香港特別行政區政府資訊科技總監辦公室及廣東省經濟和信息化委員會謹此鳴謝「粵港雲計算服務和標準專家委員會」和它轄下的「粵港雲計算服務採購實務指南聯合專責小組」各成員( 見下表)。他們積極投入,並付出寶貴的時間和努力,貢獻他們的專業知識,使《粵港雲計算服務採購實務指南》的擬備、審閱、批註和定稿工作得以順利完成。
粵港雲計算服務和標準專家委員會成員 | |
---|---|
粵方 | 港方 |
鄒生博士(粵方召集人) | 賴錫璋(港方召集人) |
陳少媚 | 張偉犖教授 |
趙淦森教授 | 黃仲翹博士 |
季統凱博士 | 鍾偉強博士 |
徐澤明博士 | 陳永誠 |
唐宏 | 何偉中 |
劉忻 | 陳峻斌博士 |
許洪波 | 繆正維 |
呂偉華 | 林偉喬 |
陳曉健 | 李志賢 |
梁天爵 | 莫桂英 |
粵港雲計算服務採購實務指南聯合專責小組成員 | |||
---|---|---|---|
粵方 | 港方 | ||
趙淦森教授(粵方召集人) | 鍾偉強博士(港方召集人) | ||
唐華副教授 | 李堯 | 張宇 | 黃仲翹博士 |
丁曙初 | 汪疆平 | 張昉 | 繆正維 |
王芳 | 周冠宇 | 畢錦雄 | 吳瀚博士 |
王翔 | 季統凱博士 | 許暉 | 李子圖 |
劉小茵 | 羅章江 | 許紅濤 | |
呂暉 | 鄒理賢 | 謝浩安 | |
何惠研 | 黃邵明 | 趙輝國 | |
李巧玲 | 黃海 | 陳天 | |
李惊生 | 孫傲冰博士 | 李剛 | |
劉峻 | 許正強 | 陳統 | |
林成創 |
我們特別鳴謝電子工業標準化研究院軟件與信息服務中心周平副主任、香港雲端運算服務和標準專家小組以及其轄下的雲端保安及私隱工作小組和雲端服務提供、互用性及使用事宜工作小組各成員為《粵港雲計算服務採購實務指南》提供了寶貴的意見。
我們也特別感謝廣東省軟件行業協會、廣東省雲計算產業聯盟及聯盟的成員單位積極參與和支持《粵港雲計算服務採購實務指南》的編製、試點、驗證和推廣等工作。
在《粵港雲計算服務採購實務指南》(下稱「本指南」)所提供的資料僅限於作一般參考之用。本指南所載的資料並非為採購雲端運算服務(下稱「雲端服務」)提供詳盡指導。粵港雲計算服務和標準專家委員會(下稱「專家委」)並沒有就本指南所載資料的準確性和就個別目的或使用的適用性作出明示或隱含保證。
本指南亦載有由其他各方提供的資料及連接到其他網站的連結(統稱「其他資料」)。專家委不對網站所載其他資料和相關資料的權威性和準確性作保證。
對於與本指南有關聯的任何原因所引致的任何損失或損害,專家委概不負責。專家委保留增加、刪除或編輯本指南所載的各項資料而無須給予任何理由的權利。讀者須負責自行評估本指南所載的各項資料或與本指南有關聯的各項資料。
《粵港雲計算服務采購實務指南》(下稱“實務指南”)適用於粵港地區的組織,其主要目的在於幫助各類組織了解雲端運算及其可帶來的好處,以及如何評估和考量採購雲端服務所涉及的風險。在這方面,組織在考慮採用雲端運算時須全面評估自身對雲端運算解決方案的要求,以及這些解決方案能夠在多大程度上滿足這些要求。就此,雲端服務採購方需要謹慎判斷。
雲端運算是服務供應商通過網絡向用戶交付IT資源,例如網絡、伺服器、儲存、應用系統軟件及服務等雲端服務。用戶無需自己建設、設置和管理資訊科技基礎設施、系統和服務。用戶僅僅需要參照租用服務模式,按照使用量來支付使用這些雲端服務的費用。
雲端服務模式分類
參照財政部2013年發布的《政府採購品目分類目錄》 的分類,雲端服務大致上可分為三種「服務模式」:
