政府资讯科技总监办公室谨此鸣谢下表所列的「云端运算服务和标准专家小组」辖下「云端服务提供及使用事宜工作小组」的非官方及增选成员。他们积极投入,并付出宝贵的时间和努力,使《采购云服务的实务指南》的拟备、审阅、批注和定稿工作得以顺利完成。
成员 | 机构 |
---|---|
孙汉湃先生(注1) |
ECT Services Limited 首席顾问 |
钟伟强博士 |
香港数码港管理有限公司 技术总监 |
陈汉伟博士 |
香港城市大学 资讯总监 |
马裕杰先生 |
Cloud Security Alliance 香港及澳门分会 主席 |
戴剑寒先生 |
IBM 全球创新网络 香港区首席科技专家 |
黄仲翘博士 |
永泰信息技术服务有限公司 主席 |
杨强教授 |
香港科技大学 计算机科学及工程学系副主任及教授 |
任德盛教授 |
香港中文大学 信息工程学系教授 |
Mr Redouane BOUQDIB |
香港上海汇丰银行有限公司 亚太区科技及服务部高级经理 |
简安纳女士 |
贝克•麦坚时律师事务所 合伙人 |
马斯杰先生 |
孖士打律师行 合伙人 |
吴瀚博士 |
香港生产力促进局 资讯科技业发展高级顾问 |
白永学教授 | Departmental Associate (Emeritus), SLAC National Accelerator Laboratory (Stanford University), USA |
王国雄先生 |
香港赛马会 经理(系统) |
注: 1. 孙汉湃先生于二零一三年五月去世。
已故的「云端服务提供及使用事宜工作小组」前召集人孙汉湃先生为编制此实务指南提供了宝贵的专业意见,谨此特别致谢。
政府资讯科技总监办公室也特别感谢香港专业教育学院(李惠利)的教职员与學生,为《采购云服务的实务指南》制作了精彩的推广短片。
教职员 |
黄百基 李柏基 |
学生 |
陈家裕 陈芷晴 黎子峯 黄敏言 邓浩明 |
在《采购云服务的实务指南》(下称“指南”)所提供的资料只供一般参考之用。本指南所载的资料并非为采购云服务提供详尽指引。香港特别行政区政府(下称“政府”)并没有就本指南所载资料的准确性和就个别目的或使用的适用性作出明示或隐含保证。
本指南亦载有由其他各方提供的资料及连接到其他网站的连结(统称“其他资料")。政府明确声明并没有批准或认可这些网站所载的其他资料或与这些网站有关连的其他资料。
对于与本指南有关连的任何因由所引致的任何损失或损害,政府概不负责。政府有绝对酌情权随时增加、删除或编辑本指南所载的各项资料而无须给予任何理由。读者须负责自行评估本指南所载的各项资料或与本指南有关连的各项资料。
《采购云服务的实务指南》(下称“实务指南”)适用于本地公司,尤其是中小型企业,其主要目的在于帮助此类公司了解云计算及可带来的好处,以及如何评估和考量在其业务中采用云计算时所涉及的风险。
云计算就像公共设施般是服务供应商通过互联网向客户交付计算资源。云服务通过广泛的共享计算资源,以发挥规模经济效益。云计算为中小型企业(SME)用户带来很多潜在利益,但亦有可能招致风险。
云计算服务的模式
云服务可分为三种「服务模式」:
部署模式
云服务共有四种部署模式:
采购云服务时要考虑的关键领域
采购云服务时要考虑的9个关键领域: 服务费用、服务水平、迁入及迁离云端、服务运营、信息安全性和隐私保护、服务承诺/保证、数据所有权、位置及知识产权所有权、服务违约和订约(服务条款)。各个关键领域的考虑都在实践指南中各自章节有详细阐述。
不同种类的云服务模式,有不同的收费计划。基础设施即服务通常按每个时间单位内所获分配/使用的计算资源进行收费。至于平台即服务和软件即服务的收费计划,则视乎不同服务供应商及因应个别应用而有所不同。在采购云服务时,用户须:
服务水平协议(SLA)规定了云服务供应商与用户之间的相互制约关系。服务水平协议分为两种:现成协议和经磋商后的定制协议。服务水平协议包含若干服务水平目标(SLO)。这些服务水平目标客观规定了可衡量的服务条件,并设定服务期望值。每项服务水平目标都设有衡量标准,即待衡量项及目标值。
一般而言,在评估现成协议或与云服务供应商订立服务协议时,我们须考虑以下数点:
为确保迁入和迁离的过程顺利,用户与云服务供应商应通力合作,并须研究以下方面:
服务运营的目标在于服务供应商如何稳妥地向用户交付可靠和优质的服务,并符合服务水平协议的标准。用户应谨慎应用云计算,并对服务供应商的服务运营详细研究。取决于所选择的服务模式,用户和云服务供应商所承担的责任会有所不同。然而,用户必须先了解云服务供应商所采用的政策、程序及技术监控,然后才能评估其服务质量、相关的安全性和隐私风险、以及其对用户的效益。
用户应将服务供应商的服务运营与行业中最佳实践作比较,例如比较有关质量管理、信息技术服务管理和安全性管理的最佳实践。
用户应监察及协调对机构有直接影响的云端问题及其相关的业务流程。除与云服务供应商交互外,用户亦须监察这些云服务供应商的工作及维护有关云的服务目录(信息技术服务的目录)。目录可包括以下信息:
云服务用户和中小型企业须认识及了解于云服务环境下,其数据处理方法的更改。此外,用户机构须拥有相关知识,并须通过核实步骤,确保云服务供应商已采取足够的安全性控制措施,以确信该供应商能充分保护其敏感数据。
为了让用户机构了解使用云服务所涉及的安全性问题,以及协助云服务供应商制订合适的安全性控制措施,「云端运算服务和标准专家小组」辖下的「云端保安及私隐工作小组」已制备了以下两份备忘事项:
云服务供应商在云上处理个人识别资料的信息安全及私隐保障备忘事项
在许多情况下,尤其是就标准产品而言,云服务协议所载的是一些对服务供应商有利且不容商议的标准条款。这些标准条款通常包含极为有限的服务承诺和保证,以及一系列可进一步限定服务供应商责任的限制及免责条款。用户须:
云服务与传统信息技术外包相似,同样会产生涉及数据所有权及知识产权(IP)的问题。共有几个关键点要注意:
用户了解服务供应商所作的承诺是非常重要的,以及服务供应商违约时用户所享有的权利。以下是用户可享有的传统合约权利:
云计算解决方案的条款必须包含若干形式的合约安排。要稳妥地订立云计算解决方案合约,用户必须采取一系列不同的步骤,每个步骤必须适切地针对某种情况而定: