DB2102∕T 0042-2022 企业上云 通用要求

1、ICS35.080CCSL 772102 大连市地方标准DB2102/T 00422022企业上云 通用要求Enterprise cloud services-General requirements2022 - 01 - 17 发布2022 - 02 - 17 实施大连市市场监督管理局发 布 DB2102/T 00422022目次前言II1 范围32 规范性引用文件33 术语和定义33.4 组织与人员33.5 能力类型43.6 服务类别43.7 部署模式54 缩 略语55 企业上云模型66 企业上云生命周期76.1 企业上云规划76.2 云服务提供者选择96.3 上云迁移方案设计106.4

2、上云迁移方案实施126.5 云服务管理136.6 云服务终止157 企业上云绩效管理157.1 绩效测量167.2 分析与评价167.3 改进与创新16参考文献17I 前言本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。 本文件由辽宁省软件和信息技术服务标准化技术委员会（LN/TC 09）提出。本文件由大连市工业和信息化局归口。 本文件起草单位：大连市CIO协会、恒力石化股份有限公司、中集青岛冷藏产业基地、特来电新能源股份有限公司、大连软信咨询服务有限公司、大连深方信息科技有限公司、大连华锐重工集团股份有限公司、大连智云股份有限公司、大连热电集

3、团、大连奥远电子股份有限公司、大连兆和环境科技股份有限公司。 本文件主要起草人：曹剑、余斌、耿峰、刘宏、李贵念、毕建林、李彦、周丽丹、杨健、王文政、张戡。 本文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈， 我们将及时答复并认真处理，根据实际情况依法进行评估及复审。 归口管理部门：大连市工业和信息化局通讯地址：西岗区胜利路38号 联系电话：83645527-605 标准起草单位：大连市CIO协会 通讯地址：大连市高新园区七贤岭亿阳路6号三丰大厦B座2004 联系人： 曹剑 联系电话B2102/T 00422022企业上云 通用

4、要求1 范围本文件建立了企业上云模型，规定企业上云的管理内容及其要求。 本文件适用于企业上云的管理规范以及控制；云服务合作者的能力评估和监督管理；第三方评估机构评估企业上云的能力和云服务合作者的能力。 2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 31167 信息安全技术 云计算服务安全指南GB/T 32400 信息技术 云计算 概览与词汇 GB/T 36325 信息技术 云计算 云服务级别协议基本要求 3 术语和定义GB/T

5、 31167-2014、GB/T 32400-2015界定的以及下列术语和定义适用于本文件。 为了方便使用，以下重复列出GB/T 31167-2014、GB/T 32400-2015中部分术语和定义。 3.1 3.1云计算cloud computing一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。 注：资源包括服务器、操作系统、网络、软件、应用和存储设备等。 来源：GB/T 32400-2015,3.2.5 3.2 3.2云服务cloud service通过云计算已定义的接口提供的一种或多种能力。 来源：GB/T 32400-2015,3.2.8 3.3

6、3.3服务水平协议service level agreement;SLA服务提供者和客户之间就服务和服务目标达成的书面协议。 注1：服务提供者和供应商之间也可建立服务水平协议。供应商可以是内部组，也可以是客户。注2：服务水平协议可以是合同或其他书面协议的组成部分。 来源：GB/T 32400-2015,3.1.7 3.4 组织与人员3.4.1 3.4.1云服务用户cloud service user17 云服务客户中使用云服务的自然人或实体代表。 注：上述实体包括设备和应用等。 来源：GB/T 32400-2015,3.2.17 3.4.2 3.4.2云服务合作者cloud service p

7、artner支撑或协助云服务提供者活动，云服务客户活动，或者两者共同活动的参与方。 来源：GB/T 32400-2015,3.2.143.4.3 3.4.3云服务提供者cloud service provider 提供云服务的组织，如供应方或参与方。 来源：GB/T 32400-2015,3.2.15,有修改 3.4.4 3.4.4云服务客户cloud service customer为使用云服务而处于一定业务关系中的参与方。 注1：业务关系不一定包含经济条款。注2：本标准中云服务客户简称企业。来源：GB/T 32400-2015,3.2.11,有修改 3.4.5 3.4.5第三方评估机构th

