分享 
- |
- |
- |
- |
最新消息
相關連結
- 鳴謝
- 免責聲明
- 目的
- 簡介
- 關鍵領域 1 : 服務費用
- 關鍵領域 2 : 服務水平
- 關鍵領域 3 : 遷入及遷離雲端
- 關鍵領域 4 : 服務運作
- 關鍵領域 5 : 資訊保安和私隱保障
- 關鍵領域 6 : 服務承諾/保證
- 關鍵領域 7 : 數據所有權、位置及知識產權所有權
- 關鍵領域 8 : 服務違約
- 關鍵領域 9 : 訂約(服務條款)
-
下載《採購雲端服務的實務指南》的完整PDF版本(點擊這裡下載)
鳴謝
數字政策辦公室謹此鳴謝下表所列的「雲端運算服務和標準專家小組」轄下「雲端服務提供及使用事宜工作小組」的非官方及增選成員。他們積極投入,並付出寶貴的時間和努力,使《採購雲端服務的實務指南》的擬備、審閱、批注和定稿工作得以順利完成。
| 成員 | 機構 |
|---|---|
| 孫漢湃先生(註1) | ECT Services Limited 首席顧問 |
| 鍾偉強博士 | 香港數碼港管理有限公司 技術總監 |
| 陳漢偉博士 | 香港城市大學 資訊總監 |
| 馬裕杰先生 | Cloud Security Alliance 香港及澳門分會 主席 |
| 戴劍寒先生 | IBM 全球創新網絡 香港區首席科技專家 |
| 黃仲翹博士 | 永泰信息技術服務有限公司 主席 |
| 楊強教授 | 香港科技大學 計算機科學及工程學系副主任及教授 |
| 任德盛教授 | 香港中文大學 信息工程學系教授 |
| Mr Redouane BOUQDIB | 香港上海匯豐銀行有限公司 亞太區科技及服務部高級經理 |
| 簡安納女士 | 貝克•麥堅時律師事務所 合夥人 |
| 馬斯杰先生 | 孖士打律師行 合夥人 |
| 吳瀚博士 | 香港生產力促進局 資訊科技業發展高級顧問 |
| 白永學教授 | Departmental Associate (Emeritus), SLAC National Accelerator Laboratory (Stanford University), USA |
| 王國雄先生 | 香港賽馬會 經理(系統) |
註: 1. 孫漢湃先生於二零一三年五月去世。
已故的「雲端服務提供及使用事宜工作小組」前召集人孫漢湃先生為編製此實務指南提供了寶貴的專業意見,謹此特別致謝。
數字政策辦公室也特別感謝香港專業教育學院(李惠利)的教職員與學生,為《採購雲端服務的實務指南》製作了精彩的推廣短片。
| 教職員 | 黃百基 李柏基 |
| 學生 | 陳家裕 陳芷晴 黎子峯 黃敏言 鄧浩明 |
免責聲明
在《採購雲端服務的實務指南》(下稱“指南”)所提供的資料只供一般參考之用。本指南所載的資料並非為採購雲端服務提供詳盡指引。香港特別行政區政府(下稱“政府”)並沒有就本指南所載資料的準確性和就個別目的或使用的適用性作出明示或隱含保證。
本指南亦載有由其他各方提供的資料及連接到其他網站的連結(統稱“其他資料")。政府明確聲明並沒有批准或認可這些網站所載的其他資料或與這些網站有關連的其他資料。
對於與本指南有關連的任何因由所引致的任何損失或損害,政府概不負責。政府有絕對酌情權隨時增加、刪除或編輯本指南所載的各項資料而無須給予任何理由。讀者須負責自行評估本指南所載的各項資料或與本指南有關連的各項資料。
目的
《採購雲端服務的實務指南》(下稱“實務指南”)適用於本地公司,尤其是中小型企業,其主要目的在於幫助此類公司了解雲端運算及其可帶來的好處,以及如何評估和考量在其業務中採用雲端運算時所涉及的風險。
簡介
雲端運算就像公共設施般是服務供應商透過互聯網向客戶交付電腦資源。雲端服務透過廣泛的共享電腦資源,以發揮規模經濟效益。雲端運算雖為中小型企業(SME)用戶帶來很多潛在利益,但亦有可能招致風險。
雲端運算服務的模式
雲端服務可分為三種「服務模式」:
- 軟件即服務(SaaS) — 提供在雲端基礎設施上運作的應用系統,讓用戶透過各種客戶端裝置接達。
- 平台即服務(PaaS) — 為應用系統設計/開發、測試、設置及託管提供設施;也為團隊協作、網絡服務整合和編組、數據庫整合,以及開發人員社群等提供了方便的平台服務。
- 基礎設施即服務(IaaS) — 提供處理、儲存、網絡和其他基本電腦資源,使用戶可通過這些資源設置和運行自己的軟件。
設置模式
雲端服務共有四種設置模式:
- 公共雲 — 提供給公眾使用,可由企業、學術機構或政府機構個別或共同擁有、管理和運作。公共雲設於雲端服務供應商的經營場址內。
- 私有雲 — 提供給由多個用戶(例如企業單位)組成的單一機構專用,可由有關機構(內部私有雲)或第三方(外判私有雲)個別或共同擁有、管理和運作。私有雲可設於用戶的場址之內或之外。
- 社群雲 — 供來自有共同關注事項(例如任務、安全性要求、政策、符合規定的考量)的機構的特定用戶群組專用,可由用戶群組內的一間或多間機構或第三方個別或共同擁有、管理和運作。社群雲可設於用戶的場址之內或之外。
- 混合雲 — 是由兩種或以上不同的雲端設施(私有雲、社群雲或公共雲)組成,當中每項設施仍屬獨特的實體,但卻通過標準化或專有技術聯繫在一起,使數據和應用系統具有可攜性(例如,雲端平台之間作負載平衡的雲爆發技術)。
採購雲端服務時要考慮的關鍵領域
採購雲端服務時要考慮的9個關鍵領域: 服務費用、服務水平、遷入及遷離雲端、服務運作、資訊保安和私隱保障、服務承諾/保證、數據所有權、位置及知識產權所有權、服務違約和訂約(服務條款)。各個關鍵領域的考慮都在實踐指南中各自章節有詳細闡述。
不同種類的雲端服務模式,有不同的收費計劃。基礎設施即服務通常按每個時間單位內所獲分配/使用的電腦資源進行收費。至於平台即服務和軟件即服務的收費計劃,則視乎不同服務供應商或因應個別應用系統而有所不同。在採購雲端服務時,用戶須:
- 比較收費率;
- 了解收費詳情(例如計量單位、按資源分配量還是使用量等);以及
- 考慮退出安排(例如最短使用期承諾、就移走數據和軟件授權而支付額外費用等)。
服務水平協議(SLA)規定了雲端服務供應商與用戶之間的相互制約關係。服務水平協議分為兩種:現成協議和經磋商後特別制定的協議。服務水平協議包含若干服務水平目標(SLO)。這些服務水平目標客觀規定了可衡量的服務條件,並設定服務期望值。每項服務水平目標都設有衡量標準,即有待衡量的項目及目標值。
一般而言,在評估現成協議或與雲端服務供應商訂立服務協議時,我們須考慮以下數點:
- 所界定的服務水平目標的相關性
- 所界定的服務水平目標的充分性
- 所選標準的目標值是否適當
- 如何客觀地衡量及監察所定義的服務水平?
- 若服務供應商未能達到服務水平會有什麼後果?用戶是否有業務應變計劃?
