2015-《可信云评估体系2.0》

可信云评估体系2.0 中国信息通信研究院栗蔚可信云服务评估体系2.0 可信云服务认证1.0聚焦信任培育市场，规范市场为促进我国云计算创新发展,积极培育信息产业新业态，支持第三方机构开展云计算服务质量、可信度和网络安全等评估测评工作。引导云计算服务企业加强内部管理，提升服务质量和诚信水平，逐步建立云计算信任体系。国务院印发《关于促进云计算创新发展培育信息产业新业态的意见》2015.1.30 • 用户信任云服务商的三个关键 • 用户关心的问题都作出了承诺 • 用户关心的问题都进行了规范的承诺 • 用户关心的问题都进行了真实的规范的承诺云计算产业发展高速增长不同行业的企业客户逐步增多 80.0% 120.0 73.5% 70.0% 100.0 102.5 80.0 60.0 35.9% 40.0 20.0 47.5% 70.2 46.0% 60.0% 50.0% 40.0% 30.0% 47.6 20.0% 35.0 10.0% 0.0 0.0% 2012 我国公共云服务市场增长提速。 2014年国内公共云服务逐步从互联网向行业市场延伸，市场整体规模约为70.2亿元人民币，比2013年增长47.5%，增速大大高于 2013年35.9%的增长率。预计2015年整体市场规模可望突破100亿元人民币。 2013 2014 2015E 数据来源：中国信息通信研究院《中国公共云服务发展调查报告（2015年）》 100% 80% 60% 40% 根据“可信云服务评估”参评云服务的 20% 不同模式显示，以政企客户为主的云服 0% 务模式越来越多。以政企客户为主的服务商逐步增多以政企客户为主：社区云、混合云、专用云以中小用户为主：公共云 40% 53% 65% 2013.10-2014.1 2014.01-2014.06 2014.07-2015.01 第一批试评估第一二批正式评估第三批评估产业进入细分市场阶段业务等级核心生产（分行业） CRM/ERP BI 软件商 OA 开发者小微企业互联网商公有云营销门户 Web托管 5 电信运营商设备商系统集成商专用云、私有云中型企业混合云大企业/敏感企业价值迁移市场扩展企业规模在可信云服务基础上不同行业的需求各有侧重政府客户：运维服务很重要金融客户：数据安全很重要工业客户：…… 游戏用户：性能很重要普通客户：性价比很重要基础规范可信云服务认证能力分类 ≠ 分级尊重市场鼓励创新可信基础上选择合适的云服务运维管理服务评估性能评估行业应用功能面向政府客户云保险面向金融客户面向工业客户面向普通客户可信云2.0可信基础上的能力分类 1、新建可信云服务网站。2、新增专项评估。3、新增云保险增信制度。可信云网站深化推进披露制度，用互联网手段推动云服务信任体系建设，形成用户、云服务、可信云三方闭环，更权威、更便捷、更透明。 www.kexinyun.org 用户 1、云服务遴选 2、在线测评云服务 3、云服务库信息全方位展示 4、了解用户测评反馈 5、可信云评测结果和监测结果披露 6、获得市场产业发展第一手资料可信云服务评估可信云服务专项评估可信云-运维评估可信云-性能评估可信云-混合可信云-私有云云能力评估能力评估可信云服务基础评估可信云增信-云保险通过增加专项评估和增信，进行能力分类，尊重市场，鼓励创新。承诺的完备性、规范性和真实性是基础。可信云2.0评估云服务类型十二类 云主机服务 对象存储服务 OA应用 数据库服务 块存储服务网盘 应用托管容器服务 云缓存服务 CRM 在线应用服务 ERP 本地负载均衡服务安全 全局负载均衡服务在线数据分析 云分发服务 新增：云桌面服务 新增：企业移动化管理服务 8 可信云2.0评估指标 16+2个指标评估数据控制服务质量权益保障数据存储的持久性数据可销毁性数据可迁移性数据私密性数据知情权服务可审查性服务功能服务可用性服务资源调配能力故障恢复能力网络接入性能服务计量准确性服务变更、终止条款服务赔偿条款用户约束条款服务商免责条款专项运维管理评估评估云服务性能评估可信云2.0认证标准和评估方法承诺完整性、承诺规范性《云计算服务协议参考框架》通信标准化协会标准：YDB144-2014 企业基本信息、服务基本信息、承诺真实性 •《第1部分：云主机服务》 •《第2部分：对象存储服务》 •《第3部分：云数据库服务》 •《第4部分：块存储服务》 •《第5部分：应用托管容器服 •《第6部分：云缓存服务》 •《第7部分：数据中心间VPN》 •《第8部分：负载均衡服务》 •《第9部分：云分发服务》 •《第10部分：在线应用服务》 •《第11部分：云桌面服务》 • 《第12部分：企业移动化管理服务》可信云服务专项评估《可信云服务专项评估：云计算服务运维管理指南》《可信云服务专项评估：云服务性能基准测试方法第1部分：云主机和块存储》 10 可信云服务专项评估-运维 此项评估工作旨在引导云服务商建立健全的运维管理体系，为企业提高运行效率和服务质量提供有效指导，以提高企业的核心竞争力。 