政府資訊科技總監辦公室謹此鳴謝下表所列的「雲端運算服務和標準專家小組」轄下「雲端服務提供及使用事宜工作小組」的非官方及增選成員。他們積極投入,並付出寶貴的時間和努力,使《採購雲端服務的實務指南》的擬備、審閱、批注和定稿工作得以順利完成。
成員 | 機構 |
---|---|
孫漢湃先生(註1) | ECT Services Limited 首席顧問 |
鍾偉強博士 | 香港數碼港管理有限公司 技術總監 |
陳漢偉博士 | 香港城市大學 資訊總監 |
馬裕杰先生 | Cloud Security Alliance 香港及澳門分會 主席 |
戴劍寒先生 | IBM 全球創新網絡 香港區首席科技專家 |
黃仲翹博士 | 永泰信息技術服務有限公司 主席 |
楊強教授 | 香港科技大學 計算機科學及工程學系副主任及教授 |
任德盛教授 | 香港中文大學 信息工程學系教授 |
Mr Redouane BOUQDIB | 香港上海匯豐銀行有限公司 亞太區科技及服務部高級經理 |
簡安納女士 | 貝克•麥堅時律師事務所 合夥人 |
馬斯杰先生 | 孖士打律師行 合夥人 |
吳瀚博士 | 香港生產力促進局 資訊科技業發展高級顧問 |
白永學教授 | Departmental Associate (Emeritus), SLAC National Accelerator Laboratory (Stanford University), USA |
王國雄先生 | 香港賽馬會 經理(系統) |
註: 1. 孫漢湃先生於二零一三年五月去世。
已故的「雲端服務提供及使用事宜工作小組」前召集人孫漢湃先生為編製此實務指南提供了寶貴的專業意見,謹此特別致謝。
政府資訊科技總監辦公室也特別感謝香港專業教育學院(李惠利)的教職員與學生,為《採購雲端服務的實務指南》製作了精彩的推廣短片。
教職員 | 黃百基 李柏基 |
學生 | 陳家裕 陳芷晴 黎子峯 黃敏言 鄧浩明 |
在《採購雲端服務的實務指南》(下稱“指南”)所提供的資料只供一般參考之用。本指南所載的資料並非為採購雲端服務提供詳盡指引。香港特別行政區政府(下稱“政府”)並沒有就本指南所載資料的準確性和就個別目的或使用的適用性作出明示或隱含保證。
本指南亦載有由其他各方提供的資料及連接到其他網站的連結(統稱“其他資料")。政府明確聲明並沒有批准或認可這些網站所載的其他資料或與這些網站有關連的其他資料。
對於與本指南有關連的任何因由所引致的任何損失或損害,政府概不負責。政府有絕對酌情權隨時增加、刪除或編輯本指南所載的各項資料而無須給予任何理由。讀者須負責自行評估本指南所載的各項資料或與本指南有關連的各項資料。
《採購雲端服務的實務指南》(下稱“實務指南”)適用於本地公司,尤其是中小型企業,其主要目的在於幫助此類公司了解雲端運算及其可帶來的好處,以及如何評估和考量在其業務中採用雲端運算時所涉及的風險。
雲端運算就像公共設施般是服務供應商透過互聯網向客戶交付電腦資源。雲端服務透過廣泛的共享電腦資源,以發揮規模經濟效益。雲端運算雖為中小型企業(SME)用戶帶來很多潛在利益,但亦有可能招致風險。
雲端運算服務的模式
雲端服務可分為三種「服務模式」:
設置模式
雲端服務共有四種設置模式:
採購雲端服務時要考慮的關鍵領域
採購雲端服務時要考慮的9個關鍵領域: 服務費用、服務水平、遷入及遷離雲端、服務運作、資訊保安和私隱保障、服務承諾/保證、數據所有權、位置及知識產權所有權、服務違約和訂約(服務條款)。各個關鍵領域的考慮都在實踐指南中各自章節有詳細闡述。
不同種類的雲端服務模式,有不同的收費計劃。基礎設施即服務通常按每個時間單位內所獲分配/使用的電腦資源進行收費。至於平台即服務和軟件即服務的收費計劃,則視乎不同服務供應商或因應個別應用系統而有所不同。在採購雲端服務時,用戶須:
服務水平協議(SLA)規定了雲端服務供應商與用戶之間的相互制約關係。服務水平協議分為兩種:現成協議和經磋商後特別制定的協議。服務水平協議包含若干服務水平目標(SLO)。這些服務水平目標客觀規定了可衡量的服務條件,並設定服務期望值。每項服務水平目標都設有衡量標準,即有待衡量的項目及目標值。
一般而言,在評估現成協議或與雲端服務供應商訂立服務協議時,我們須考慮以下數點:
為確保遷入或遷離雲端的過程順利,用戶與雲端服務供應商應通力合作,並須研究以下方面:
服務運作的目標在於服務供應商如何穩妥地向用戶交付可靠和優質的服務,並符合服務水平協議的標準。用戶應謹慎應用雲端運算,並對服務供應商的服務運作詳細研究。取決於所選擇的服務模式,用戶和雲端服務供應商所承擔的責任會有所不同。然而,用戶必須先了解雲端服務供應商所採用的政策、程序及技術監控,然後才能評估其服務質素、相關的安全性和私隱風險,以及其對用戶的效益。
用戶應就服務供應商的服務運作模式與業界的良好作業模式作比較,例如比較有關品質管理、資訊科技服務管理和安全性管理的良好作業模式。
用戶應監察及協調對機構有直接影響的雲端問題及其相關的業務流程。除與雲端服務供應商互動交流外,用戶亦須監察這些雲端服務供應商的工作及備存有關雲端的服務目錄(資訊科技服務的目錄)。目錄可包括以下資訊:
雲端服務用戶和中小型企業須認識及了解於雲端服務環境下,其數據處理方法的更改。此外,用戶機構須擁有相關知識,並須通過核實步驟,確保雲端服務供應商已採取足夠的安全性控制措施,以確信該供應商能充分保護其敏感數據。
為了讓用戶機構了解使用雲端服務所涉及的安全性問題,以及協助雲端服務供應商制訂合適的安全性控制措施,「雲端運算服務和標準專家小組」轄下的「雲端保安及私隱工作小組」已製備了以下兩份備忘事項:
雲端服務供應商在雲端平台上處理可識別個人資料的資訊保安及保障私隱備忘事項
在許多情況下,尤其是就標準產品而言,雲端服務協議所載的是一些對服務供應商有利且不容商議的標準條款。這些標準條款通常包含極為有限的服務承諾和保證,以及一系列可進一步限定服務供應商責任的限制及免責條款。用戶須:
雲端服務與傳統資訊科技外判相似,同樣會產生涉及數據所有權及知識產權(IP)的問題。共有幾個關鍵點要注意:
用戶決定在其業務採用某特定雲端解決方案前,務必先了解服務供應商:
雲端運算解決方案的條款必須包含若干形式的合約安排。要穩妥地訂立雲端運算解決方案合約,用戶必須採取一系列不同的步驟,每個步驟必須適切地針對某種情況而定: