GBT377342019信息技术云计算云服务采购指南

书书书犐犆犛３５．２４０．０１犔７０!#$%&’’()*犌犅／犜３７７３４—２０１９!#$　%&’　%()*+,-犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犆犾狅狌犱犮狅犿狆狌狋犻狀犵—犆犾狅狌犱狊犲狉狏犻犮犲狆狌狉犮犺犪狊犲犵狌犻犱犲犾犻狀犲２０１９０８３０./２０２００３０１01’(+,-./012!’’()*3/0456./目　　次前言Ⅰ…………………………………………………………………………………………………………１　范围１………………………………………………………………………………………………………２　规范性引用文件１…………………………………………………………………………………………３　术语和定义１………………………………………………………………………………………………４　缩略语２……………………………………………………………………………………………………５　云服务采购流程３…………………………………………………………………………………………６　云服务采购需求分析３……………………………………………………………………………………　６．１　概述３…………………………………………………………………………………………………　６．２　资产４…………………………………………………………………………………………………　６．３　功能性需求５…………………………………………………………………………………………　６．４　非功能性需求７………………………………………………………………………………………　６．５　安全８…………………………………………………………………………………………………７　云服务提供商选择９………………………………………………………………………………………　７．１　概述９…………………………………………………………………………………………………　７．２　服务级别９……………………………………………………………………………………………　７．３　服务管理９……………………………………………………………………………………………　７．４　服务费用９……………………………………………………………………………………………８　协议／合同签订９……………………………………………………………………………………………９　服务交付与验收１０…………………………………………………………………………………………犌犅／犜３７７３４—２０１９前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息技术标准化技术委员会（ＳＡＣ／ＴＣ２８）提出并归口。本标准起草单位：中国电子技术标准化研究院、广东软件行业协会、香港特别行政区政府政府资讯科技总监办公室、新华三技术有限公司、山东浪潮云信息技术有限公司、华为技术有限公司、陕西省信息化工程研究院、北京百度网讯科技有限公司、阿里云计算有限公司、腾讯云计算（北京）有限责任公司、广州市品高软件股份有限公司、深圳赛西信息技术有限公司、广东省电信规划设计院有限公司、中国平安保险（集团）股份有限公司、国云科技股份有限公司、云宏信息科技股份有限公司、东莞中国科学院云计算产业技术创新与育成中心、ＩＢＭ（中国）、成都市大数据中心、中移（苏州）软件技术有限公司、烽火通信科技股份有限公司、城云科技（中国有限公司）、兴业数字金融服务（上海）股份有限公司、中山大学、网宿科技股份有限公司、上海优刻得信息科技有限公司、北京神州数码有限公司、无锡华云数据技术服务有限公司、浪潮电子信息产业股份有限公司、北京华胜天成科技股份有限公司、中国舰船研究院。本标准主要起草人：杨丽蕴、周平、吕晖、周启明、饶通宇、郝轶、潘正泰、张敏、赵华、郑善龙、刘峤、闵震强、王文岩、贾立国、徐东、王泽胜、刘成龙、张卫中、程海旭、谭思敏、王春涛、郑文雯、张亚辉、陈志峰、温武少、祁学颖、张大江、刘晨、吴涛、朱勇、万海、但强、陈行、刘畅、赵江、赵光亮、易晶晶、侯大鹏、陈刚、杨鹏、梁钢、谢天杰、李宁。Ⅰ犌犅／犜３７７３４—２０１９信息技术　云计算　云服务采购指南１　范围本标准规定了云服务采购流程、云服务采购需求分析、云服务提供商选择、协议／合同签订和服务交付与验收的基本要求。本标准适用于云服务客户和云服务提供者，用于指导云服务客户采购云服务。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ２８８２７．１—２０１２　信息技术服务　运行维护　第１部分：通用要求ＧＢ／Ｔ３２４００—２０１５　信息技术　云计算　概览与词汇ＧＢ／Ｔ３５３０１—２０１７　信息技术　云计算　平台即服务（ＰａａＳ）参考架构ＧＢ／Ｔ３６３２５—２０１８　信息技术　云计算　云服务级别协议基本要求ＧＢ／Ｔ３６３２６—２０１８　信息技术　云计算　云服务运营通用要求ＧＢ／Ｔ３７７３５—２０１９　信息技术　云计算　云服务计量指标ＧＢ／Ｔ３７７４０—２０１９　信息技术　云计算　云平台间应用和数据迁移指南ＧＢ／Ｔ３７７４１—２０１９　信息技术　云计算　云服务交付要求３　术语和定义ＧＢ／Ｔ３２４００—２０１５和ＧＢ／Ｔ３５３０１—２０１７界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了ＧＢ／Ｔ３２４００—２０１５和ＧＢ／Ｔ３５３０１—２０１７中的一些术语和定义。３．１云计算　犮犾狅狌犱犮狅犿狆狌狋犻狀犵一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。注：资源包括服务器、操作系统、网络、软件、应用和存储设备等。［ＧＢ／Ｔ３２４００—２０１５，定义３．２．５］３．２云服务　犮犾狅狌犱狊犲狉狏犻犮犲通过云计算已定义的接口提供的一种或多种能力。［ＧＢ／Ｔ３２４００—２０１５，定义３．２．８］３．３云服务客户　犮犾狅狌犱狊犲狉狏犻犮犲犮狌狊狋狅犿犲狉为使用云服务而处于一定业务关系中的参与方。注：业务关系不一定包含经济条款。［ＧＢ／Ｔ３２４００—２０１５，定义３．２．１１］１犌犅／犜３７７３４—２０１９３．４云服务提供者　犮犾狅狌犱狊犲狉狏犻犮犲狆狉狅狏犻犱犲狉提供云服务的参与方。［ＧＢ／Ｔ３２４００—２０１５，定义３．２．１５］３．５基础设施即服务　犻狀犳狉犪狊狋狉狌犮狋狌狉犲犪狊犪狊犲狉狏犻犮犲为云服务客户提供云能力类型中的基础设施能力类型的一种云服务类别。注：云服务客户并不管理或控制底层的物理和虚拟资源，但是控制使用物理和虚拟资源的操作系统、存储，以及部署的应用。云服务客户也可拥有对某些网络组件（如防火墙）的部分控制能力。［ＧＢ／Ｔ３２４００—２０１５，定义３．２．２４］３．６平台即服务　狆犾犪狋犳狅狉犿犪狊犪狊犲狉狏犻犮犲为云服务客户提供云能力类型中的平台能力类型的一种云服务类别。［ＧＢ／Ｔ３２４００—２０１５，定义３．２．３０］３．７软件即服务　狊狅犳狋狑犪狉犲犪狊犪狊犲狉狏犻犮犲为云服务客户提供云能力类型中的应用能力类型的一种云服务类别。［ＧＢ／Ｔ３２４００—２０１５，定义３．２．３６］３．８云平台　犮犾狅狌犱狆犾犪狋犳狅狉犿云计算中能够提供部署、管理和运行应用程序能力的服务模式。［ＧＢ／Ｔ３５３０１—２０１７，定义３．１．２］３．９资产　犪狊狊犲狋云服务采购过程中涉及的数据和软件。注：本标准中定义的资产不包括硬件资产。４　缩略语下列缩略语适用于本文件。