意见按钮

采购云服务的实务指南

  1. 鸣谢
  2. 免责声明
  3. 目的
  4. 简介
  5. 关键领域 1 : 服务费用
  6. 关键领域 2 : 服务水平
  7. 关键领域 3 : 迁入及迁离云端
  8. 关键领域 4 : 服务运营
  9. 关键领域 5 : 信息安全性和隐私保护
  10. 关键领域 6 : 服务承诺/保证
  11. 关键领域 7 : 数据所有权、位置及知识产权所有权
  12. 关键领域 8 : 服务违约
  13. 关键领域 9 : 订约(服务条款)
  14. 图像: PDF 下载《采购云服务的实务指南》的完整PDF版本(点击这里下载)

 

鸣谢

 

政府资讯科技总监办公室谨此鸣谢下表所列的「云端运算服务和标准专家小组」辖下「云端服务提供及使用事宜工作小组」的非官方及增选成员。他们积极投入,并付出宝贵的时间和努力,使《采购云服务的实务指南》的拟备、审阅、批注和定稿工作得以顺利完成。

 

成员 机构
孙汉湃先生(注1) ECT Services Limited
首席顾问
钟伟强博士 香港数码港管理有限公司
技术总监
陈汉伟博士 香港城市大学
资讯总监
马裕杰先生 Cloud Security Alliance 香港及澳门分会
主席
戴剑寒先生 IBM 全球创新网络
香港区首席科技专家
黄仲翘博士 永泰信息技术服务有限公司
主席
杨强教授 香港科技大学
计算机科学及工程学系副主任及教授
任德盛教授 香港中文大学
信息工程学系教授
Mr Redouane BOUQDIB 香港上海汇丰银行有限公司
亚太区科技及服务部高级经理
简安纳女士 贝克•麦坚时律师事务所
合伙人
马斯杰先生 孖士打律师行
合伙人
吴瀚博士 香港生产力促进局
资讯科技业发展高级顾问
白永学教授 Departmental Associate (Emeritus), SLAC National Accelerator Laboratory (Stanford University), USA
王国雄先生 香港赛马会
经理(系统)

注: 1. 孙汉湃先生于二零一三年五月去世。

 

已故的「云端服务提供及使用事宜工作小组」前召集人孙汉湃先生为编制此实务指南提供了宝贵的专业意见,谨此特别致谢。

 

政府资讯科技总监办公室也特别感谢香港专业教育学院(李惠利)的教职员与學生,为《采购云服务的实务指南》制作了精彩的推广短片。

 

教职员

黄百基

李柏基

学生

陈家裕

陈芷晴

黎子峯

黄敏言

邓浩明

 

top

 

免责声明

 

在《采购云服务的实务指南》(下称“指南”)所提供的资料只供一般参考之用。本指南所载的资料并非为采购云服务提供详尽指引。香港特别行政区政府(下称“政府”)并没有就本指南所载资料的准确性和就个别目的或使用的适用性作出明示或隐含保证。

 

本指南亦载有由其他各方提供的资料及连接到其他网站的连结(统称“其他资料")。政府明确声明并没有批准或认可这些网站所载的其他资料或与这些网站有关连的其他资料。

 

对于与本指南有关连的任何因由所引致的任何损失或损害,政府概不负责。政府有绝对酌情权随时增加、删除或编辑本指南所载的各项资料而无须给予任何理由。读者须负责自行评估本指南所载的各项资料或与本指南有关连的各项资料。

 

top

 

目的

 

《采购云服务的实务指南》(下称“实务指南”)适用于本地公司,尤其是中小型企业,其主要目的在于帮助此类公司了解云计算及可带来的好处,以及如何评估和考量在其业务中采用云计算时所涉及的风险。

 

top

 

简介

 

短片- 简介

云计算就像公共设施般是服务供应商通过互联网向客户交付计算资源。云服务通过广泛的共享计算资源,以发挥规模经济效益。云计算为中小型企业(SME)用户带来很多潜在利益,但亦有可能招致风险。

 

云计算服务的模式

 

云服务可分为三种「服务模式」:

 

  • 软件即服务(SaaS) — 提供在云端基础设施上运行的应用,而用户则可通过各种客户端设备进行访问。
  • 平台即服务(PaaS) — 为应用设计/开发、测试、部署及托管提供设施;也为团队协作、网络服务整合和编组、数据库整合以及开发者社区等提供了方便的平台服务。
  • 基础设施即服务(IaaS) — 提供处理、储存、网络和其他基本计算资源,使用户可通过这些资源部署和运行自己的软件。

 

部署模式

 

云服务共有四种部署模式:

 

  • 公共云 — 提供给公众使用,可由企业、学术机构或政府机构个别或共同拥有、管理和运营。公共云设于云服务供应商的经营场址内。
  • 私有云 — 提供给由多个用户(例如企业单位)组成的单一机构专用,可由有关机构(内部私有云)或第三方(外包私有云)个别或共同拥有、管理和运营。私有云可设于用户的场址之内或之外。
  • 社区云 — 供来自有共同关注事项(例如任务、安全性要求、政策、合规性考虑)的机构的特定用户群组专用,可由社区内的一间或多间机构或第三方个别或共同拥有、管理和运营。社区云可设于用户的场址之内或之外。
  • 混合云 — 是由两种或以上不同的云设施(私有云、社区云或公共云)组成,当中每项设施仍属独特的实体,但却通过标准化或专有技术联系在一起,使数据和应用具有可携性(例如,云端之间作负载平衡的云爆发技术)。

 

采购云服务时要考虑的关键领域

 

采购云服务时要考虑的9个关键领域: 服务费用、服务水平、迁入及迁离云端、服务运营、信息安全性和隐私保护、服务承诺/保证、数据所有权、位置及知识产权所有权、服务违约和订约(服务条款)。各个关键领域的考虑都在实践指南中各自章节有详细阐述。

 

top

 

关键领域1:服务费用

 

短片- 关键领域1:服务费用

不同种类的云服务模式,有不同的收费计划。基础设施即服务通常按每个时间单位内所获分配/使用的计算资源进行收费。至于平台即服务和软件即服务的收费计划,则视乎不同服务供应商及因应个别应用而有所不同。在采购云服务时,用户须:

 

  • 比较收费率;
  • 了解收费详情(例如计量单位、按资源分配量还是使用量等);以及
  • 考虑退出安排(例如最短使用期承诺、就移走数据和软件许可而支付额外费用等)。

 

top

 

关键领域2:服务水平[

 

服务水平协议(SLA)规定了云服务供应商与用户之间的相互制约关系。服务水平协议分为两种:现成协议和经磋商后的定制协议。服务水平协议包含若干服务水平目标(SLO)。这些服务水平目标客观规定了可衡量的服务条件,并设定服务期望值。每项服务水平目标都设有衡量标准,即待衡量项及目标值。

 

一般而言,在评估现成协议或与云服务供应商订立服务协议时,我们须考虑以下数点:

 

  • 所界定的服务水平目标的相关性
  • 所界定的服务水平目标的充分性
  • 所选标准的目标值是否适当
  • 如何客观地衡量及监察所定义的服务水平?
  • 若服务供应商未能达到服务水平会有什么后果?用户是否有业务应变计划?

 

top

 

关键领域3:迁入及迁离云端

 

短片- 关键领域3:迁入及迁离云端

为确保迁入和迁离的过程顺利,用户与云服务供应商应通力合作,并须研究以下方面:

 

  • 数据迁移 - 用户应查看云服务供应商所提供的数据迁移选项,尤其是工具或文档。应订明数据迁移所需的费用和时间。用户应查询并清楚了解云服务供应商如何处理数据外泄问题以及如何保护数据。
  • 服务计费及计量 - 用户应建立查看及审核云服务相关计费及计量的程序。有些云服务供应商提供费用预测工具或使用量通知服务。如有提供,用户应登记使用这些服务。
  • 数据保留 - 终止云服务时,用户必须决定如何处理储存在云平台上的数据。终止合约前,用户应确保所有数据已被删除;这些数据应包括测试数据和备份副本。

 

top

 

关键领域4:服务运营

 

短片- 关键领域4:服务运营

服务运营的目标在于服务供应商如何稳妥地向用户交付可靠和优质的服务,并符合服务水平协议的标准。用户应谨慎应用云计算,并对服务供应商的服务运营详细研究。取决于所选择的服务模式,用户和云服务供应商所承担的责任会有所不同。然而,用户必须先了解云服务供应商所采用的政策、程序及技术监控,然后才能评估其服务质量、相关的安全性和隐私风险、以及其对用户的效益。

 

用户应将服务供应商的服务运营与行业中最佳实践作比较,例如比较有关质量管理、信息技术服务管理和安全性管理的最佳实践。

 

用户应监察及协调对机构有直接影响的云端问题及其相关的业务流程。除与云服务供应商交互外,用户亦须监察这些云服务供应商的工作及维护有关云的服务目录(信息技术服务的目录)。目录可包括以下信息:

 

  • 就有关服务应联络何人
  • 何人有权变更服务
  • 哪些关键的应用与服务有关
  • 涉及有关服务的中断或其他事故
  • 各项服务之间的关系的信息

 

top

 

关键领域5:信息安全性和隐私保护

 

短片- 关键领域5:信息安全性和隐私保护

云服务用户和中小型企业须认识及了解于云服务环境下,其数据处理方法的更改。此外,用户机构须拥有相关知识,并须通过核实步骤,确保云服务供应商已采取足够的安全性控制措施,以确信该供应商能充分保护其敏感数据。

 

为了让用户机构了解使用云服务所涉及的安全性问题,以及协助云服务供应商制订合适的安全性控制措施,「云端运算服务和标准专家小组」辖下的「云端保安及私隐工作小组」已制备了以下两份备忘事项:

 

图像: PDF 云用户的信息安全备忘事项

 

图像: PDF 云服务供应商在云上处理个人识别资料的信息安全及私隐保障备忘事项

 

top

 

关键领域6:服务承诺/保证

 

在许多情况下,尤其是就标准产品而言,云服务协议所载的是一些对服务供应商有利且不容商议的标准条款。这些标准条款通常包含极为有限的服务承诺和保证,以及一系列可进一步限定服务供应商责任的限制及免责条款。用户须:

 

  • 确定服务供应商的陈述与用户的要求相符;
  • 注意服务供应商的责任限制;
  • 确保签约前声明记录在合约内;以及
  • 阅读附属细则 — 免责声明、责任限制、免责条款。

 

top

 

关键领域7:数据所有权、位置及知识产权所有权[T

 

短片- 关键领域7:数据所有权、位置及知识产权所有权

云服务与传统信息技术外包相似,同样会产生涉及数据所有权及知识产权(IP)的问题。共有几个关键点要注意:

 

  • 数据所有权 - 在云储存/建立的数据/应用程序的所有权和使用权;
  • 数据位置 - 分包商及其位置, 指定数据储存位置, 及当计算资源提供作其他用途前如何稳妥地删除数据; 以及
  • 知识产权 - 于云服务所建立的数据和应用程序的知识产权。

 

top

 

关键领域8:服务违约

 

用户了解服务供应商所作的承诺是非常重要的,以及服务供应商违约时用户所享有的权利。以下是用户可享有的传统合约权利:

 

  • 所作的承诺;
  • 获豁免不履行合约的条文所带来的风险;以及
  • 违约时用户所享有的权利如:
    • 合约终止权;
    • 损害赔偿申索权; 及
    • 通过取得法庭命令强制履行。

 

top

 

关键领域9:订约(服务条款)

 

云计算解决方案的条款必须包含若干形式的合约安排。要稳妥地订立云计算解决方案合约,用户必须采取一系列不同的步骤,每个步骤必须适切地针对某种情况而定:

 

  1. 用户需求 — 数据、应用及业务需求
  2. 现成合约条款(及选择)
  3. 评估用户需求与现成合约条款的一致性
  4. 特殊风险考虑因素 — 可变更条款
  5. 针对传统服务供应商的尽职审查

 

top

 

下载

 

图像: PDF 点击这里下载《采购云服务的实务指南》的完整版本PDF文件

 

 

上一页 页首