8、ird party assessment organizations独立于云服务相关方的专业评估机构。 来源：GB/T 31167-2014,3.5,有修改 3.5 能力类型3.5.1 3.5.1云能力类型cloud capabilities type根据资源使用情况对提供给云服务客户的云服务功能进行的分类。 注： 云能力类型包括应用能力类型、基础设施能力类型和平台能力类型。 来源：GB/T 32400-2015,3.2.4 3.5.2 3.5.2应用能力类型application capabilities type云服务客户能使用云服务提供者应用的一种云能力类型。 来源：GB/T 32400

9、-2015,3.2.1 3.5.3 3.5.3平台能力类型platform capabilities type云服务客户能使用云服务提供者支持的编程语言和执行环境来部署、管理和运行客户创建或获取的应用的一类云能力类型。 来源：GB/T 32400-2015,3.2.31 3.5.4 3.5.4基础设施能力类型infrastructure capabilities type云服务客户能配置和使用计算、存储或网络资源的一类云能力类型。 来源：GB/T 32400-2015,3.2.25 3.6 服务类别3.6.1云服务类别cloud service category拥有某些相同质量集合的一组云服务

10、。 注1：一种云服务类别能包含一种或多种云能力类型的能力。 来源：GB/T 32400-2015,3.2.10 3.6.2基础设施即服务infrastructure as a service;IaaS为云服务客户提供云能力类型中的基础设施能力类型的一种云服务类别。 注： 云服务客户并不管理或控制底层的物理和虚拟资源，但是控制使用物理和虚拟资源的操作系统、存储，以及部署的应用。云服务客户也可拥有对某些网络组件（如防火墙)的部分控制能力。 来源：GB/T 32400-2015,3.2.24 3.6.3平台即服务platform as a service;PaaS 为云服务客户提供云能力类型中的平台

11、能力类型的一种云服务类别。 来源：GB/T 32400-2015,3.2.30 3.6.4软件即服务software as a service;SaaS为云服务客户提供云能力类型中的应用能力类型的一种云服务类别。 来源：GB/T 32400-2015,3.2.36 3.7 部署模式3.7.1 3.7.1云部署模型cloud deployment model根据对物理或虚拟资源的控制和共享方式组织云计算的方式。 注： 云部署模型包括社区云、混合云、私有云和公有云。 来源：GB/T 32400-2015,3.2.7 3.7.2 3.7.2私有云private cloud云服务仅被一个云服务客户使用

12、，且资源被该云服务客户控制的一类云部署模型。 来源：GB/T 32400-2015,3.2.32 3.7.3 3.7.3公有云public cloud云服务可被任意云服务客户使用，且资源被该云服务提供者控制的一种云部署模型。 来源：GB/T 32400-2015,3.2.33 3.7.4 3.7.4混合云hybrid cloud至少包含两种不同的云部署模型的云部署模型。 来源：GB/T 32400-2015,3.2.23 4 缩略语下列缩略语适用于本文件。 SLA：服务水平协议(Service Level Agreement) IaaS：基础设施即服务（Infrastructure as a

13、Service） PaaS：平台即服务（Platform as a Service） SaaS： 软 件 即 服 务 （Software as a Service） Caas：通信即服务(Communications as a Service) CompaaS： 计 算 即 服 务 (Compute as a Service) DSaaS：数据存储即服务(Data Storage as a Service) NaaS：网络即服务(Network as a Service) 5 企业上云模型企业上云模型包括：企业上云生命周期、企业上云对象、云能力类型、企业上云绩效管理。图1给出了表述形式。 企业

14、上云的核心对象是业务系统，业务系统组成包括：应用软件、业务数据、支撑平台和基础设施。业务系统上云可包含多种云能力类型，云能力类型包括：基础设施、平台、应用等。 为了对企业上云的整个生命周期进行管理，将企业上云划分成多个阶段，包括：企业上云规划、云服务提供者选择、上云迁移方案设计、上云迁移方案实施、云服务管理以及云服务终止。 通过企业上云绩效管理对企业上云的绩效进行评价，衡量企业上云绩效结果满足企业业务目标的程度。企业上云绩效管理包括：绩效测量、分析与评价、改进与创新。 企业上云生命周期云服务终止云服务管理上云迁移方案实施上云迁移方案设计 云服务提供者选择 企业上云规划企业上云绩效管理 企业上云