為確保遷入或遷離雲端的過程順利,用戶與雲端服務供應商應通力合作,並須研究以下方面:
- 數據遷移 - 用戶應查看雲端服務供應商所提供的數據遷移選項,尤其是工具或說明文件。應訂明數據遷移所需的費用和時間。用戶應查詢並清楚了解雲端服務供應商如何處理數據外洩問題以及如何保護數據。
- 服務計費及計量 - 用戶應建立查看及審核雲端服務相關計費及計量的程序。有些雲端服務供應商提供費用預測工具或使用量通知服務。如有提供,用戶應登記使用這些服務。
- 數據保留 - 終止雲端服務時,用戶必須決定如何處理儲存在雲端平台上的數據。終止合約前,用戶應確保所有數據已被刪除;這些數據應包括測試數據和備份副本。
服務運作的目標在於服務供應商如何穩妥地向用戶交付可靠和優質的服務,並符合服務水平協議的標準。用戶應謹慎應用雲端運算,並對服務供應商的服務運作詳細研究。取決於所選擇的服務模式,用戶和雲端服務供應商所承擔的責任會有所不同。然而,用戶必須先了解雲端服務供應商所採用的政策、程序及技術監控,然後才能評估其服務質素、相關的安全性和私隱風險,以及其對用戶的效益。
用戶應就服務供應商的服務運作模式與業界的良好作業模式作比較,例如比較有關品質管理、資訊科技服務管理和安全性管理的良好作業模式。
用戶應監察及協調對機構有直接影響的雲端問題及其相關的業務流程。除與雲端服務供應商互動交流外,用戶亦須監察這些雲端服務供應商的工作及備存有關雲端的服務目錄(資訊科技服務的目錄)。目錄可包括以下資訊:
- 就有關服務應聯絡何人
- 何人有權變更服務
- 哪些關鍵的應用程式與服務有關
- 涉及有關服務的中斷或其他事故
- 各項服務之間關係的資訊
雲端服務用戶和中小型企業須認識及了解於雲端服務環境下,其數據處理方法的更改。此外,用戶機構須擁有相關知識,並須通過核實步驟,確保雲端服務供應商已採取足夠的安全性控制措施,以確信該供應商能充分保護其敏感數據。
為了讓用戶機構了解使用雲端服務所涉及的安全性問題,以及協助雲端服務供應商制訂合適的安全性控制措施,「雲端運算服務和標準專家小組」轄下的「雲端保安及私隱工作小組」已製備了以下兩份備忘事項:
雲端服務供應商在雲端平台上處理可識別個人資料的資訊保安及保障私隱備忘事項
在許多情況下,尤其是就標準產品而言,雲端服務協議所載的是一些對服務供應商有利且不容商議的標準條款。這些標準條款通常包含極為有限的服務承諾和保證,以及一系列可進一步限定服務供應商責任的限制及免責條款。用戶須:
- 確定服務供應商的陳述與用戶的要求相符;
- 注意服務供應商的責任限制;
- 確保簽約前聲明記錄在合約內;以及
- 閱讀附屬細則 — 免責聲明、責任限制、免責條款。
雲端服務與傳統資訊科技外判相似,同樣會產生涉及數據所有權及知識產權(IP)的問題。共有幾個關鍵點要注意:
- 數據所有權 - 在雲端儲存/建立的數據/應用程式的所有權和使用權;
- 數據位置 - 分包商及其位置, 指定資料儲存位置, 及當運算資源提供作其他用途前如何穩妥地刪除數據; 以及
- 知識產權 - 於雲端服務所建立的數據和應用系統的知識產權。
用戶決定在其業務採用某特定雲端解決方案前,務必先了解服務供應商:
- 所作的承諾;
- 獲豁免不履行合約的條文所帶來的風險;以及
- 違約時用戶所享有的權利如:
- 合約終止權;
- 損害賠償申索權; 及
- 透過取得法庭命令強制履行。
雲端運算解決方案的條款必須包含若干形式的合約安排。要穩妥地訂立雲端運算解決方案合約,用戶必須採取一系列不同的步驟,每個步驟必須適切地針對某種情況而定:
- 用戶需求 — 數據、應用程式及業務需求
- 現成合約條款(及選擇)
- 評估用戶需求與現成合約條款的一致性
- 特殊風險考慮因素 — 可變更條款
- 針對傳統服務供應商的盡職審查
下載
