（征求意見稿:2010-11）

　　引言

　　云計算是一種基于網(wǎng)絡(luò)的計算模式,，通過網(wǎng)絡(luò)將IT基礎(chǔ)設(shè)施資源,、軟件與信息按需提供給用戶使用。云計算 有效促進(jìn)了網(wǎng)格計算,、分布式計算,、并行計算、效用計算,、網(wǎng)絡(luò)存儲,、虛擬化、負(fù)載均衡等計算機(jī)技術(shù)和網(wǎng)絡(luò)技 術(shù)的融合應(yīng)用,，并具備以下特征：

　　a） 按需服務(wù)：云計算服務(wù)應(yīng)能夠快速自動化地滿足用戶對服務(wù)功能,、服務(wù)實例等服務(wù)交付內(nèi)容的申請，變 更,，取消等操作,，使用戶的需求能夠即時得到滿足；

　　b） 彈性：云計算服務(wù)應(yīng)具有快速伸縮的能力,，用戶可隨時申請,、釋放和調(diào)整云計算服務(wù)資源的使用；

　　c） 網(wǎng)絡(luò)依存性：云計算服務(wù)的使用者通過網(wǎng)絡(luò)訪問計算,，存儲資源以及各種服務(wù),；

　　d） 可計量：云計算服務(wù)本身應(yīng)具備將用戶使用的計算、存儲及其他特定功能的服務(wù)按照合理一致的標(biāo)準(zhǔn)進(jìn) 行細(xì)粒度地計量的能力,。

　　另外,，隨著云計算相關(guān)應(yīng)用的普及以及應(yīng)用需求的不斷深化，也給開發(fā)云計算服務(wù),、提供云計算服務(wù)以及消 費云計算服務(wù)的組織帶來了新的挑戰(zhàn),。主要包括：

　　a） 具備什么樣條件或能力的組織可以提供云計算服務(wù)以及什么樣的IT服務(wù)屬于云計算服務(wù)。

　　b） 如何標(biāo)準(zhǔn)化云計算服務(wù)提供商和用戶之間的接口與服務(wù)流程,，促進(jìn)良性競爭,，營造更健康的云計算生態(tài) 環(huán)境。

　　針對上述挑戰(zhàn),，需要給出一個公共框架或方法,，確保各方在開發(fā),、提供和消費云計算服務(wù)的過程中進(jìn)行有效 的溝通與合作。

　　本部分提供了一個覆蓋云計算服務(wù)的內(nèi)部特征,、服務(wù)模式和外部特性的框架,。其中：

　　——內(nèi)部特征：包括組成云計算服務(wù)的人員、流程,、技術(shù)及資源的要素,；

　　——服務(wù)模式：包括軟件即服務(wù)、平臺即服務(wù),、基礎(chǔ)設(shè)施即服務(wù)等典型的云計算服務(wù)模式,；

　　——外部特性：包括按需服務(wù)、彈性,、網(wǎng)絡(luò)依存和可度量的外部特性,。

　　本部分的第5章至第8章分別規(guī)定了組成云計算服務(wù)的人員、流程,、技術(shù)及資源要求，第9章講述安全方面的 要求,。附錄A規(guī)定了如何依據(jù)本標(biāo)準(zhǔn)對開發(fā)和提供云計算服務(wù)的組織進(jìn)行評價,。

　　1   范圍

　　本部分提供了一個云計算服務(wù)公共框架，規(guī)定了開發(fā)和提供云計算服務(wù)的組織在人員,、流程,、技術(shù)及資源方 面應(yīng)具備的條件和能力。 本部分適用于：