15、对象业务系统应用软件业务数据支撑平台基础设施云能力类型应 用 能力类型平 台 能力类型基础设施能力类型图1企业上云模型6 企业上云生命周期6.1 企业上云规划6.1.1 确定目标高层管理者根据企业的业务发展的需要，确定企业上云的目的与目标。要求如下： a) 基于企业的业务发展战略和目标，识别企业上云对业务目标实现的作用。宜考虑： 1) 促进业务发展； 2) 提升企业发展能力； 3) 有效解决实际业务问题。 b) 发挥信息技术驱动业务发展的作用。宜考虑： 1) 加快企业的数字化、网络化、智能化转型； 2) 推进互联网、大数据、人工智能与业务的深度融合。 c) 确定企业上云的目的与目标，提升业务发

16、展的能力。宜考虑： 1) 有效降低业务系统的运行与维护成本； 2) 提高业务系统适应业务发展能力； 3) 提升业务连续性； 4) 数据分析，洞察业务商机。 d) 确定企业上云的限制与促进准则。宜考虑： 1） 确定业务系统上云的限制准则: 要求断网可用的业务系统，如：制造中心相关系统； 要求延时极低的业务系统，如：生产线上机器人相关系统； 数据需要自我掌控的业务系统，如：核心产品数据。 2) 确定业务系统上云的促进准则: 需要提供 7*24 小时实时在线服务的业务系统。如：平台类互联网服务； 在线服务业务系统可靠性要求高的业务系统。如：金融服务软件、实时交易应用软件。 3) 明确达到业务上云的目

17、标的关键指标与业务场景。如：业务系统运行维护成本降低率、业 务服务交付的及时率。 4) 明确企业上云的方针和原则。宜考虑： 平衡风险与成本，优先采用领先的信息技术； 在确保数据安全基础上，业务系统尽可能上云。 5) 明确企业上云的策略。如：从外围到核心、从简单到复杂、集中力量从核心到外围； 6) 必要时，将企业上云纳入到组织绩效管理中。 6.1.2 确定范围从业务视角分析企业上云的需要，确定企业上云的业务系统范围和限制条件。要求如下： a) 分析企业环境与业务特点，识别企业上云业务需要，应包括： 1) 与企业外部环境的信息交换水平； 2) 与外部生态环境融合程度； 3) 为企业提供服务的实时性

18、要求； 4) 业务连续性、保密性等要求； 5) 在物联网环境下，企业所采集数据范围与数据量； 6) 在数字化转型中的大数据、智能技术应用。 b) 全面梳理企业的业务系统。宜考虑： 1) 业务类型； 2) 使用人员、使用特征； 3) 性能指标、数据库使用情况； 4) 业务系统之间关联关系等。 c) 确定业务适合性。将业务需求进行优先级分类，从企业层面评估上云可行性； d) 确定经济合理性，应包括： 1) 计算业务系统上云的成本和收益； 2) 分析上云的经济可行性； 3) 证明业务系统上云的投资回报率的合理性。 e) 确定业务系统的上云范围。宜考虑： 1) 必须上云的业务系统； 2) 禁止上云的业

19、务系统； 3) 满足限制条件才能上云的业务系统。 f) 对上云的业务系统进行分析，确定上云业务系统的优先次序； g) 分析业务系统之间关联关系，确保业务的完整性和可用性。 6.1.3 选择云能力类型选择适合的云能力类型，满足企业上云的需要。要求如下： a) 在确定业务系统的云能力类型时，应考虑在业务、资源、技术方面的需求： 1) 业务变化幅度对计算资源需求影响、业务发展速度对计算与存储能力的要求； 2) 企业的现有计算资源能力、业务系统底层基础架构适宜性、现有信息技术基础设施利用的价值、信息技术资产的所有权； 3) 本地化信息技术服务能力的限制、信息技术规划中对企业上云的要求、业务变化对软件敏

20、捷开发要求、业务系统的本地运行和维护能力。 b) 基于企业上云的目的与目标、方针、原则和策略，确定云能力类型选择的准则； c) 结合已有信息资源和业务需要，从业务需求、用户体验、平台兼容性、成本、安全性等方面， 分析满足业务系统安全稳定运行的云基础环境需求。 6.1.4 选择云部署模型根据业务系统需要，选择云部署模型。要求如下： a) 分析和确定业务系统需要的云部署模型。云部署模型包括：社区云、私有云、公有云和混合云。 b) 云部署模型选择应满足企业上云的目标要求。宜包括： 1) 获得经济效益，如：节约 IT 成本、释放投资到新业务或提升业务绩效等； 2) 加速服务交付，如：提高应用服务交付速

21、度、快速响应业务需求等； 3) 实现持续交付，如：建立敏捷化的应用服务交付方式； 4) 提升 IT 价值，如：提升业务客户使用体验，确保业务数据的安全性、可控性，提高整体 投资回报率。 c) 云部署模型选择满足法律法规要求，应包括： 1) 司法管辖权。上云企业的数据存放应根据法律法规要求存放于相应的数据中心，数据存 放于境外应提前向云服务提供者了解相应国家的司法法规； 2) 服务权益。应确保云服务提供者保障企业必要的知情权和监督权，告知企业云服务相关 安全措施的实施情况和运行状态，不得私自访问、利用或者操控企业数据。 d) 云部署模型选择应满足的其它方面的要求。宜包括： 1) 分析现有业务系统

22、的特点与安全性要求，明确云部署模型选取准则； 2) 分析业务系统在不同的云部署模型下的优势和劣势； 3) 针对业务系统的业务应用软件与数据，确定云部署模型选择策略。 e) 应用软件优先选择公有云部署模型。宜考虑： 1) 不同地域使用业务应用软件； 2) 与应用软件存在多个外部接口； 3) 可靠性要求高的应用软件。 f) 业务数据优先选择私有云部署模型。宜考虑： 1) 保护等级高的业务数据； 2) 需要自我掌控的业务数据。 6.2 云服务提供者选择6.2.1 明确云服务能力需要根据企业上云的业务系统的云能力类型与云部署模型，明确云服务能力需要，要求如下： a) 根据业务系统的云能力类型，分析需要

23、的云服务类别。 1) 典型的云服务类别: CaaS。为企业提供实时交互与协作能力的一种云服务类别； CompaaS。为企业部署和运行软件提供配置和使用计算资源能力的一种云服务类别； DSaaS。为企业提供配置和使用数据存储及相关能力的一种云服务类别； IaaS。为企业提供云能力类型中的基础设施能力类型的一种云服务类别； NaaS。为企业提供传输连接和相关网络能力的一种云服务类别； PaaS。为企业提供云能力类型中的平台能力类型的一种云服务类别； SaaS。为企业提供云能力类型中的应用能力类型的一种云服务类别。 2) 云服务类别与云能力类型之间的对应关系，如表 1 所示。 表1云服务类别和云能力

24、类型云服务类别 云能力类型 基础设施 平台 应用程序 CompaaS X CaaS X X DSaaS X X X IaaS X NaaS X X X PaaS X 注：行列交叉区间中的“X”表示某行云服务类别和某列云能力类型存在对应关系。 b) 分析业务系统的云部署模型，确定业务系统需要的云服务类别及组合。 示例 1：云服务能力类型为基础设施，部署模式为公有云，应选择基础设施即服务类别； 示例 2：云服务能力类型为应用，应用程序部署模式为公有云，数据库部署模式为私有云，应选择公有云的软件即服务和私有云的数据存储即服务类别。 c) 根据企业上云的需要，明确对云服务提供者的要求: 1) 基本要求

25、； 2) 能力要求； 3) 业务资质要求。 6.2.2 选择云服务提供者根据企业上云的需要，选择云服务提供者，要求如下： a) 分析上云的业务系统对云服务提供者的能力需要，确定潜在的云服务提供者； b) 按照企业的招标与采购流程确定入围的云服务提供者； c) 应对公有云服务提供者进行更为详细的调查。调查内容不局限于下列内容： 1) 云服务提供者的经营状况与其未来业务发展方向； 2) 云服务提供者的业绩与技术能力等； 3) 其他企业对云服务提供者的评价； 4) 遵守法律法规的情况等。 d) 选择公有云服务提供者应优先考虑如下内容： 1) 具有战略合作基础； 2) 在行业内具有良好口碑； 3) 具

26、有较高信誉； 4) 具有长期合作经历。 e) 分析入围的云服务提供者的综合能力，给出能力与技术上的评价。 6.2.3 确定 SLA企业与云服务提供者就服务质量达成云服务协议，要求如下： a) 云服务协议的内容应包括但不限于： 1) 服务可审查性。承诺在必要的条件下，由于合规审查或安全取证调查等原因可以向企业提供相关的信息，如关键组件的运行日志、运维人员的操作记录等； 2) 服务功能。承诺提供的服务的具体功能。如：云平台停止提供服务时，云服务提供者应至少提前 6 个月通知企业，并配合企业做好迁移工作； 3) 服务可用性。承诺合同期内的业务可用性； 4) 故障恢复能力。如出现故障时，故障恢复的能力

27、； 5) 服务资源调配能力。扩展或缩减存储或计算资源的时间以及最大的扩展容量； 6) 网络接入性能。承诺服务能达到的网络带宽； 7) 服务计量准确性。按实际的购买量或者使用量计费； 8) 服务质量保证管理。应有标准的服务流程与体系，以确保服务质量； 9) 服务支持。相关的支持性活动与服务。 注：云服务水平协议要求参见 GB/T 36325。 b) 云服务协议应与云服务提供者沟通； c) 云服务协议应作为与云服务提供者签订合同的组成部分； d) 对于云服务协议的更改，应采用双方认可的变更流程； e) 将云服务协议作为云服务提供者绩效评价的输入。 6.3 上云迁移方案设计6.3.1 分析技术要求对

28、业务系统的云能力模型和云部署模型进行分析，明确相关技术要求。要求如下： a) 将业务系统功能映射到选择的云平台，以确认技术可行性，宜包括： 1) IT 环境和应用依赖； 2) 业务系统所属行业分类； 3) 开发和运维自动化； 4) 参考架构等。 b) 分析业务系统上云迁移要求，宜包括： 1) 明确上云迁移过程中对硬件和软件的要求； 2) 获取并分析上云迁移数据，确定数据迁移技术要求。 c) 识别上云迁移所需要关键技术； d) 识别合规性要求。合规性来源，宜包括： 1) 企业自己的决策，如：希望一切都在内部运行； 2) 符合法律法规要求，如：政府项目要求信息安全、特殊行业要求等； 3) 其它方面

29、的商业原因。 6.3.2 确定上云迁移策略根据技术分析结果，确定上云迁移策略。要求如下： a) 明确业务系统上云迁移的方式，上云迁移方式，宜包括： 1) 直接上云迁移：将业务系统上云迁移部署到云平台，利用统一运营管理平台进行管理； 2) 改造后上云迁移：对数据库、业务系统架构、运行环境、接口等进行改造，使其满足云平台的技术要求后，再部署到云平台； 3) 采购云服务重建：采购满足需求的各类云服务，重新构建业务系统； 4) 保持现状：对暂不适合上云迁移的业务系统，继续保持运行在当前环境。 b) 明确业务系统上云迁移实施原则，应包括： 1) 上云迁移的优先次序原则，如：由易到难； 2) 上云迁移的实

30、现原则，如：先试点再推广。 c) 对于复杂业务系统的上云迁移，需要根据实际情况采用定制化的上云迁移技术及方法。宜考虑： 1) 通过相似性和其它因素对业务系统进行分类； 2) 网络密度规划，确定网络需要容量； 3) 明确上云迁移的目的或目标，确定业务系统的性能、生命周期等。 6.3.3 策划上云迁移方案根据上云迁移策略，确定业务系统上云迁移方案。要求如下： a) 确定技术方案，应包括： 1) 明确上云迁移的对象类型，包括：基础设施、支撑平台、应用软件、业务数据等； 2) 制定业务系统改造方案、数据存储方式及安全保护等技术方案； 3) 协调上云迁移业务系统和未上云迁移业务系统的关系，确保业务的连续

31、性。 b) 确定配套的监督、验收、失败回退方案； c) 策划参与业务系统上云迁移的相关方的职责与权限。适用时，明确云服务合作者的职责； d) 明确上云迁移工作内容和要求，确定任务与日程计划，宜包括： 1) 上云迁移的任务顺序、关系及每个任务完成的确认标准； 2) 业务允许上云迁移的时间和期限； 3) 制定上云迁移任务日程计划表。 e) 评估上云迁移的风险，并采取措施，直到风险降低到可以接受的程度。 6.4 上云迁移方案实施6.4.1 实施准备按照上云迁移方案进行准备，降低上云迁移的风险，确保上云迁移的成功。要求如下： a) 资源与环境准备，宜包括： 1) 上云迁移使用的操作手册和工具； 2)

32、对相关人员进行培训； 3) 开发上云迁移的自动化工具； 4) 根据上云迁移方案构建模拟环境，包括：上云迁移的源端和目标端环境。 b) 制定上云迁移行动计划，如：以小时或更小的时间单位，确定工作任务时间计划； c) 测试与验证上云迁移方案； d) 按照上云迁移行动计划，对上云迁移方案进行演练； e) 实施备份测试、容灾测试； f) 不断优化完善上云迁移方案。 6.4.2 方案实施按照上云迁移方案实施，实现业务系统上云。要求如下： a) 再确认包括人员、环境、实施工具等在内的资源； b) 对云服务环境进行确认； c) 对业务系统进行确认； d) 按照上云迁移行动计划执行上云迁移； e) 对业务系统

33、上云迁移结果进行确认； f) 失败时，实施上云迁移的回退方案。 6.4.3 上云迁移验证与确认对上云迁移后的业务系统进行验证与确认，确保其满足上云迁移方案要求。要求如下： a) 通过业务测试等方法，对上云迁移后的业务系统进行功能、业务流程验证与确认； b) 将上云迁移后的业务系统数据与原有的业务系统数据进行比对分析，对上云迁移后的业务系统数据的完整性和一致性进行验证和确认； c) 通过模拟或其他技术手段，对上云迁移后的业务系统进行性能确认； d) 对上云迁移后的业务系统进行备份测试、容灾测试； e) 采用必要的安全技术手段与方法，验证上云迁移后的业务系统的安全性； f) 必要时，应给出上云迁移

34、的验证与确认报告。 6.4.4 上云迁移交付将上云迁移后的业务系统交付到云服务用户使用。要求如下： a) 下达云服务使用通知书； b) 为云服务用户提供技术支持，并解决在使用中存在的问题； c) 持续不断优化云服务； d) 对云服务的需求变更进行管理； e) 必要时，对云服务进行验收； f) 对业务系统的上云迁移进行总结，包括经验与教训以及改进措施等。 6.5 云服务管理6.5.1 技术人员配置建立云服务技术团队，以便为企业上云提供人员能力要求。要求如下： a) 配备相应的云服务技术人员，可以通过对现有的人员培训、招聘或者聘请外部专家的方式获得； b) 为了确保云服务技术人员能力适应信息技术发

35、展，应对技术人员进行新技术方面的培训。 6.5.2 业务变更管理企业上云将对业务带来变化，需要企业进行业务变更管理。要求如下： a) 识别企业上云对业务带来的变化： 1) 业务经营管理 2) 业务运营管理； 3) 业务运作流程； 4) 人员岗位； 5) 组织结构； 6) 商业模式。 b) 根据识别的变化，变更与建立新的业务管理或商业模式； c) 基于新的业务管理或商业模式，对经营管理与运营管理进行调整； d) 变更业务运作流程以及相关人员岗位要求； e) 必要时，调整组织结构。 6.5.3 提供云服务持续提供云服务，满足业务的需要。要求如下： a) 确保能快速响应业务的弹性需求； b) 提高资

36、源变更能力。包括：替换故障设备、升级设备、添加新设备，从而扩充资源容量，以及重新配置现有设备； c) 加强资源监控能力。发现和监视虚拟资源，监视云端操作和事件，并且产生性能报表； d) SLA 实施监督和执行评价，确保服务质量； e) 对服务范围及计费标准变更进行管理。包括：业务范围、资源范围、服务范围等以及其相关的计费标准； f) 对业务连续性进行管理。依据备份恢复策略（本地备份，异地备份，多云备份等），对云服务提供者提供相应的数据保护措施及方案进行评价。 6.5.4 跟踪与控制跟踪和控制云服务与业务关系，确保云服务持续达到业务要求的能力。要求如下： a) 对云服务进行监视，及时发现云服务不

37、可用或达不到保障水平的情况； b) 督促云服务提供者不断提升服务能力； c) 监督云服务提供者定期或在威胁环境发生变化时，对云服务进行风险评估，确保云服务的安全风险处于可接受水平； d) 跟踪云服务提供者的监控目标清单，对目标进行持续监控，并在异常和非授权情况发生时发出警报。 6.5.5 风险与机遇管理对云服务风险与机遇的管理，确保风险降低到可接受程度，充分利用机遇，创造业务价值。要求如下： a) 分析企业的内部与外部环境因素的变化； 1) 业务； 2) 信息技术； 3) 云服务提供者与其他相关方的能力。 b) 识别环境因素变化带来的不确定性的影响； c) 识别有利于提升 SLA 或业务绩效的

38、情况，这些情况可能导致机遇的出现。例如：利用语音人工智能技术替代人工服务，提高服务质量，降低服务成本； d) 识别云服务的风险，确定风险的优先级别； e) 对高风险项，采取措施，将风险降低可接受程度； f) 对无法降低的风险，准备应对措施； g) 对风险应持续跟踪与控制。 6.5.6 持续性和安全性审计对云服务提供者进行持续性和安全性等方面审计，以确定云服务提供者在安全管理方面满足企业要求的能力。要求如下： a) 企业选派人员或邀请第三方评估机构对云服务提供者进行安全审计； b) 审计范围，宜包括： 1) 环境、设施与设备：物理环境、网络、介质、设备等； 2) 安全措施：监控、网络、业务系统、

39、恶意代码防范、密码保护、安全事件处置等； 3) 安全管理：变更管理、备份与恢复管理、应急预案管理等。 c) 制定可审计事件清单，明确审计记录内容； d) 实施审计并妥善保存审计记录，对审计记录进行分析，识别问题与风险； e) 将审计结果与云服务提供者进行沟通； f) 对发现的问题的解决进行跟踪，确保问题得到解决； g) 对发现的风险所采取的措施进行跟踪，确保风险降低到可接受的程度； h) 审计结果应用到云服务提供者的评价中。 6.5.7 沟通管理与相关方进行沟通，确保云服务持续满足需要。要求如下： a) 识别需要沟通的相关方与沟通的内容，相关方至少应包括： 1) 企业的业务人员； 2) 企业的

40、信息技术人员； 3) 云服务提供者的人员。 b) 与业务人员沟通，预测业务未来发展的状态，以便及时调整云服务所需要的资源； c) 企业信息技术人员与云服务提供者沟通，沟通的主要内容如下： 1) 云服务提供者应报告： 目前云服务的状况； 要求的措施实施情况； 技术变化状况等。 2) 企业信息技术人员应报告： 对云服务的满意程度； 费用的结算进度； 业务对云服务的未来需要。 d) 对云服务不可用或达不到保障水平的情况与云服务提供者沟通，按照合同约定进行赔付； e) 在沟通中对未来云服务的需要达成一致理解，并确定行动计划； f) 记录未能解决的问题，以便以其他的方式进行讨论； g) 对于不在职责和权

41、限范围内的事项，按照升级机制，由更高层管理者进行沟通解决。 6.6 云服务终止6.6.1 策划云服务终止制定云服务终止计划,以撤销云服务。要求如下： a) 策划应邀请云服务提供者参与； b) 策划应涉及下述各项： 1) 一定时期之后,终止全部或部分云服务； 2) 云服务相关信息的归档； 3) 任何未来后续支持事项的职责； 4) 适用时,转换为新的云服务； 5) 归档数据副本的可访问性。 c) 将策划结果形成文档； d) 云服务用户和云服务提供者应得到终止云服务计划和活动的通知。通知应包括下述内容: 1) 替代或升级的云服务及其生效日期的说明； 2) 云服务不再得到支持的理由说明； 3) 一旦失去支持时,其他可用支持方案的说明。 6.6.2 转移数据在云