當前位置:首頁(yè) » 購買(mǎi)服務(wù) » 觀(guān)點(diǎn)探討
英美云服務(wù)采購:制度架構先行
2014年07月30日 10:03 來(lái)源:中國政府采購報 【打印】 
英國:政府采購云服務(wù)制度架構高效
建立標準:英國政府采購云服務(wù)依據標準為政府信息標準(HMG Information Standards No. 1 & 2.)。
規范合同:所有參加政府采購的云服務(wù)必須滿(mǎn)足G-Cloud云服務(wù)合同框架。最新的G-Cloud 框架于2013年8月6日推出。
認證評估:G-Cloud為云服務(wù)提供G-Cloud認證服務(wù),以滿(mǎn)足一些機構更高級別的安全等方面要求。G-Cloud認證結果共分4個(gè)等級,認證要求由低到高的等級依次為IL0、IL1、IL2和IL3。IL0等級的云服務(wù)無(wú)需經(jīng)過(guò)G-Cloud認證,IL1和IL2等級的云服務(wù)需通過(guò)以ISO27001為主要認證標準的認證,IL3等級的云服務(wù)除具備IL2等級認證要求外,還需滿(mǎn)足相關(guān)的英國政府信息標準(HMG Information Standards No. 1 & 2.)。對于IL3,英國提出網(wǎng)絡(luò )連接方面等技術(shù)要求,使境外的云平臺不可能通過(guò)審查,實(shí)現遏制國外云服務(wù)商的目的。
英國的 G –Cloud認證,由司法部(Ministry of Justice)領(lǐng)導,政府辦公室支持(Home Office), G-Cloud Chief Information Officer Delivery Board委員會(huì )牽頭,下設云服務(wù)組、安全審查工作組、商業(yè)工作組以及數據中心聯(lián)合計劃委員會(huì )。英國政府現已開(kāi)通“云市場(chǎng)”(Cloud Store)網(wǎng)站,供政府部門(mén)選擇、采購各類(lèi)云計算服務(wù)。G-Cloud認證,針對的是 CloudStore上的所有云服務(wù)進(jìn)行的安全審查的認證。認證測試由英國通信電子安全小組CESG負責,最終審查由公共部門(mén)認可委員會(huì )PSAB負責。
采購管控:英國政府機構和公共部門(mén)采購云服務(wù)主要通過(guò)英國政府云服務(wù)項目(G-Cloud)的在線(xiàn)云服務(wù)商店(CloudStore)進(jìn)行。進(jìn)入CloudStore的云服務(wù)商一是滿(mǎn)足G-Cloud云服務(wù)合同框架。二是需通過(guò)G-Cloud的4個(gè)等級認證。G-Cloud簡(jiǎn)化了供需雙方的采購流程,發(fā)布供需雙方的清單:客戶(hù)清單和云服務(wù)商清單。只有清單上的機構能基于G-Cloud框架采購云服務(wù),也只有CloudStore上的云服務(wù)商可提供云服務(wù)??蛻?hù)清單上的機構首先需明確機構計劃支付的采購費用和所需的云服務(wù)應用要求,然后在CloudStore上按確定的采購要求對相關(guān)的云服務(wù)進(jìn)行搜索,對搜索結果中的云服務(wù)詳細比較,選取最適合采購要求的云服務(wù)。當機構最終確定購買(mǎi)某項云服務(wù)時(shí),則需基于G-Cloud框架同該服務(wù)的供應商簽訂服務(wù)合同。
美國:政府采購云服務(wù)制度架構完備
建立標準:美國國家標準和技術(shù)研究院(NIST)開(kāi)展一系列有關(guān)政府采購云服務(wù)標準制定工作。主要包括術(shù)語(yǔ)和定義、互操作性和可移植性、管理和安全的標準。
規范合同:一是NIST制定了政府采購云服務(wù)合同模板《建立有效的政府采購云服務(wù)合同》。
二是美國聯(lián)邦總務(wù)署(GSA)制定一攬子采購協(xié)議(Blanket Purchase Agreement ,簡(jiǎn)稱(chēng)BPA),規范云服務(wù)合同四種交付模式(政府社區云、公有云、私有云和專(zhuān)用云)、定價(jià)方式(U.S.定價(jià)和全球定價(jià))和定價(jià)項(典型業(yè)務(wù)的統一定價(jià)量化尺度)。目前BPA規定了兩類(lèi)典型業(yè)務(wù)的采購協(xié)議,分別是IaaS服務(wù)采購協(xié)議,包含云存儲、虛擬機和網(wǎng)站托管三種服務(wù);EaaS(Email as a Service),即郵件即服務(wù)采購協(xié)議,包含郵件即服務(wù)、辦公自動(dòng)化、電子記錄管理、遷移服務(wù)和集成服務(wù)五種服務(wù)。
認證評估:美國政府啟動(dòng)聯(lián)邦風(fēng)險和認證管理項目(FedRAMP),保證政府采購云計算服務(wù)的安全性,以達到一次認證、多次使用的目的。聯(lián)邦機構和云服務(wù)供應商都需滿(mǎn)足FedRAMP的安全認證。根據NIST SP 800-53標準,FedRAMP規定了低、中、高三個(gè)等級的云服務(wù)。對于政府社區云,公共云和私有云三種交付模式的服務(wù),安全性需達到中級,對于專(zhuān)用云交付的服務(wù),不僅需要達到高等級,而且還需提供額外安全控制保護機密數據。
采購管控:美國聯(lián)邦政府采購云服務(wù)的方式主要分為兩種:一種是集中采購,另一種是分散采購。集中采購方面,GSA一攬子采購協(xié)議(BPA)是由聯(lián)邦總務(wù)署作為所有聯(lián)邦機構的采購方代表,將各聯(lián)邦機構所需的服務(wù)需求匯總起來(lái),與云服務(wù)供應商簽訂中長(cháng)期云計算一攬子采購協(xié)議。BPA特點(diǎn):一是采用預競價(jià)機制,即 GSA會(huì )預先與供應商確定出不同服務(wù)的最高限價(jià),后續各部門(mén)采購不得高于此價(jià)格。二是采用定點(diǎn)采購方式,依據兩類(lèi)典型業(yè)務(wù)(IaaS和EaaS),對云服務(wù)商進(jìn)行標準規范、安全評估和合同規范三方面的審查,確定兩類(lèi)典型業(yè)務(wù)的云服務(wù)商清單,后續聯(lián)邦各部門(mén)采購從云服務(wù)商清單中選擇即可。分散采購方面,即各聯(lián)邦部門(mén)在得到聯(lián)邦總務(wù)署的授權后,自行采購所需的云服務(wù)。
采購后管理:美國的政府采購云服務(wù)制度不僅有事前的管控,還有采購后事中的管理措施。采購后,FedRAMP 持續監控云服務(wù)實(shí)際情況,定期反饋云服務(wù)運行情況。
相關(guān)文章
- 服務(wù)采購2015-04-10
- 合同能源管理服務(wù)采購執行難在哪兒2014-08-19
- 因地制宜做好文化服務(wù)采購2014-08-11
- 上半年物業(yè)服務(wù)采購規模達11億元2014-08-01
- 青海取消高度集中的服務(wù)采購模式2015-03-26
