GB/T37734-2019
信息技术云计算云服务采购指南
Informationtechnology—Cloudcomputing—Cloudservicepurchaseguideline
- 中国标准分类号(CCS)L70
- 国际标准分类号(ICS)35.240.01
- 实施日期2020-03-01
- 文件格式PDF
- 文本页数13页
- 文件大小953.01KB
以图片形式预览信息技术云计算云服务采购指南
信息技术云计算云服务采购指南
国家标准 GB/T37734一2019 信息技术云计算云服务采购指南 Informationteehnology一Cloudcomputing一CIoudservieepurchaseguideline 2019-08-30发布 2020-03-01实施 国家市场监督管理总局 发布 币国国家标准化管理委员会国家标准
GB/T37734一2019 目 次 前言 范围 2 规范性引用文件 3 术语和定义 缩略语 云服务采购流程 云服务采购需求分析 6.1概述 6.2资产 6.3功能性需求 非功能性需求 6.4 6.5安全 云服务提供商选择 概述 7. 7.2服务级别 7.3服务管理 7.4服务费用 协议/合同签订 服务交付与验收
GB/37734一2019 前 言 本标准按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任
本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口
本标准起草单位:电子技术标准化研究院、广东软件行业协会、香港特别行政区政府政府资讯 科技总监办公室、新华三技术有限公司、山东浪潮云信息技术有限公司,华为技术有限公司、陕西省信息 化工程研究院、北京百度网讯科技有限公司、阿里云计算有限公司、腾讯云计算(北京)有限责任公司、厂 州市品高软件股份有限公司、深圳赛西信息技术有限公司、广东省电信规划设计院有限公司、平安 保险(集团)股份有限公司,国云科技股份有限公司、云宏信息科技股份有限公司、东莞科学院云计 算产业技术创新与育成中心,IBM(),成都市大数据中心,中移(苏州)软件技术有限公司烽火通信 科技股份有限公司、城云科技(有限公司)兴业数字金融服务(上海)股份有限公司、中山大学网宿 科技股份有限公司、上海优刻得信息科技有限公司、北京神州数码有限公司,无锡华云数据技术服务有 限公司、浪潮电子信息产业股份有限公司,北京华胜天成科技股份有限公司、舰船研究院 本标准主要起草人杨丽蕴、周平、吕晖,周启明、饶通宇,郝轶、潘正泰、张敏、赵华,郑善龙、刘蛛 闵震强、王文岩、贾立国、徐东,王泽胜、刘成龙、张卫中、程海旭、谭思敏、王春涛,郑文雯、张亚辉、 陈志峰、温武少,祁学颖、张大江、刘晨、吴涛、朱勇、万海、但强、陈行刘畅、赵江、赵光亮、易晶晶、 侯大鹏、陈刚、杨鹏、梁钢,谢天杰、李宁
GB/37734一2019 信息技术云计算云服务采购指南 范围 本标准规定了云服务采购流程、云服务采购需求分析、云服务提供商选择、协议/合同签订和服务交 付与验收的基本要求
本标准适用于云服务客户和云服务提供者,用于指导云服务客户采购云服务
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T28827.1一2012信息技术服务运行维护第1部分;通用要求 GB/T324002015 信息技术云计算概览与词汇 信息技术云计算平台即服务(Pas)参考架构 GB/T35301一2017 GB/T36325一2018信息技术云计算云服务级别协议基本要求 GB/T363262018信息技术云计算云服务运营通用要求 GB/T377352019信息技术云计算云服务计量指标 信息技术云计算云平台间应用和数据迁移指南 GB/T377402019 GB/T37741一2019信息技术云计算云服务交付要求 术语和定义 GB/T324002015和GB/T35301一2017界定的以及下列术语和定义适用于本文件
为了便于 使用.以下重复列出了GB/T324002015和GB/T353012017中的一些术语和定义
3.1 云计算cloudcomputing -种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式
注资鄙包括服务器、操作系统、网络、软件,应用和存储设备等
[[GB/T324002015,定义3.2.5 3.2 云服务coudserviee 通过云计算已定义的接口提供的一种或多种能力
[[GB/T324002015,定义3.2.8 3.3 云服务客户cloudservieecustomer 为使用云服务而处于一定业务关系中的参与方
注业务关系不一定包含经济条款
[GB/T324002015,定义3.2.11门
GB/T37734一2019 3.4 云服务提供者coudservieeprovider 提供云服务的参与方
[GB/T32400一2015,定义3.2.15] 3.5 基础设施即服务infrastruetureasaservice 为云服务客户提供云能力类型中的基础设施能力类型的一种云服务类别
注,云服务客户并不管理或控制底层的物理和虚拟资源,但是控制使用物理和虚拟资源的操作系统、存储,以及部 署的应用
云服务客户也可拥有对某些网络组件(如防火墙)的部分控制能力 [GB/T32400一2015,定义3.2.24] 3.6 平台即服务plattr rmaSaSerVice 为云服务客户提供云能力类型中的平台能力类型的一种云服务类别
[GB/T324002015,定义3.2.30 3.7 软件即服务softwareasaserviee 为云服务客户提供云能力类型中的应用能力类型的一种云服务类别
[GB/T32400一2015,定义3.2.36] 3.8 云平台eoudplatform 云计算中能够提供部署、管理和运行应用程序能力的服务模式
[[GB/T35301一2017,定义3.1.21 3.9 资产asset 云服务采购过程中涉及的数据和软件
注:本标准中定义的资产不包括硬件资产 缩略语 下列缩略语适用于本文件
Interface API;应用编程接口(ApplicationProgramming CPU中央处理单元(CentralProcessingUnit) csc;云服务客户(CowdserieCuwtomen) CSP:云服务提供者(CloudServiceProvider o ps;过程,方法与系统的统称(DevelopmentandOperations) ev(O GPU;图形处理器(GraphicsProcessingUnit) IDE:集成开发环境(IntegratedDevelopmentEnvironment Protocol IP:网际协议(Internet IOPS;每秒进行读写操作的次数(Input/OutputOperationsPerSecond Mea!元素可提供相关页面的元信息(Meta-inomation) REsSTAPI表现层状态转移接口(RepresentationalstateTransferAPD
GB/37734一2019 SATA.串行高级技术附件(SerialAdanedTeehnologyAtachmene) sSD;固态硬盘(SolidStateDrives) SAs;串行连接小型计算机系统接口(SerialAttachedSmallComputerSystemlInterface) SLA;服务水平协议(Servicel eLevelAgreement) VLAN;虚拟局域网(VirtualL.ocalAreaNetwork) VXILAN:可扩展虚拟局域网(VirtualExtensibleLAN wEB全球广域网或万维网(worldwideweb) 云服务采购流程 5 云服务采购流程包含云服务采购需求分析、云服务提供商选择、协议/合同签订服务交付与验收四 个阶段,四个阶段为递进关系,且存在内部循环与递归
云服务采购流程见图1
需求分析不充分,未被完全覆盖 需签订补充协议 提供商不能满足需求 云服务提供商 云服务果购需求分析 协议/合同签订 服务交付与验收 选择 采购要求 选定提供商 流程结束 签订协议并执行 采购流程中的阶段 各阶段的输出结果 图1云服务采购流程 其中,“采购流程中的阶段”图例箭头方向为由某个阶段指向其下一个阶段,整个流程说明如下: 云服务采购需求分析阶段;从资产、云服务的功能性、非功能性和安全四个方面,分析并提出 a CSC的采购需求
