英美云服務采購:制度架構先行
2014年07月30日 10:03 來源:中國政府采購報 【打印】 
英國:政府采購云服務制度架構高效
建立標準:英國政府采購云服務依據標準為政府信息標準(HMG Information Standards No. 1 & 2.)。
規范合同:所有參加政府采購的云服務必須滿足G-Cloud云服務合同框架。最新的G-Cloud 框架于2013年8月6日推出。
認證評估:G-Cloud為云服務提供G-Cloud認證服務,以滿足一些機構更高級別的安全等方面要求。G-Cloud認證結果共分4個等級,認證要求由低到高的等級依次為IL0、IL1、IL2和IL3。IL0等級的云服務無需經過G-Cloud認證,IL1和IL2等級的云服務需通過以ISO27001為主要認證標準的認證,IL3等級的云服務除具備IL2等級認證要求外,還需滿足相關的英國政府信息標準(HMG Information Standards No. 1 & 2.)。對于IL3,英國提出網絡連接方面等技術要求,使境外的云平臺不可能通過審查,實現遏制國外云服務商的目的。
英國的 G –Cloud認證,由司法部(Ministry of Justice)領導,政府辦公室支持(Home Office), G-Cloud Chief Information Officer Delivery Board委員會牽頭,下設云服務組、安全審查工作組、商業工作組以及數據中心聯合計劃委員會。英國政府現已開通“云市場”(Cloud Store)網站,供政府部門選擇、采購各類云計算服務。G-Cloud認證,針對的是 CloudStore上的所有云服務進行的安全審查的認證。認證測試由英國通信電子安全小組CESG負責,最終審查由公共部門認可委員會PSAB負責。
采購管控:英國政府機構和公共部門采購云服務主要通過英國政府云服務項目(G-Cloud)的在線云服務商店(CloudStore)進行。進入CloudStore的云服務商一是滿足G-Cloud云服務合同框架。二是需通過G-Cloud的4個等級認證。G-Cloud簡化了供需雙方的采購流程,發布供需雙方的清單:客戶清單和云服務商清單。只有清單上的機構能基于G-Cloud框架采購云服務,也只有CloudStore上的云服務商可提供云服務。客戶清單上的機構首先需明確機構計劃支付的采購費用和所需的云服務應用要求,然后在CloudStore上按確定的采購要求對相關的云服務進行搜索,對搜索結果中的云服務詳細比較,選取最適合采購要求的云服務。當機構最終確定購買某項云服務時,則需基于G-Cloud框架同該服務的供應商簽訂服務合同。
美國:政府采購云服務制度架構完備
建立標準:美國國家標準和技術研究院(NIST)開展一系列有關政府采購云服務標準制定工作。主要包括術語和定義、互操作性和可移植性、管理和安全的標準。
規范合同:一是NIST制定了政府采購云服務合同模板《建立有效的政府采購云服務合同》。
二是美國聯邦總務署(GSA)制定一攬子采購協議(Blanket Purchase Agreement ,簡稱BPA),規范云服務合同四種交付模式(政府社區云、公有云、私有云和專用云)、定價方式(U.S.定價和全球定價)和定價項(典型業務的統一定價量化尺度)。目前BPA規定了兩類典型業務的采購協議,分別是IaaS服務采購協議,包含云存儲、虛擬機和網站托管三種服務;EaaS(Email as a Service),即郵件即服務采購協議,包含郵件即服務、辦公自動化、電子記錄管理、遷移服務和集成服務五種服務。
認證評估:美國政府啟動聯邦風險和認證管理項目(FedRAMP),保證政府采購云計算服務的安全性,以達到一次認證、多次使用的目的。聯邦機構和云服務供應商都需滿足FedRAMP的安全認證。根據NIST SP 800-53標準,FedRAMP規定了低、中、高三個等級的云服務。對于政府社區云,公共云和私有云三種交付模式的服務,安全性需達到中級,對于專用云交付的服務,不僅需要達到高等級,而且還需提供額外安全控制保護機密數據。
采購管控:美國聯邦政府采購云服務的方式主要分為兩種:一種是集中采購,另一種是分散采購。集中采購方面,GSA一攬子采購協議(BPA)是由聯邦總務署作為所有聯邦機構的采購方代表,將各聯邦機構所需的服務需求匯總起來,與云服務供應商簽訂中長期云計算一攬子采購協議。BPA特點:一是采用預競價機制,即 GSA會預先與供應商確定出不同服務的最高限價,后續各部門采購不得高于此價格。二是采用定點采購方式,依據兩類典型業務(IaaS和EaaS),對云服務商進行標準規范、安全評估和合同規范三方面的審查,確定兩類典型業務的云服務商清單,后續聯邦各部門采購從云服務商清單中選擇即可。分散采購方面,即各聯邦部門在得到聯邦總務署的授權后,自行采購所需的云服務。
采購后管理:美國的政府采購云服務制度不僅有事前的管控,還有采購后事中的管理措施。采購后,FedRAMP 持續監控云服務實際情況,定期反饋云服務運行情況。
相關文章
- 服務采購2015-04-10
- 合同能源管理服務采購執行難在哪兒2014-08-19
- 因地制宜做好文化服務采購2014-08-11
- 上半年物業服務采購規模達11億元2014-08-01
- 青海取消高度集中的服務采購模式2015-03-26
