■ 《云计算白皮书（2014年）》连载（三）

　　政府云应用是市场发展重要支点

　　近年来很多国家都制定了云计算发展战略，在电子政务中率先引入公共云服务，促进社会和企业对云服务的了解和认同，并通过技术和经济的溢出效应推动ICT产业的整体发展。

　　美国通过《联邦政府云战略》，每年将联邦政府原有IT支出中的四分之一（约200亿美元）转为采购第三方公共云服务，从2013年的统计来看，美国联邦政府的IT支出较2010年减少了57亿美元，其中云计算贡献显着。

　　英国的"政府云计算战略"（G-Cloud），提出计划到2015年中央政府新增IT支出中50%用于采购公共云服务，预计可节省开支3.4亿英镑。

　　2013年5月，澳大利亚发布《澳大利亚云计算战略》，提出使政府成为云服务使用方面的领先者。

　　另外，韩国、德国、俄罗斯等在2010-2013年期间也提出了各自国家的云计算发展战略或行动计划。

　　完善政采云服务制度和规则

　　各个国家通过建立制定标准、规范合同、采购管控、评估认证等制度环境进一步提高云计算服务的安全水平和服务质量，保障政务应用的安全性和可靠性，也为其他国家提供了十分有益的参考。

　　美国、日本、欧盟等发达国家和地区在数据隐私保护法的基础上，通过政府云计算战略、信息安全管理法规等文件对政府采购云服务的相关规则做出了规定。

　　第三方保障云服务质量和安全性

　　在各国为政府采购云服务所建立的制度体系环境中，第三方评估和认证成为保障云服务质量和安全性的必要手段。目前美国、德国、日本、韩国等多个国家的第三方组织已开展了云计算评测活动。

　　2010年美国云计算管理办公室PMO的安全工作组提出FedRAMP认证项目，进入政府采购清单目录的云服务商，必须经过FedRAMP的认证。FedRAMP认证基于NIST SP 800-53 REV3标准，由美国标准研究所（NIST）负责标准的维护。目前IaaS通过认证进入采购清单的有12家，EaaS有22家。

　　2012年，英国政府开通"云市场"（CloudStore）网站，启动G-Cloud认证工作，供政府部门选择、采购各类云计算服务。G-Cloud认证标准基于ISO 27001和《HMG Information Standards No. 1 && 2》。截至2014年初，"云市场"上已有1200家提供商的13000多项云服务通过了认证，可供英国的政府部门选择使用。

　　欧盟委员会在2012年9月发布了名为"释放欧洲云计算潜力"的报告，其中提出建立涵盖标准符合性、互操作性、数据可迁移性等内容的云服务认证体系。根据这个报告，欧盟成立了"欧洲云合作指导委员会"推动相关工作。另外，ETSI和ENISA正在制定云服务数据、安全、服务等方面的标准，并于2013年开始实施"可信赖云服务供应商"认证。

　　相关链接

　　政府采购云服务制度体系环境

　　政府采购云服务的制度体系包括建立标准、规范合同、评估认证、采购管控、管理制度等多个环节。

　　建立标准：美国NIST编制了标准《800-53 REV3，Information Security》，英国编制了标准《HMG Information Standards No. 1 && 2 》，以上标准对云服务的安全和服务质量等方面提出了具体要求。

　　规范合同：英国建议在与服务提供商的合同中应包括服务器地点等与云计算环境安全相关的条款；日本规定应将云服务的安全特性、服务水平等方面的要求事项等写入协议书。

　　评估认证：美国FISMA法案规定为政府提供云服务的提供商必须通过测试认证，美国医疗行业要求第三方机构对云服务提供商进行监督审查。

　　采购管控：英国建立了政府云服务采购机制，所有的公共ICT服务的采购和续用都必须经过G-Cloud委员会的审查；此外，日本规定云设备采购要通过信息安全委员会的安全审查。

　　管理制度：美国建立了较为完善的政府采购云管理制度，包括开展周期性评估、SLA监控、服务质量的管理等。

　　（来源：工业和信息化部电信研究院）

　　政府采购信息报2014年7月21日第1569期22版