财政部唯一指定政府采购信息网络发布媒体 国家级政府采购专业网站

服务热线:400-810-1996

当前位置:首页 » 购买服务 » 观点探讨

英美云服务采购:制度架构先行

2014年07月30日 10:03 来源:中国政府采购报打印

   英国:政府采购云服务制度架构高效
  建立标准:英国政府采购云服务依据标准为政府信息标准(HMG Information Standards No. 1 & 2.)。
  规范合同:所有参加政府采购的云服务必须满足G-Cloud云服务合同框架。最新的G-Cloud 框架于2013年8月6日推出。
  认证评估:G-Cloud为云服务提供G-Cloud认证服务,以满足一些机构更高级别的安全等方面要求。G-Cloud认证结果共分4个等级,认证要求由低到高的等级依次为IL0、IL1、IL2和IL3。IL0等级的云服务无需经过G-Cloud认证,IL1和IL2等级的云服务需通过以ISO27001为主要认证标准的认证,IL3等级的云服务除具备IL2等级认证要求外,还需满足相关的英国政府信息标准(HMG Information Standards No. 1 & 2.)。对于IL3,英国提出网络连接方面等技术要求,使境外的云平台不可能通过审查,实现遏制国外云服务商的目的。
  英国的 G –Cloud认证,由司法部(Ministry of Justice)领导,政府办公室支持(Home Office), G-Cloud Chief Information Officer Delivery Board委员会牵头,下设云服务组、安全审查工作组、商业工作组以及数据中心联合计划委员会。英国政府现已开通“云市场”(Cloud Store)网站,供政府部门选择、采购各类云计算服务。G-Cloud认证,针对的是 CloudStore上的所有云服务进行的安全审查的认证。认证测试由英国通信电子安全小组CESG负责,最终审查由公共部门认可委员会PSAB负责。
  采购管控:英国政府机构和公共部门采购云服务主要通过英国政府云服务项目(G-Cloud)的在线云服务商店(CloudStore)进行。进入CloudStore的云服务商一是满足G-Cloud云服务合同框架。二是需通过G-Cloud的4个等级认证。G-Cloud简化了供需双方的采购流程,发布供需双方的清单:客户清单和云服务商清单。只有清单上的机构能基于G-Cloud框架采购云服务,也只有CloudStore上的云服务商可提供云服务。客户清单上的机构首先需明确机构计划支付的采购费用和所需的云服务应用要求,然后在CloudStore上按确定的采购要求对相关的云服务进行搜索,对搜索结果中的云服务详细比较,选取最适合采购要求的云服务。当机构最终确定购买某项云服务时,则需基于G-Cloud框架同该服务的供应商签订服务合同。
  美国:政府采购云服务制度架构完备
  建立标准:美国国家标准和技术研究院(NIST)开展一系列有关政府采购云服务标准制定工作。主要包括术语和定义、互操作性和可移植性、管理和安全的标准。
  规范合同:一是NIST制定了政府采购云服务合同模板《建立有效的政府采购云服务合同》。
  二是美国联邦总务署(GSA)制定一揽子采购协议(Blanket Purchase Agreement ,简称BPA),规范云服务合同四种交付模式(政府社区云、公有云、私有云和专用云)、定价方式(U.S.定价和全球定价)和定价项(典型业务的统一定价量化尺度)。目前BPA规定了两类典型业务的采购协议,分别是IaaS服务采购协议,包含云存储、虚拟机和网站托管三种服务;EaaS(Email as a Service),即邮件即服务采购协议,包含邮件即服务、办公自动化、电子记录管理、迁移服务和集成服务五种服务。
  认证评估:美国政府启动联邦风险和认证管理项目(FedRAMP),保证政府采购云计算服务的安全性,以达到一次认证、多次使用的目的。联邦机构和云服务供应商都需满足FedRAMP的安全认证。根据NIST SP 800-53标准,FedRAMP规定了低、中、高三个等级的云服务。对于政府社区云,公共云和私有云三种交付模式的服务,安全性需达到中级,对于专用云交付的服务,不仅需要达到高等级,而且还需提供额外安全控制保护机密数据。
  采购管控:美国联邦政府采购云服务的方式主要分为两种:一种是集中采购,另一种是分散采购。集中采购方面,GSA一揽子采购协议(BPA)是由联邦总务署作为所有联邦机构的采购方代表,将各联邦机构所需的服务需求汇总起来,与云服务供应商签订中长期云计算一揽子采购协议。BPA特点:一是采用预竞价机制,即 GSA会预先与供应商确定出不同服务的最高限价,后续各部门采购不得高于此价格。二是采用定点采购方式,依据两类典型业务(IaaS和EaaS),对云服务商进行标准规范、安全评估和合同规范三方面的审查,确定两类典型业务的云服务商清单,后续联邦各部门采购从云服务商清单中选择即可。分散采购方面,即各联邦部门在得到联邦总务署的授权后,自行采购所需的云服务。
  采购后管理:美国的政府采购云服务制度不仅有事前的管控,还有采购后事中的管理措施。采购后,FedRAMP 持续监控云服务实际情况,定期反馈云服务运行情况。