　　a) 開發(fā)云計算的組織和提供云計算服務(wù)的組織之間建立契約,；

　　b) 提供云計算服務(wù)的組織評估自身的條件和能力,；

　　c) 需要云計算服務(wù)的組織選擇和評價提供云計算服務(wù)的組織；

　　d) 第三方評價和認(rèn)定提供云計算服務(wù)組織的能力,。

　　2　規(guī)范性引用文件

　　下列文件中的條款通過本部分的引用而成為本部分的條款,。凡是注日期的引用文件，其隨后所有的修改單 （不包括勘誤的內(nèi)容）或修訂版均不適用于本部分,，然而,，鼓勵根據(jù)本部分達(dá)成協(xié)議的各方研究是否可使用這些 文件的最新版本。凡是不注日期的引用文件,，其最新版本適用于本部分,。 NIST Cloud Definition v15 Wikipedia…… Cloud Computing Use Case White Paper ITU-T FG Cloud…… ISO 9000:2000 ISO/IEC 20000:2005

　　3　術(shù)語和定義

　　3.1

　　云計算 cloud computing：

　　云計算是一種基于網(wǎng)絡(luò)的計算模式，通過網(wǎng)絡(luò)將IT基礎(chǔ)設(shè)施資源,、軟件與信息按需提供給用戶使用,。

　　注1：云計算不是一類計算機(jī)技術(shù)或網(wǎng)絡(luò)技術(shù)，而是實現(xiàn)網(wǎng)格計算,、效用計算,、虛擬化技術(shù),、Web服務(wù)技術(shù) 融合發(fā)展的模式；

　　注2：云計算具有寬帶接入,、快速彈性,、服務(wù)可測量、按需自服務(wù),、資源池化等特征,。

　　3.2

　　云計算服務(wù) cloud computing service：

　　指一種交付和使用信息技術(shù)基礎(chǔ)設(shè)施和應(yīng)用環(huán)境的服務(wù)，即通過網(wǎng)絡(luò)以按需,、易擴(kuò)展,、可計量的方式獲得所 需的資源及服務(wù)，這些資源和服務(wù)可以是各種硬件資源,、軟件資源或特定的信息服務(wù),。

　　3.3

　　基礎(chǔ)設(shè)施即服務(wù) infrastructure as a service(IaaS)

　　云計算服務(wù)提供商以按量計費的方式為用戶提供可動態(tài)申請或釋放的計算資源、存儲資源,、網(wǎng)絡(luò)資源等基礎(chǔ) 設(shè)施的服務(wù)模式,。

　　3.4

　　平臺即服務(wù) platform as a service(PaaS)

　　云計算服務(wù)提供商以按量計費的方式為用戶提供應(yīng)用軟件所需的支撐平臺,包括用戶應(yīng)用程序的運行環(huán)境和開 發(fā)環(huán)境，供用戶在此基礎(chǔ)上開發(fā)和提供相關(guān)應(yīng)用的服務(wù)模式,。

　　3.5

　　軟件即服務(wù) software as a service(SaaS)

　　云計算服務(wù)提供商通過網(wǎng)絡(luò)以按量計費租用的方式向用戶提供在線軟件應(yīng)用的服務(wù)模式,。在這種模式下，用 戶不用再購買軟件,，而改為向服務(wù)提供商租用基于Web的軟件,，來管理企業(yè)經(jīng)營活動，且無需對軟件進(jìn)行維護(hù),， 服務(wù)提供商會全權(quán)管理和維護(hù)軟件,。

　　3.6

　　彈性 elasticity

　　根據(jù)用戶的需求隨時分配、回收和調(diào)整云計算服務(wù)資源的能力,。

　　3.7

　　資源池化 resouce pooling

　　云計算服務(wù)提供商將提供服務(wù)的資源構(gòu)建成一個統(tǒng)一的同質(zhì)化服務(wù)能力集合,，根據(jù)用戶需要將資源動態(tài)地分 配或再分配給多個用戶使用，從而達(dá)到資源復(fù)用的能力,。

　　3.8

　　多租戶 multi-tenant

　　云計算服務(wù)提供商將資源提供給多組用戶使用,，實現(xiàn)數(shù)據(jù)隔離以保證用戶的數(shù)據(jù)不被其他用戶看到和篡改， 同時保證不同用戶之間的應(yīng)用性能不會受到影響的能力,。

　　4　云計算服務(wù)模型

　　4.1　模型

　　4.2　內(nèi)部特征

　　云計算服務(wù)的內(nèi)部特征反映了云計算服務(wù)商的服務(wù)提供能力,，包含人員、流程,、資源和技術(shù)四個要素：

　　a） 人員要素包括人員管理,、崗位結(jié)構(gòu)以及人員技能；

　　b） 流程要素分為展現(xiàn)服務(wù)層,、運維管理層和采集控制層三個層面,；

　　c） 技術(shù)要素包括資源池化技術(shù),、計量技術(shù)、監(jiān)控技術(shù),、調(diào)度技術(shù)和安全保障技術(shù),；

　　d） 資源要素分為計算資源、存儲資源,、網(wǎng)絡(luò)資源和支撐環(huán)境,。

　　4.3　服務(wù)模式

　　云計算的服務(wù)模式主要包括IaaS、PaaS和SaaS,。三種模式自底向上提供不同層次的云計算服務(wù),，具有層次 關(guān)系，但上層服務(wù)不必構(gòu)建于底層服務(wù)之上,。

　　4.4　外部特性

　　云計算服務(wù)的外部特性是用戶可感知的服務(wù)體驗：

　　a） 按需服務(wù)：云計算服務(wù)應(yīng)能夠快速自動化地滿足用戶對服務(wù)功能,、服務(wù)實例等服務(wù)交付內(nèi)容的申請，變 更,，取消等操作,，使用戶的需求能夠即時得到滿足；

　　b） 彈性：云計算服務(wù)應(yīng)具有快速伸縮的能力,，用戶可隨時申請,、釋放和調(diào)整云計算服務(wù)資源的使用；

　　c） 網(wǎng)絡(luò)依存性：云計算服務(wù)的使用者通過網(wǎng)絡(luò)訪問計算,，存儲資源以及各種服務(wù)；

　　d） 可計量：云計算服務(wù)本身應(yīng)具備將用戶使用的計算,、存儲及其他特定功能的服務(wù)按照合理一致的標(biāo)準(zhǔn)進(jìn) 行細(xì)粒度地計量的能力,。

　　5　人員

　　云計算服務(wù)商應(yīng)確保服務(wù)提供過程中的有關(guān)人員具備相應(yīng)的服務(wù)能力。

　　5.1　人員管理

　　應(yīng)從以下方面規(guī)范人員管理：

　　a） 管理承諾 應(yīng)通過清晰的政策,、足夠的預(yù)算與合理的分工,，來確保人員管理可以符合監(jiān)管機(jī)構(gòu)與客戶的要求。

　　b） 管理流程

　　應(yīng)建立組織內(nèi)人員選聘,、試用,、培訓(xùn)、考核與離職管理程序,。如果與第三方合作提供云計算服務(wù),，應(yīng)對合作 伙伴的相關(guān)人員進(jìn)行有效管理，確保云計算服務(wù)的正常提供,。

　　應(yīng)當(dāng)建立人員管理制度,、績效考核辦法和培訓(xùn)計劃。

　　5.2　崗位結(jié)構(gòu)

　　在崗位結(jié)構(gòu)方面應(yīng)滿足：

　　a) 建立專職團(tuán)隊負(fù)責(zé)云計算服務(wù)的提供,；

　　b) 對云計算服務(wù)過程中的不同角色進(jìn)行明確分工和職責(zé)定義,；

　　c) 云計算服務(wù)團(tuán)隊?wèi)?yīng)包括云計算服務(wù)的管理,、技術(shù)支持和系統(tǒng)操作維護(hù)等主要崗位。 應(yīng)當(dāng)制定崗位職責(zé)說明書,，明確主要崗位的人員配備,。

　　5.3　人員技能 在人員技能方面應(yīng)滿足：

　　a) 云計算服務(wù)人員應(yīng)掌握必要的專業(yè)技能，具備從事相關(guān)工作的資格,；

　　b) 云計算服務(wù)人員應(yīng)參加崗位技能考核,，合格后方能上崗，崗位技能考核應(yīng)定期開展,。 應(yīng)當(dāng)建立人員技能考核制度,，保證具有專業(yè)資質(zhì)的人員數(shù)量。

　　6　流程

　　“流程”指的是為確保云計算服務(wù)的交付過程與結(jié)果符合利益相關(guān)方的要求,，而形成的一系列有組織的活 動,；每個流程均包括輸入、輸出,、流程控制與流程資源等四大組成部分,；流程在組織內(nèi)部可以定義為政策、標(biāo) 準(zhǔn),、指南,、活動和工作指令等不同的形式。

　　為了確保云計算服務(wù)提供商具備相應(yīng)的服務(wù)管理能力,，應(yīng)從展現(xiàn)服務(wù),、運維管理與采集控制三個層面建立相 應(yīng)的管理流程：

　　a） 展現(xiàn)服務(wù)層：客戶與云計算服務(wù)提供商之間的信息交互活動，目的是按客戶的要求,，提供或記錄與云計 算服務(wù)相關(guān)的運維信息與服務(wù)要求,；

　　b） 運維管理層：云計算服務(wù)提供商通過計劃、組織,、協(xié)調(diào)與控制等手段,，整合相關(guān)能力、資源來滿足客戶 需求的活動,，目的是整合組織的資源,，分解服務(wù)內(nèi)容，建立相應(yīng)的流程,；

　　c） 采集控制層：云計算服務(wù)提供商根據(jù)運維管理層各項管理規(guī)定,，開展對云計算服務(wù)相關(guān)組件的狀態(tài)、性 能監(jiān)控與操作管理的活動,。

　　6.1　展現(xiàn)服務(wù)層流程

　　6.1.1　服務(wù)目錄管理 云計算服務(wù)提供商應(yīng)通過對服務(wù)目錄的定義,、維護(hù)與評估等管理，為云計算服務(wù)用戶提供單一、準(zhǔn)確與完整 的服務(wù)信息,。云計算服務(wù)提供商應(yīng)：

　　a） 定義流程中的角色與職責(zé),；

　　b） 在機(jī)構(gòu)內(nèi)部規(guī)范并發(fā)布云計算相關(guān)服務(wù)的定義；

　　c） 進(jìn)行服務(wù)目錄的更新與維護(hù),；

　　d） 與機(jī)構(gòu)內(nèi)的服務(wù)交付團(tuán)隊定期評估服務(wù)能力與服務(wù)目錄的一致性,；

　　e） 定期評估服務(wù)需求與服務(wù)目錄的滿足度；

　　f） 建立服務(wù)目錄管理與服務(wù)水平管理的相互關(guān)系,。

　　6.1.2　服務(wù)水平管理 云計算服務(wù)提供商應(yīng)通過定義,、簽定與管理服務(wù)水平協(xié)議，確保云計算服務(wù)提供商所提供的各項服務(wù)符合該 服務(wù)既定的服務(wù)目的,。云計算服務(wù)提供商應(yīng)：

　　a） 識別客戶在服務(wù)中的需求,；

　　b） 定義客戶在服務(wù)中的項目，并形成服務(wù)描述與服務(wù)質(zhì)量計劃,；

　　c） 明確服務(wù)水平協(xié)議與相關(guān)文件的簽署形式（電子與非電子形式）,；

　　d） 簽訂服務(wù)水平協(xié)議與相關(guān)文件；

　　e） 建立服務(wù)水平的監(jiān)控和報告的機(jī)制,；

　　f） 定期,、不定期評審服務(wù)水平協(xié)議執(zhí)行狀況，并作相關(guān)改進(jìn)計劃,。

　　6.1.3　服務(wù)請求管理

　　云計算服務(wù)提供商應(yīng)通過對服務(wù)請求的定義,、分派、審批與實現(xiàn)的管理,，確保云計算服務(wù)提供商內(nèi)部有規(guī)范 的渠道接受客戶的服務(wù)要求,、投訴與評價，并提供相應(yīng)的信息,、服務(wù)提交物給到客戶,。云計算服務(wù)提供商應(yīng)：