設置模式
雲端服務共有四種設置模式:
採購雲端服務時要考慮的關鍵領域
採購雲端服務時要考慮的9個關鍵領域: 服務水平、服務協議、服務費用、服務管理、遷入及遷出雲端、資訊保安管理和私隱保護、數據所有權、位置及知識產權所有權、訂約(服務條款)和服務違約。各個關鍵領域的考慮都在實務指南中各自章節有詳細闡述。
服務水平協議(SLA)規定了雲端服務供應商與用戶之間的相互制約關係。服務水平協議主要分為兩種:現成協議和經磋商後特別制定協議,並包含若干服務水平目標(SLO)。這些服務水平目標客觀規定了可計量的服務要求,並設定服務期望值。
一般而言,這些服務水平目標客觀規定了可計量的服務要求,須考慮以下內容:
就任何有關雲端運算的協議而言,服務供應商就其服務所作的承諾,以及就其服務表現所作的保證,均是協議的重要部分。若服務供應商未能兌現所作的承諾或保證,則須採取特定補救措施。因此,服務承諾應明確規定以下內容:
如果服務供應商在簽約前向用戶作出任何涉及服務承諾和保證的聲明(不論是以書面、口頭或是通過提供服務相關信息的方式作出),則該等聲明應作為協議的一部分,並在協議文件中再次注明。用戶常誤以為此類簽約前聲明最終將構成協議的一部分,且可在後期承諾未兌現時加以倚賴。事實卻往往相反,協議會清楚寫明,凡沒有記錄在合約內的聲明,一律不予接受。
服務供應商的免責聲明、責任限制及免責條款是用戶須注意的主要問題。鑒於服務供應商通常會盡力免除或限制其在雲端服務協議下承擔的風險,免責條款或責任限制一般會削減或盡量減低服務供應商所願意提供的任何承諾的價值。因此,在評估服務供應商擬就其服務提供承諾及保證時,用戶還須了解這些承諾的限制。
雲端服務的特點在於按需、靈活、可計量,其付費模式一般可分為「按實際使用量付費」和「批量優惠付費」等兩大類,用戶可不用考慮傳統資訊科技週期中計劃、採購、維護硬件的成本和複雜性,按需、靈活的使用各類雲端服務。
在採購雲端服務時,用戶須:
服務營運的目標在於服務供應商如何穩妥地向用戶交付可靠和優質的服務,並符合服務水平協議的標準。如同任何新興的IT技術一樣,用戶應謹慎應用雲端服務,並對服務供應商的服務管理進行詳細研究。根據用戶所選擇不同服務模式的雲端服務,用戶和雲端服務供應商需承擔的責任會有所不同。然而,用戶必須先了解雲端服務供應商所採用的雲端服務策略、雲端服務監控,才能評估其提供的雲端服務質量、相關的安全性和私隱風險、以及對採用其雲端服務的用戶所能產生的潛在效益。
用戶應將服務供應商的服務管理與行業中最佳實踐作比較,例如,比較服務管理中有關安全性的最佳實踐。雲端服務供應商通常提供多種服務計劃,用戶需要自行管理這些計劃。用戶所屬組織需委派個別人士或小組處理、監察及協調各種雲端運算業務流程相關的問題,以及制訂管理雲端環境的妥善做法。
除與雲端服務供應商交流外,用戶亦須監察這些雲端服務供應商的工作。有部分供應商提供工具,如儀錶板界面,使用戶可自行監察他們的雲端服務。
遷入雲端運算,是指用戶把傳統業務的應用系統及數據遷移到雲端運算中時採取的方法和步驟。與任何技術轉換的情況相同,用戶須就所作出的改變 — 包括遷移數據及應用系統,制訂項目計劃以及風險緩解措施。
另一方面,遷出雲端運算,則是指用戶因更換雲端服務供應商或停用雲端運算而將應用系統及數據遷出雲端運算的方法和步驟。用戶關注的重點是確保從雲端運算平台安全地取回及遷出(並在適當時刪除)用戶數據。往往極少用戶會從私有雲中再把數據和應用系統轉換到傳統模式。
用戶與雲端服務供應商為確保遷入和遷出雲端運算環境的過程順利,須研究以下五個方面:
用戶應了解在雲端服務環境中,其數據管理方式的變化,並須深入了解相關問題和關注事項,以確保其數據在雲端服務環境中受到持續的保護。此外,用戶應具有相關的知識及評估能力,確定雲端服務供應商已採取足夠的安全性控制措施充分保護其敏感數據。
雲端運算保安問題涉及到資訊科技系統運行過程中的各方面,需要綜合考慮與評估。如下圖所展示,雲端運算保安問題涉及到資訊科技系統的各個範疇。對於缺乏足夠專業能力和評估手段的雲端服務用戶,建議可參考雲端服務供應商所獲得的雲端運算保安管理認證情況。(如ISO/IEC 27001、C-STAR、等級保護等)。
為了讓用戶組織了解使用雲端服務所涉及的安全性問題,以及協助雲端服務供應商制訂合適的安全性控制措施,可在以下鏈接獲得更詳細的指導。
雲端服務供應商在雲端平台上處理可識別個人資料的資訊保安及保障私隱備忘事項
雲端服務與傳統IT外判相似,會產生涉及所有權及知識產權(IP)的問題,此外,雲端服務還會涉及數據位置的問題。鑒於雲端服務(無論是基礎設施即服務(IaaS)、平台即服務(PaaS)或軟件即服務(SaaS))的商業性質,雲端服務供應商一般不會影響用戶數據和應用程序的所有權及擁有權,反之亦然。但是,由於伺服器、儲存器、網絡及應用系統的共享及虛擬化程度非常高,而且有一些雲端服務是跨地域的,用戶可能應關心其數據所在位置、保安等問題。
共有幾個關鍵點要注意:
在任何交易中,交易各方之間的規則和承諾由合約或協議確立。如果具約束力的合約中沒有訂明承諾,那麼總的來看,有關承諾應假定為不存在。在服務交易(如雲端運算)中,合約起到了尤為關鍵的作用,這是因為能夠定義交付的有形產品並不存在。
要穩妥地訂立雲端運算解決方案合約,用戶必須採取一系列不同的步驟,每個步驟必須適切地針對某種情況:
服務合約的訂立總是由用戶而起。由於雲端運算可節省成本和具靈活性,促使用戶作出快速的業務決策,因此帶來了新的挑戰。用戶必須嚴加克制,管理本身的風險,以及有效地進行必要的評估和決定。用戶應就雲端訂約制定明確的內部規則,避免不經意地在雲端運算潛在的巨大裨益(例如節省成本及靈活性)和風險之間失卻平衡。
為了讓用戶了解一般雲端服務合約的內容,雲資訊網載有一些雲端服務合約的樣本或連結。用戶可透過以下連結瀏覽:
http://www.infocloud.gd.gov.cn/
http://www.infocloud.gov.hk/
雲端服務合約往往甚少(如有的話)規定服務供應商須作出提供服務的具體承諾。而且,即使服務供應商作出履約承諾,通常該等承諾的範圍亦甚為狹隘,或在很大程度上可獲豁免。因此,用戶決定在其業務採用某特定雲端服務前,務必先了解服務供應商所作的承諾,以及服務供應商違約時用戶所享有的權利。
用戶應了解服務供應商的服務承諾和服務內容之間是否完全對應,特別是在服務供應商的承諾遠少於服務內容的情況。
訂明履約責任的合約通常包含特定豁免條文。用戶須格外審慎研究該等合約條文,以判斷這些條文會否將風險提升至不可接受的程度。在此類豁免履約的條文中,最常見的是適用於「不可抗力」事件的條文。用戶須審慎考慮該等豁免履約條文是否可接受,又或該等條文會否為用戶帶來過高的風險,以致無法在業務運作中採用雲端服務。
若服務合約載明服務供應商有履約責任,但服務供應商卻作出不獲豁免的未履約行為,用戶便可再次審視合約中因服務供應商未履約而可享有的權利,最常見的有兩種,即合約終止權和損害賠償申索權。