云服务提供商选择阶段;根据上一阶段提出的需求.从服务级别、服务管理和服务费用三个方 b 面遵选CSP 协议/合同签订阶段:CSC选定CSP后,双方签订协议/合同;当CsC与选定cSP不能就协议 合同条款达成一致时,则返回b)阶段;当由于需求分析不充分,导致cSC需求未被完全覆盖 时,则迟回)阶段.并依次执行之后的流程
服务交付/验收阶段:CSP根据签订的协议/合同进行服务交付,如在服务交付过程中,协议 合同部分条款需要变更或补充,应返回e)阶段签订补充协议,并依次执行之后的流程;交付完 毕后,按已签订协议/合同验收
合同/协议是采购过程中的重要内容,后续章节中的各条款是用户签订采购协议/合同的重要参考
云服务采购需求分析 6.1概述 云服务采购需求分析阶段站在CSC视角,从资产、云服务的功能性、非功能性和安全四个方面展开 需求分析
GB/T37734一2019 6.2资产 6.2.1资产的归属 6.2.1.1 软件资产 CSC对软件资产的归属需求包括但不限于 CSC应拥有其部署的软件资产的所有权/使用权,CSC不能在CSP提供的云服务上部署没有 a 授权的软件,并对软件的侵权行为承担相应的法律责任
b CcsC应与cSP共同协商确认CSC利用云服务开发的软件资产的所有权、使用权,与CSP共同 协商确认其归属,并在双方签署的服务协议中明确划分归属及权责;涉及第三方或多方时, CSC应与CSP共同协商与第三方或多方的使用权和所有权
CSC应关注CSP提供的软件的合法性,要求CSP对其合法性进行确认,CSP应在服务合约中 说明,并对可能存在的侵权行为承担相应的法律责任
6.2.1.2数据资产 CsC对数据资产的归属需求包括但不限于 CSC的业务数据资产归CSsC所有
CSC的业务数据是指CSC上传至业务应用系统的初始数 a 据以及业务应用运行过程中产生的数据,包括注册信息,操作信息,业务信息、日志信息等
b CsC和CSP应共同协商支撑业务运行的平台数据资产的归属,如协商归属一方或双方共同拥 有等
平台数据资产是指CsC业务运行时平台产生的数据,包括业务运行状态数据、资源消 耗状况数据,基础设施性能数据等,这部分数据资产一般在CSP的控制管理下,虽然不属于业 务数据,但是通过对该数据的分析挖掘可能分析出CsC业务运行相关的信息
CsC和CcSP应共同协商数据资产使用和处理行为的权限
数据资产的使用行为包括数据查 看、分析、挖掘等;数据资产的处理行为包括数据增加、修改、删除等
数据资产的使用和处置 权限与数据资产的归属有关,CcsC对归属于CsC的数据资产拥有其完整的使用和处置权限 CSP对归属于CSP的数据资产拥有其完整的使用和处置权限;双方共同拥有的数据资产应由 CSC和CSP共同协商明确其使用和处置权限,并在协议/合同中进行说明
d CSC和CSP应共同协商是否可将双方共有的数据资产提供给第三方,以及数据资产提供的范 围、内容和方式等,保证各方的利益不受侵害
CsC可根据其业务数据资产的重要性及安全性需求,获取或指定其业务数据资产的传输路 径,以及存储和备份位置
包括 1) CsC可要求CSP提供CsC业务数据的传输路径、存储和备份位置 CsC可指定其业务数据传输路径,以及存储和备份位置
存储和备份位置应详细到数据 中心物理位置,必要时可详细到具体的机柜位置
示例;对于希望独享存储空间的CSC,可获取具体机柜位置;对于购买私有云的CSC,可获取或指定具体机柜 位置.
fD CsC应确认其存放数据资产的合法性,不损害第三方合法权益
第三方合法权益包括著作 权、专利权、商标权、隐私权等
6.2.2资产的知识产权 CsC对资产的知识产权需求包括但不限于 CSC应与CSP共同协商确认CsC利用CSP所提供的云服务创造出来的有价值的资产的知识 a 产权,并在协议/合同中予以说明
有价值的资产包括软件产品、发明专利、专有算法等;知识
GB/37734一2019 产权包括专利权,著作权,商标权,商业秘密、反不正当竞争与垄断等
b CSC应与CSP共同明确发生知识产权纠纷时,双方承担的责任和解决方式,以及知识产权的 内容、属性和权属等内容,并在协议/合同中予以说明
示例1:归属为CSC的资产所产生的知识产权纠纷由CSC承担并解决
示例2:归属为cSP的资产所产生的知识产权纠纷由cSP承担并解决,如因csP发生侵权行为,某项服务停 用给CSC造成损失,(CSP与CSC协商给出解决办法