　　a） 明確服務(wù)請求的定義；

　　b） 建立分級與分派的機(jī)制,；

　　c） 建立服務(wù)請求的技術(shù)與財務(wù)審批機(jī)制；

　　d） 建立服務(wù)請求的實現(xiàn)流程,；

　　e） 規(guī)范服務(wù)請求關(guān)閉的條件與要求,。

　　6.1.4　服務(wù)報告管理 云計算服務(wù)提供商應(yīng)通過及時、準(zhǔn)確,、可靠的報告,，建立云計算服務(wù)提供商與客戶之間有效的信息溝通機(jī) 制，云計算服務(wù)提供商應(yīng)：

　　a） 建立服務(wù)報告的管理流程,，包括建立,、審批、分發(fā)、歸檔等流程,；

　　b） 定義服務(wù)報告的用戶與管理關(guān)注點,；

　　c） 定義服務(wù)報告的內(nèi)容、范圍,、計算方式與報告模板,；

　　d） 定義并執(zhí)行服務(wù)報告相關(guān)數(shù)據(jù)的搜集、加工與報告周期,；

　　e） 定義并執(zhí)行服務(wù)報告的提交形式,、用戶權(quán)限、以及與服務(wù)報告相關(guān)的評估機(jī)制,。 流程的完備性（是否完整覆蓋上述各類流程中所述的活動）和流程執(zhí)行記錄構(gòu)成了展現(xiàn)服務(wù)層流程的關(guān)鍵指 標(biāo),。

　　6.2　運維管理層流程 運維管理層流程應(yīng)滿足ISO/IEC 20000:2005的要求。

　　6.3　采集控制層流程

　　6.3.1　監(jiān)控管理 云計算服務(wù)提供商應(yīng)建立監(jiān)控管理流程,，確保云計算服務(wù)相關(guān)服務(wù)組件的狀態(tài)與信息能得到及時的采集與展 現(xiàn),，云計算服務(wù)提供商應(yīng)：

　　a） 明確監(jiān)控的職責(zé)；

　　b） 明確監(jiān)控的范圍與工具,；

　　c） 建立監(jiān)控指標(biāo)的制定,、評審與定期調(diào)整機(jī)制；

　　d） 建立監(jiān)控數(shù)據(jù)的檢測,、處理與分析機(jī)制,；

　　e） 建立監(jiān)控管理與運維管理層流程的關(guān)系。

　　6.3.2　操作管理 云計算服務(wù)提供商應(yīng)建立操作管理流程,，確保云計算服務(wù)相關(guān)的組件可以根據(jù)客戶的要求與技術(shù)特點進(jìn)行操 作,，云計算服務(wù)提供商應(yīng)：

　　a） 明確操作人員職責(zé)與紀(jì)律；

　　b） 建立系統(tǒng)運行操作手冊,、運行日志,、流程表單等運行文檔；

　　c） 采用適當(dāng)輔助工具,、軟件與腳本方式,，規(guī)范云計算服務(wù)提交過程中相關(guān)組件的各項人工干預(yù)過程（如： 作業(yè)排程與執(zhí)行、備份與恢復(fù),、打印與輸出,、用戶管理等）；

　　d） 建立操作管理過程中的升級與溝通機(jī)制,。

　　e） 建立操作管理與運維管理層流程的關(guān)系,。 在建立采集控制層的流程時，要求覆蓋監(jiān)控管理和操作管理中所述的活動,并且記錄執(zhí)行流程,，這些工作應(yīng)配 備監(jiān)控工具和操作管理相關(guān)工具,。