須比較收費率-查看更具體的虛擬電腦資源的效能信息(例如反映虛擬處理器效能的處理器內核效能),以客觀比較不同雲端服務供應商的單位收費率。並將捆綁在一起的軟件和服務納入考慮之列。
  • 考慮退出安排-了解是否設有最短使用期承諾,以及是否須就提早終止合約付罰款。以及查明在終止合約時是否須就移走虛擬伺服器、數據和軟件許可而支付額外費用。

 

top

 

關鍵領域4:服務管理

 

服務營運的目標在於服務供應商如何穩妥地向用戶交付可靠和優質的服務,並符合服務水平協議的標準。如同任何新興的IT技術一樣,用戶應謹慎應用雲端服務,並對服務供應商的服務管理進行詳細研究。根據用戶所選擇不同服務模式的雲端服務,用戶和雲端服務供應商需承擔的責任會有所不同。然而,用戶必須先了解雲端服務供應商所採用的雲端服務策略、雲端服務監控,才能評估其提供的雲端服務質量、相關的安全性和私隱風險、以及對採用其雲端服務的用戶所能產生的潛在效益。

 

用戶應將服務供應商的服務管理與行業中最佳實踐作比較,例如,比較服務管理中有關安全性的最佳實踐。雲端服務供應商通常提供多種服務計劃,用戶需要自行管理這些計劃。用戶所屬組織需委派個別人士或小組處理、監察及協調各種雲端運算業務流程相關的問題,以及制訂管理雲端環境的妥善做法。

 

除與雲端服務供應商交流外,用戶亦須監察這些雲端服務供應商的工作。有部分供應商提供工具,如儀錶板界面,使用戶可自行監察他們的雲端服務。

 

top

 

關鍵領域5:遷入及遷出雲端

 

遷入雲端運算,是指用戶把傳統業務的應用系統及數據遷移到雲端運算中時採取的方法和步驟。與任何技術轉換的情況相同,用戶須就所作出的改變 — 包括遷移數據及應用系統,制訂項目計劃以及風險緩解措施。

 

另一方面,遷出雲端運算,則是指用戶因更換雲端服務供應商或停用雲端運算而將應用系統及數據遷出雲端運算的方法和步驟。用戶關注的重點是確保從雲端運算平台安全地取回及遷出(並在適當時刪除)用戶數據。往往極少用戶會從私有雲中再把數據和應用系統轉換到傳統模式。

 

用戶與雲端服務供應商為確保遷入和遷出雲端運算環境的過程順利,須研究以下五個方面:

 

  • 應用系統遷移-用戶應按照三步原則對組織內部現有應用系統進行分析:系統兼容性、保安要求、遷移成本。
  • 數據遷移-用戶應查看雲端服務供應商所提供的數據遷移選項,尤其是工具或說明文件。當數據遷移涉及複雜的系統和數據轉換時,用戶應注意是否須支付額外費用。用戶應查詢並清楚了解雲端服務供應商如何處理數據外泄問題以及如何保護數據。
  • 遷移流程-用戶應該考慮與雲端服務供應商協商遷移流程,確保遷移不會影響用戶業務的正常運行。同時,如果用戶數據遷移不成功,應有退回機制,確保在遷移不成功時,能退回到用戶的原有系統上。
  • 服務計費及計量-由於雲端服務通常按使用量收費,用戶應注意查看及審核雲端服務相關計費及計量的程序,以確保計費項目和使用量相符。
  • 數據保留-終止雲端服務時,用戶必須決定如何處理儲存在雲端運算環境中的數據。用戶可選擇將數據遷移到另一雲端服務供應商或用戶本身擁有的磁碟空間,然後徹底刪除數據,或在原雲端服務供應商中購買服務進行數據備份和存檔。

 

top

 

關鍵領域6:資訊保安管理和私隱保護

 

用戶應了解在雲端服務環境中,其數據管理方式的變化,並須深入了解相關問題和關注事項,以確保其數據在雲端服務環境中受到持續的保護。此外,用戶應具有相關的知識及評估能力,確定雲端服務供應商已採取足夠的安全性控制措施充分保護其敏感數據。

 

雲端運算保安問題涉及到資訊科技系統運行過程中的各方面,需要綜合考慮與評估。如下圖所展示,雲端運算保安問題涉及到資訊科技系統的各個範疇。對於缺乏足夠專業能力和評估手段的雲端服務用戶,建議可參考雲端服務供應商所獲得的雲端運算保安管理認證情況。(如ISO/IEC 27001、C-STAR、等級保護等)。

 

top

 

為了讓用戶組織了解使用雲端服務所涉及的安全性問題,以及協助雲端服務供應商制訂合適的安全性控制措施,可在以下鏈接獲得更詳細的指導。

 

圖像: PDF雲端服務用戶的資訊保安備忘事項

圖像: PDF雲端服務供應商在雲端平台上處理可識別個人資料的資訊保安及保障私隱備忘事項

 

top

 

關鍵領域7:數據所有權、位置及知識產權所有權

 

雲端服務與傳統IT外判相似,會產生涉及所有權及知識產權(IP)的問題,此外,雲端服務還會涉及數據位置的問題。鑒於雲端服務(無論是基礎設施即服務(IaaS)、平台即服務(PaaS)或軟件即服務(SaaS))的商業性質,雲端服務供應商一般不會影響用戶數據和應用程序的所有權及擁有權,反之亦然。但是,由於伺服器、儲存器、網絡及應用系統的共享及虛擬化程度非常高,而且有一些雲端服務是跨地域的,用戶可能應關心其數據所在位置、保安等問題。

 

共有幾個關鍵點要注意:

 

  • 數據及應用系統的所有權-用戶應向服務供應商核實他們的數據及應用系統(包括在雲端開發的應用程序以及在雲端建立的數據)的權屬關係,以及了解服務供應商怎樣管理這些數據及應用系統。
  • 數據位置-用戶應了解雲端數據儲存的具體位置,並應在必要時與服務供應商議定數據位置。雲端服務供應商更可能委聘分包商,以應付高峰期的需求,用戶應了解服務供應商要對分包商有足夠的管理。用戶亦應了解當服務供應商不再提供IT資源時,如何妥當地處理用戶的數據和系統,保障用戶數據和系統的安全。
  • 知識產權(IPR)-除數據外,用戶可利用雲端服務開發和運行應用系統。對於這些應用系統和數據,用戶應與服務供應商議定知識產權屬於哪一方。
  • 糾紛的處理-為避免與第三方發生數據和應用系統的糾紛,用戶與服務供應商應在服務合約中確定自己提供的內容的知識產權的合法性。

 

top

 

關鍵領域8:訂約(服務條款)

 

在任何交易中,交易各方之間的規則和承諾由合約或協議確立。如果具約束力的合約中沒有訂明承諾,那麼總的來看,有關承諾應假定為不存在。在服務交易(如雲端運算)中,合約起到了尤為關鍵的作用,這是因為能夠定義交付的有形產品並不存在。

 

要穩妥地訂立雲端運算解決方案合約,用戶必須採取一系列不同的步驟,每個步驟必須適切地針對某種情況:

 

  • 第一步:用戶需求 — 數據、應用及業務需求
  • 第二步:現成合約條款
  • 第三步:評估用戶需求與現成合約條款的一致性
  • 第四步:特殊風險考慮因素 — 可變更條款
  • 第五步:針對傳統服務供應商的盡職審查

 

服務合約的訂立總是由用戶而起。由於雲端運算可節省成本和具靈活性,促使用戶作出快速的業務決策,因此帶來了新的挑戰。用戶必須嚴加克制,管理本身的風險,以及有效地進行必要的評估和決定。用戶應就雲端訂約制定明確的內部規則,避免不經意地在雲端運算潛在的巨大裨益(例如節省成本及靈活性)和風險之間失卻平衡。

 

為了讓用戶了解一般雲端服務合約的內容,雲資訊網載有一些雲端服務合約的樣本或連結。用戶可透過以下連結瀏覽:
http://www.infocloud.gd.gov.cn/
http://www.infocloud.gov.hk/

 

top

 

關鍵領域9:服務違約

 

雲端服務合約往往甚少(如有的話)規定服務供應商須作出提供服務的具體承諾。而且,即使服務供應商作出履約承諾,通常該等承諾的範圍亦甚為狹隘,或在很大程度上可獲豁免。因此,用戶決定在其業務採用某特定雲端服務前,務必先了解服務供應商所作的承諾,以及服務供應商違約時用戶所享有的權利。

 

用戶應了解服務供應商的服務承諾和服務內容之間是否完全對應,特別是在服務供應商的承諾遠少於服務內容的情況。

 

訂明履約責任的合約通常包含特定豁免條文。用戶須格外審慎研究該等合約條文,以判斷這些條文會否將風險提升至不可接受的程度。在此類豁免履約的條文中,最常見的是適用於「不可抗力」事件的條文。用戶須審慎考慮該等豁免履約條文是否可接受,又或該等條文會否為用戶帶來過高的風險,以致無法在業務運作中採用雲端服務。

 

若服務合約載明服務供應商有履約責任,但服務供應商卻作出不獲豁免的未履約行為,用戶便可再次審視合約中因服務供應商未履約而可享有的權利,最常見的有兩種,即合約終止權和損害賠償申索權。

 

  • 終止合約-雲端服務的終止中必須考慮的因素是所屬資產的取回,例如數據是否能有效取回。由於數據在服務供應商中可能存在多個副本,服務供應商應對數據的銷毀負有相應責任。對於敏感資料,服務供應商對於資料的保密責任不應隨著合約終止而終止。
  • 損害賠償及責任限制-損害賠償通常是指服務供應商就其未能提供服務致令用戶蒙受的損失(至少是部分損失)而作出的金錢補償 。在這方面,根據標準行業慣例,服務合約中會加入明確條文,訂明服務供應商須就違約而負上責任的程度。該等賠償通常以合約期內或指定期內一筆(或多筆 )款項的最高總金額為限,且根據合約須在若干個月內支付有關款項 。

 

top

 

下載

 

圖像: PDF 點擊這裡下載《粵港雲計算服務採購實務指南》的PDF文件

 

上一頁 頁首