2014年11月份开始，6次会议的讨论。 考核指标共计200余项。 2015年8月后正式开始。 已报名将参与评估的企业有7家。完备性自动化运维关键评估维度规范性可信云服务专项评估-性能统一性能评估度量衡相同资源配置下，选择合适性能云服务计算整机性能（分场景待完善）存储网络开发在线测试工具 www.kexinyun.org 众测跑分云计算服务责任险 架构再完美，风险也是客观存在的：挖掘机、误操作…… ……年5月份，陌陌、网易、支付宝、携程网、艺龙网、招商证券、同花顺、齐鲁证券等接连故障宕机， 云保险转移风险经济损失，为云服务发展保驾护航，尤其企业级客户。  云保险以可信云评估为基础，是可信云增信的标志，只有通过数据中心联盟风险评估到一定水平，并且接受定损监测的云服务商，保险公司才承保。已经签约：中国电信、中国联通、 UCloud、万国数据即将签约：中国移动、世纪互联 保险条款报备完成。 风险评估完成。 定损监测系统正在部署。 首批6家云服务商，4家已经完成签约，2家即将签约。 8月1日起正式开始。具体新增项目可信云服务基础认证评估手段事前：严把评估关文档技术现场专家外部审核测评查验评审评议事中：状态持续监测云主机可用性和性能监测 PaaS平台可用性和性能监测可信云服务基础认证评估子项 4种评估手段，86个子项指标要求 (云主机为例) 数据存储的持久性数据可销毁性数据可迁移性数据私密性数据知情权服务可审查性服务功能服务可用性服务资源调配能力故障恢复能力网络接入性能服务计量准确性服务变更、终止条款服务赔偿条款用户约束条款服务商免责条款承诺完整性承诺真实性承诺规范性材料审查技术测试运维管理监测服务协议（1 证明材料系统审查（6项）（9子项）项）（36子项）（34子项）可选必选必选必选必选必选必选必选必选必选必选必选必选必选 —— —— 技术测试技术测试 —— —— 技术测试必选必选 —— 必选必选必选必选必选必选必选必选必选必选必选必选必选必选必选必选技术测试 —— 技术测试技术测试 —— —— —— —— 实际考察实际考察实际考察实际考察可用性性能实际考察实际考察实际考察可信云服务基础认证新增条目项目是否必选企业基本信息 IDC牌照（是自有IDC牌照，还是租用有IDC牌照的机房）必选在线应用服务可选经营牌照规模资金组织机构 ICP,ISP，第三方支付等等行业部门发的相关牌照已经通过的认证有哪些，例如 ISO27001 连续几年纳税证明股权结构必选必选必选必选可选在线应用服务必选参评业务名称业务运营起始时间业务功能支付方式等业务采用的软件、硬件可选可选可选业务基本信息必选必选必选必选必选，要向专个组公开，但自愿向公众披露材料审查（提交材料）（1）自有IDC牌照：出示IDC牌照；（2）租用有IDC牌照的机房：出示租用证明及出租方的IDC牌照编号。经营许可证复印件企业社保证明资金规模的材料组织机构代码证书牌照复印件证书复印件纳税证明复印件业务功能介绍同上同上同上系统设计方案新增测试项用户关心的问题具体指标考察项必选/可选服务协议必选/可选必选可选必选可选云主机：CPU，I/O 对象存储：最大并发链接数云数据库：QPS 服务性能块存储：IOPS 应用托管容器：HTTP类型的最大连接数云缓存：QPS 在线应用：因服务而异，并发连接数等负载均衡：最大并发链接数服务性能云分发：（1）缓存一致性（2）缓存刷新能力（3）新增域名能力（4）加速比（5）域名解析能力（6）定期域名合规检查可信云年检工作 • 年检范围 • • 凡是已通过“可信云服务认证” 的云服务且满一年的企业均需执行年检方案。年检内容 • 企业基本信息&服务基本信息复核：全部材料 • 服务协议：重新审查企业的服务协议，视不同的服务要求而定。 • 服务存储持久性和可用性指标核查 • 服务存储持久性指标核查：核查方式采用统一的评估计算公式复核，以材料审查为主（或现场审查<云保险需要>），审核要求与云保险的风险评估值保持一致。 • 服务可用性指标核查：以实际监测的可用性和性能数据作为参考和依据，在6个月的监测数据中有3个月（超过50%）均达不到承诺值，则企业必须降低其公开承诺值。 • 技术测试（抽查） • 首先，由企业自行复核技术测试报告，如云服务在年检时出现了业务调整、业务升级、功能变更等情况需告知我方重新进行技术测试，更新技术测试报告。 • 其次，我方将在年审期间，不定期抽查各企业的云服务，如发现与承诺不符或明知云服务