示例3双方共有的资产所产生的知识产权纠纷由双方协商解决的途径、原则和方法 6.3功能性需求 6.3.1基础设施即服务(laaS) CsC应从当前和未来业务需求出发,确定对laaS的功能性需求,包括但不限于 a CsC应确定对所需的计算资源和操作系统类型的组合,存储资源和存储技术类型的组合以及 网络资源和组网类型的组合
如下 计算资源和操作系统类型的组合包括对CPU(GPU)/内存/操作系统(镜像)的配置和选 择等
示例1;l核CPU/2G内存/操作系统及版本号
22 存储资源和存储技术类型的组合包括对存储资源所基于的物理媒体和存储类型的组合以 及对存储技术类型的要求等
其中,对存储资源所基于的物理媒体和存储类型的组合包 括对容量/媒体类型如sSATA/SSD/SAs等/性能(如IoPS)等的要求;存储技术类型包 括对象存储/块存储/文件存储等 3 网络资源种类和组网类型的组合包括所需网络资源(如端口/IP地址/链路/带宽等)和组 网类型(如VLAN/VX b)CsC应确定对计算、存储、网络资源进行全生存周期管理的功能性需求,如不明确可由cSP协 助
资源全生存周期一般包括资源创建、运 变更、停止、销毁、回收等
行、 示例2;对计算资源进行虚拟机的创建、修改配置、,迁移、销毁、快照、备份等全生存周期管理
示例3.对存储资鄙进行块存储的创建、挂载.卸载、销毁.快照,备份,修改配置等全生存周期管理
示例4;对网络资源进行公网IP申请、绑定、解绑、释放等全生存周期管理
CsC应确定对计算、存储、网络资源的弹性伸缩的功能性需求
其中,计算、存储、网络的弹性 伸缩包括: 横向弹性伸缩一般是指资源实例数量的自动或者手动增减
示例5一个应用的虚拟机集群可以根据负载情况自动或者手动从5台扩展为10台,或者从5台缩减为3台 22 纵向弹性伸缩,一般是指实例配置的自动或者手动增减
示例6:一台虚拟机可以根据负载情况,自动或者手动由4核CPU/16GB内存扩展为8核CPU/32GB内存, 或者是缩减为2核CPU/8GB内存;存储由100GB扩展到500TB,或缩减为10GB,网络带宽由千兆扩展为 万兆,或缩减为百兆等
注1:一般情况下,纵向弹性伸缩以手动为主,计算和存储类资源进行纵向伸缩时,该计算实例可能需要停机 或者重启
CsC应确定对计算、存储、网络资源的统计、监控和告警的功能性需求,并能根据需求进行自 d 定义调整,如自定义配置、自定义监控、自定义展示、自定义报表等
CsC应确定对计算、存储、网络资源及其他服务进行定制化的功能性需求
注2;资源的定制化服务包括计算,存储、网络资源的类型、性能以及特定产品等定制,资源及其相关专用软硬 件的定制,服务界面风格等的定制、第三方系统对接(接口)定制等
依据csc的定制化需求,可能涉及 额外的收费,如C'SC需要C'SP提供的云资源服务可以对接已有或者未来的第三方管理平台,需要C'SP 开放必要的接口甚至定制开发满足其要求的接口
GB/T37734一2019 6.3.2平台即服务(Paas CSC应从当前和未来业务需求出发,确定对PaaS的功能性需求,包括但不限于: csC对应用程序开发的功能性需求
包括但不限于 a 1) 对应用程序开发、调试和测试的环境、工具或接口的需求
示例1.CsC提出需要CsP提供云平台资源调度管理平台、镜像仓库,容器,微服务,中间件,数据库等服务的 RESTAP1接口,并通过与DevOps相关服务对接,提供应用程序的开发、调试和测试的环境或工具以及应用 程序开发所需的平台服务 22 对代码版本管理功能的需求
代码管理功能包括管理分支、追踪版本变更历史、进行代码 文件的比较及合并等,可通过集成版本控制工具提供相应功能
对开发环境多样性的需求
包括但不限于: 支持多种开发语言环境 支持多种代码的编写、分析、编译,调试及构建的集成开发环境(IDE); 支持结构化、半结构化、非结构化等数据类型
bCsSC对应用程序运行的功能性需求
对应用程序运行的需求包括应用程序运行环境所支持 的编程语言、应用框架的类型等需求
注1;cSc了解csP所提供支撑其应用程序运行的能力,如应用程序与Paas软件运行环境的兼容情况,包括编辑 语言,应用框架、提供特定功能的服务组件等
包括但不限于 CSC对应用程序管理的功能性需求 对应用程序全生存周期管理的能力需求
包括但不限于 提供用户应用程序的部署能力; -提供用户应用程序的删除(反部署)能力; -提供软件发布的能力包括软件配置、Meta信息填写、软件包上传、存储等的能力; -提供对已发布软件的管理能力,包括对软件的查看、查询、添加、删除、修改、部署及反 部署等的能力; -提供对已部署应用程序的管理能力,包括对已部署应用程序进行查看、状态监控、日 志记录、停止、暂停,重启、修改、删除等
对应用程序的部署需求
包括应用程序的自动化部署程度、部署配置策略、部署工具的易 用性等 对应用程序的监控需求
包括但不限于 -平台对应用程序的监控报告
注2;为了解应用程序的运行情况,通常需要对应用程序进行监控
PaS系统针对各种监控指标均抛 供监控图表报告,如消息队列的队列长度,数据库的并发读写数等
-可配置监控信息
注3PaaS系统支持监控信息的可配置,CsC可对监控信息进行筛选,查询、聚合,分类等操作
注4,监控功能自身的可配置,如监控时间间隔等
-第三方监控工具适配能力
注 指可提供供第三方监控工具所调用的接口 5 对应用程序数据的迁人迁出需求
包括但不限于 应用程序状态数据的迁人迁出,如WEB服务器的配置文件、会话状态等数据的迁人 迁出; 应用程序业务数据的迁人迁出,如数据文件的导人导出、数据库应用数据的导人导 出等
GB/37734一2019 对应用程序数据的销毁需求
一般涉及两类存储 应用本身占用的存储,如虚拟机、容器等; 应用使用的附加存储,如虚拟机卷、容器卷等
6 对资源管理与配置需求 77 对所获资源的分配监控、释放等操作需求
对所获资源的参数配置、性能调优等操作需求
8 示例2;对PaS软件运行环境的性能、容量等进行配置,对sL.A的相关指标进行设置
e 6.3.3软件即服务(Saas cSC应从当前和未来业务需求出发,确定对SaaS的功能性需求,包括但不限于 CsC应确定对SaaS支持的终端硬件类型需求
其中,终端硬件类型包括但不限于 a 移动端:指能够通过无线网络技术接人互联网的终端,如各类移动智能终端、平板式计算 机等; 其他可能需要的智能终端,如自助服务一体机等
22 CsC应确定对SaaS支持的软件运行环境类型需求,如操作系统、浏览器等
b CsC应确定对SaaS的全生存周期管理需求,如不明确可由CSP协助
资源全生存周期一般 包括注册、使用、数据同步备份、注销,软件版本迭代等
C'SC应确定对SaaS的统计,监控和告警需求,如对应用网络故障告警、对应用使用情况分析 d 报告等
CsC应确定对SaaS的定制化需求,如对界面、数据、功能模块、工作流程的定制等
6.4非功能性需求 CsC应从当前和未来业务需求出发,确定对云服务的非功能性需求
包括但不限于 性能确定并形成可量化考核的云服务关键性能指标,确认性能基线范围
a 示例1;块存储服务的关键性能指标包括IOPS,带宽等, 可用性;确定云服务可用性的指标和计算方法
b 兼容性;确定csC在使用云服务过程中的兼容性要求和应对策略
其中,兼容性要求包括 CSP提供的云服务与CsC现有业务环境的兼容性要求等;应对策略包括CSP提供满足需求 的兼容性方案和相关测试证明文件,以及如果不兼容的解决办法等,如与服务器、存储等硬件 设备兼容性,与操作系统,运行环境等软件兼容性
互操作性;确定CsC在使用云服务过程中的互操作性要求和应对策略,如接口、格式、协议等 互操作性要求
注1:云服务采购中的互操作性包括三层含义,一是CSC与CSP提供的云服务之间按照规定的方法交互和交换信 个云服务与其他云服务一起工作的能力,既可以通过同一个csP的云间 息并获得可预测结果的能力; 提供商关系,也可以由 自己以某种形式组合多个不同的云服务来实现其业务目标;三是延伸到云服务本 CSC 身之外,CSC与CSP的云服务管理设施的交互,如CSC的多云管理应用场景等
可扩展性:确定可扩展性要求和应对策略
示例2;针对当前或未来业务发展需求.CSC不受CSP可供应的物理或虚拟资源限制
示例3;在云服务扩展时,保障CSC业务连续运行和保持服务水平的应对策略
可维护性;确定云服务过程中需自行维护的要求和维护策略,划分CSC和cSP各自承担的维 护范围,对于共同承担的维护范围双方共同协商维护策略
可审计性;确定云服务使用过程中的审计要求和策略,如计费,安全,运维等审计要求