ＡＰＩ：应用编程接口（ＡｐｐｌｉｃａｔｉｏｎＰｒｏｇｒａｍｍｉｎｇＩｎｔｅｒｆａｃｅ）ＣＰＵ：中央处理单元（ＣｅｎｔｒａｌＰｒｏｃｅｓｓｉｎｇＵｎｉｔ）ＣＳＣ：云服务客户（ＣｌｏｕｄＳｅｒｖｉｃｅＣｕｓｔｏｍｅｒ）ＣＳＰ：云服务提供者（ＣｌｏｕｄＳｅｒｖｉｃｅＰｒｏｖｉｄｅｒ）ＤｅｖＯｐｓ：过程、方法与系统的统称（ＤｅｖｅｌｏｐｍｅｎｔａｎｄＯｐｅｒａｔｉｏｎｓ）ＧＰＵ：图形处理器（ＧｒａｐｈｉｃｓＰｒｏｃｅｓｓｉｎｇＵｎｉｔ）ＩＤＥ：集成开发环境（ＩｎｔｅｇｒａｔｅｄＤｅｖｅｌｏｐｍｅｎｔＥｎｖｉｒｏｎｍｅｎｔ）ＩＰ：网际协议（ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌ）ＩＯＰＳ：每秒进行读写操作的次数（Ｉｎｐｕｔ／ＯｕｔｐｕｔＯｐｅｒａｔｉｏｎｓＰｅｒＳｅｃｏｎｄ）Ｍｅｔａ：元素可提供相关页面的元信息（Ｍｅｔａｉｎｆｏｒｍａｔｉｏｎ）ＲＥＳＴＡＰＩ：表现层状态转移接口（ＲｅｐｒｅｓｅｎｔａｔｉｏｎａｌＳｔａｔｅＴｒａｎｓｆｅｒＡＰＩ）２犌犅／犜３７７３４—２０１９ＳＡＴＡ：串行高级技术附件（ＳｅｒｉａｌＡｄｖａｎｃｅｄＴｅｃｈｎｏｌｏｇｙＡｔｔａｃｈｍｅｎｔ）ＳＳＤ：固态硬盘（ＳｏｌｉｄＳｔａｔｅＤｒｉｖｅｓ）ＳＡＳ：串行连接小型计算机系统接口（ＳｅｒｉａｌＡｔｔａｃｈｅｄＳｍａｌｌＣｏｍｐｕｔｅｒＳｙｓｔｅｍＩｎｔｅｒｆａｃｅ）ＳＬＡ：服务水平协议（ＳｅｒｖｉｃｅＬｅｖｅｌＡｇｒｅｅｍｅｎｔ）ＶＬＡＮ：虚拟局域网（ＶｉｒｔｕａｌＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）ＶＸＬＡＮ：可扩展虚拟局域网（ＶｉｒｔｕａｌＥｘｔｅｎｓｉｂｌｅＬＡＮ）ＷＥＢ：全球广域网或万维网（ＷｏｒｌｄＷｉｄｅＷｅｂ）５　云服务采购流程云服务采购流程包含云服务采购需求分析、云服务提供商选择、协议／合同签订、服务交付与验收四个阶段，四个阶段为递进关系，且存在内部循环与递归。云服务采购流程见图１。图１　云服务采购流程　　其中，“采购流程中的阶段”图例箭头方向为由某个阶段指向其下一个阶段，整个流程说明如下：ａ）　云服务采购需求分析阶段：从资产、云服务的功能性、非功能性和安全四个方面，分析并提出ＣＳＣ的采购需求。ｂ）　云服务提供商选择阶段：根据上一阶段提出的需求，从服务级别、服务管理和服务费用三个方面遴选ＣＳＰ。ｃ）　协议／合同签订阶段：ＣＳＣ选定ＣＳＰ后，双方签订协议／合同；当ＣＳＣ与选定ＣＳＰ不能就协议／合同条款达成一致时，则返回ｂ）阶段；当由于需求分析不充分，导致ＣＳＣ需求未被完全覆盖时，则返回ａ）阶段，并依次执行之后的流程。ｄ）　服务交付／验收阶段：ＣＳＰ根据签订的协议／合同进行服务交付，如在服务交付过程中，协议／合同部分条款需要变更或补充，应返回ｃ）阶段签订补充协议，并依次执行之后的流程；交付完毕后，按已签订协议／合同验收。合同／协议是采购过程中的重要内容，后续章节中的各条款是用户签订采购协议／合同的重要参考。６　云服务采购需求分析６．１　概述云服务采购需求分析阶段站在ＣＳＣ视角，从资产、云服务的功能性、非功能性和安全四个方面展开需求分析。３犌犅／犜３７７３４—２０１９６．２　资产６．２．１　资产的归属６．２．１．１　软件资产ＣＳＣ对软件资产的归属需求包括但不限于：ａ）　ＣＳＣ应拥有其部署的软件资产的所有权／使用权，ＣＳＣ不能在ＣＳＰ提供的云服务上部署没有授权的软件，并对软件的侵权行为承担相应的法律责任。ｂ）　ＣＳＣ应与ＣＳＰ共同协商确认ＣＳＣ利用云服务开发的软件资产的所有权、使用权，与ＣＳＰ共同协商确认其归属，并在双方签署的服务协议中明确划分归属及权责；涉及第三方或多方时，ＣＳＣ应与ＣＳＰ共同协商与第三方或多方的使用权和所有权。ｃ）　ＣＳＣ应关注ＣＳＰ提供的软件的合法性，要求ＣＳＰ对其合法性进行确认，ＣＳＰ应在服务合约中说明，并对可能存在的侵权行为承担相应的法律责任。６．２．１．２　数据资产ＣＳＣ对数据资产的归属需求包括但不限于：ａ）　ＣＳＣ的业务数据资产归ＣＳＣ所有。ＣＳＣ的业务数据是指ＣＳＣ上传至业务应用系统的初始数据以及业务应用运行过程中产生的数据，包括注册信息、操作信息、业务信息、日志信息等。ｂ）　ＣＳＣ和ＣＳＰ应共同协商支撑业务运行的平台数据资产的归属，如协商归属一方或双方共同拥有等。平台数据资产是指ＣＳＣ业务运行时平台产生的数据，包括业务运行状态数据、资源消耗状况数据、基础设施性能数据等，这部分数据资产一般在ＣＳＰ的控制管理下，虽然不属于业务数据，但是通过对该数据的分析挖掘可能分析出Ｃ