其中 g
GB/T37734一2019 审计包括审计报告、,审计证明等,与服务及相关资源的用法、环境、可用性和性能相关的数据和 证明的可用性等相关
注2:针对不同行业特定的审计需求,公司采购部门可与审计部门需提前沟通审计需求
可移植性:CSC采购云服务过程中的迁人迁出需求,由CSC和CSP等相关方共同协商确定
h 协商内容包括但不限于 协商CSC的资产迁人迁出可行性,并就能力、风险、实施方案、费用等达成一致
包括 -能力可关注CSP迁移工具的商业成熟度和项目迁移经验、人员配备情况等 -风险可关注应用迁移失败、数据迁移不完整等可能存在的风险 实施方案可从具体迁移实施人员,实施计划实施准备、迁移测试、风险应对、数据割 接等方面制定实施方案; -费用可依据人/日工作量计费
22 CSC进行资产迁人迁出需CSP配合的工作内容
包括但不限于 提供CsC资产迁人新的云服务所需的计算、存储、网络、安全等资源和环境.以及 CSC在迁出时CSP能够提供的人员和咨询服务能力
-协商迁人迁出的迁移方案和演练计划
注3迁移场景包括将csC资产从物理环境中迁移到一个云环境中,或者将csC资产从一个云环境中 迁移到另一个云环境中等
-协商回退机制并进行迁移演练,以应对可能发生的迁人迁出失败场景
迁移失败的 场景包括迁移过程完成但是CSC资产不能在CSP所提供的云服务环境中正常运行 在预期的时间内没有完成迁移等
回退机制是在迁移失败后需要回退资产,按照计 划和顺序拨回配置信息,启用原资产 3 资产及知识成果转移细则
本标准中的知识成果是指在整个云服务过程中,迁人、运行和 迁出等过程中产生需要双方对接的成果,包括应用信息,解决方案应急预案、迁移细则、 迁移方法、迁移工具、迁移总结报告等
细则包括云服务终止时CSC资产及知识成果的 迁出策略,包括迁出方案、,时间和费用等
由于云服务的终止是在合同期内的不确定性行 为,在这种情况下的资产及知识成果转移需双方共同商定
迁出后的数据资产处置策略
保留策略内容包括保留期限、保留费用、资产评估、期满后 处理方式、剩余信息清理等
注4以上要求可由csP或第三方协助确认
5)迁人迁出实施过程的要求见GB/T377402019.
注5相关方包括csc,csC的服务方,原csP,现csP等 6.5安全 安全保障是CSC和CSP共同的责任,贯穿于云服务采购全生存周期,具体内容包括但不限于 CsC应关注CSP所具有的网络安全资质; a b CsC应关注CSP对云服务自身的网络安全控制措施; CsC应明确自身网络安全要求并关注CSP能够提供或支持的安全产品/服务/解决方案; c d CsC应明确CSP是否能够在与CSC相关的安全评估、审核等过程中提供支持; CSC与CSP应共同明确安全保障、保密和个人数据保护等内容; e f CSC与CSP应共同遵守网络安全法律法规,必要时可参考相关安全标准
a,b),e),d)四个条款是递进关系,给出CsC应关注CSP安全保障相关的文件,实践、产品化的安 全产品与服务(含对第三方安全能力的支持)和非产品化的审核支持工作
GB/37734一2019 云服务提供商选择 7.1概述 按照第6章的内容,CSC从服务级别服务管理、服务费用三个方面对云服务提供者进行选择
7.2服务级别 CsC对CcSP服务级别的选择要点包括: CSP的服务内容(见GB/T36325一2018中的6.1.3) a b CSP的服务级别指标(见GB/T36325一2018中的6.1.6); CSP的服务时间见GB/T36325一2018中的6.1.5) c d)CSP的补偿策略(见GB/T36325一2018中的6.1.13). 注1:GB/T36325-2018中提出服务级别协议的必备要素,在对csP的选择阶段仅对服务内容、服务级别指标、,服 务时间和补偿策略四个要素进行对比
注2:基于以上条款.,csC可通过自评、委托第三方测评.cSP提供资质认证采信等方式评估选择
7.3服务管理 CsC对CSP服务管理的选择要点包括 CSP的运营能力,例如:是否已建立满足CSC需求的运营管理机制 a b)CSP的运维能力,例如:是否已建立满足CSC需求的运维管理机制 运营和运维能力应满足GB/T36326一2018中6.1和6.2,以及GB/T28827.1一2012中9.4 c 9.9的要求
7.4服务费用 csC对csP服务费用的选择要点包括但不限于 CSP提供的云服务计量指标的名称、单位和计量周期
对计量指标的名称、单位应符合 a GB/T37735-2019中第5章一第7章的要求
CsP提供的计费策略和付费策略
计费策略包括订阅计费/按量计费等,付费策略包括预付、 b 后付,实时划账、,折扣等
cSP能否提供服务使用费用的清单,以及清单的内容和详细程度等
c 云服务使用过程中可能产生的关联服务费用
例如;迁人迁出过程可能产生的数据传输、数据 d 存储等费用
协议/合同签订 csC与cSP应共同确定: 签约形式
包括纸质、电子的合同或协议等法律认可的签约形式
aa b 订约条款
第6章和第7章的内容,应根据cSC的需求,并经双方达成一致后,部分或全部作 为技术内容输出物体现在订约条款中,如双方共同确认的SL.A,服务内容、价格等
违约条款
包括违约责任界定及处理机制等,如云服务未达到约定要求的具体表现形式,双方 的责任边界,以及违约处理或惩罚措施等,并对每项未达到约订要求的服务,给出具体的责任 认定方法处罚方法,以及处罚的执行方法
违约场景包括但不限于 1cSP侵犯约定的CSC资产产权,或第三方资产产权
GB/T37734一2019 22 cSP云服务所交付的资源,资产,未达到约定的功能或非功能要求; 33 CSP的服务的管理未达到约定要求; ! CSP的服务水平未达到约定要求; 5 CSP提供的服务结算结果与约定的计费条款不一致
d 是否符合相关法律法规中规定的其他内容,并通过合法性审查
如是否符合《 合同法电子签名法》等的规定
将订约和违约条款体现在双方签订的协议或合同中 服务交付与验收 服务交付与验收是云服务采购流程的最后一个阶段,应满足G;B/T37741一2019的要求
0
信息技术云计算云服务采购指南GB/T37734-2019
1. 采购目标
在采购云计算和云服务前,企业应该明确自己的采购目标。例如,是节省成本还是提升安全性能?还是两者兼顾?根据不同的采购目标,企业可以选择不同类型的云计算和云服务。
2. 采购流程
采购云计算和云服务的流程应该包括需求分析、方案设计、供应商选择和合同签订等环节。特别是在供应商选择环节,企业应该对候选供应商进行评估,包括其服务质量、安全保障、价格等方面。
3. 服务级别协议
企业在采购云计算和云服务时,应该与供应商签订服务级别协议(SLA),明确双方的权利和责任。例如,对服务可用性、响应时间、数据备份等方面进行约定。
4. 安全保障
云计算和云服务的安全问题一直是企业关注的焦点。在采购时,企业应该要求供应商提供详细的安全保障措施,并审查其合规性。此外,企业还可以采取多种手段,如加密,数据备份等,来增强数据安全性。
5. 隐私保护
企业在采购云计算和云服务时,也需要关注隐私保护问题。例如,在采购SaaS时,企业需要了解供应商在用户数据存储和处理方面的做法。同时,企业也需要保证自身数据的隐私安全,避免泄露。
6. 合同管理
在云计算和云服务的采购中,合同管理也是至关重要的环节。企业应该制定相关的合同管理流程,包括合同签订、履行和维护等方面。此外,在合同签订前,也应该对合同条款进行充分的审查和修改。
综上所述,企业在采购云计算和云服务时,需要考虑多方面的因素,如采购目标、采购流程、服务级别协议、安全保障、隐私保护和合同管理等。只有全面考虑这些因素,才能选择到最适合自己的云计算和云服务供应商。
信息技术云计算云服务采购指南的相关资料
- 云制造术语GB/T29826-2013解析
- 信息安全技术云计算服务安全能力要求GB/T31168-2014
- GB/T31167-2014云计算服务安全指南
- GB/T31916.5-2015:基于键值的云数据管理应用接口
- 信息技术云计算概览与词汇GB/T32400-2015
- 信息技术学习、教育和培训教育云服务:框架GB/T36352-2018
- 增材制造云服务平台模式规范GB/T37461-2019
- 信息技术云计算云服务交付要求GB/T37741-2019解读
- 信息技术工业云服务能力通用要求GB/T37724-2019
- 信息技术云计算云服务采购指南GB/T37734-2019
- 信息技术云计算云服务采购指南GB/T37734-2019
- 信息技术云计算云服务采购指南GB/T37734-2019
