FIND研究員:王玉菁
雲端運算服務水準協議(SLA)框架國家標準(CNS 19086)源自於,ISO國際標準組織於2016年發布「雲端運算服務水準協議(SLA)框架」國際標準系列(ISO/IEC 19086:Information technology-Cloud computing-Service level agreement(SLA)framework,以下稱ISO 19086),有鑑於ISO 19086對雲端服務產業有重大指標性,我國雲端服務產業介接國際刻不容緩,資策會自ISO 19086於2016年首次發布後,依照其他各部發布時間,逐一向經濟部標檢局提出國家標準草案,推動「雲端服務水準協議框架國際標準」轉化為國家標準。
CNS 19086共分成四部:
(1)CNS 19086-1提供雲端服務水準協議框架之概觀、基礎概念及定義,CNS 19086-1亦描述組成雲端服務水準目標及雲端服務定性目標表列之內容領域與組成項目;
(2)CNS 19086-2提供可用於建立雲端服務水準目標及雲端服務定性目標之度量項目的度量模型;
(3)CNS 19086-3提供雲端服務水準目標及雲端服務定性目標衍生的核心符合性要求事項;
(4)CNS 19086-4提供安全與隱私領域之特定組成項目及符合性要求事項。
資料來源:中華民國標準(CNS)資訊技術-雲端運算-服務水準協議(SLA)框架
圖一、CNS 19086各部與其他雲端運算標準間之關係
雲端服務的量測,尤其是針對雲端服務水準協議,面臨諸多挑戰,實務上通常使用淺顯的文字描述度量項目,但常常難以瞭解、比較及實作。例如:比較不同服務所承諾之服務水準可能無效,因各自定義其度量項目及雲端服務水準目標、雲端服務定性目標顯著不一致。因此CNS 19086-2聚焦於雲端服務水準協議使用之度量項目;度量結構化有助於不同度量項目間,以及依同一度量之雲端服務水準目標、雲端服務定性目標間的比較。
CNS 19086-3是依CNS 19086-1之指引,定義核心符合性要求事項,包括雲端服務水準協議12項內容領域及4項雲端SLA組成項目之服務水準目標(Service Level Objective, SLO)及服務定性目標(Service Qualitative Objective, SQO)。
CNS 19086-4詳述安全及個人可識別資訊保護領域中雲端服務水準目標及雲端服務定性目標之特定組成項目及符合性要求事項。其中13個資訊安全組成項目遵循CNS 27002之結構與ISO/IEC 27017所定義的雲端特定資訊安全控制措施,9個個人可識別資訊保護組成項目遵循CNS 29100之結構及CNS 27018所定義的雲端特定個人可識別資訊相關控制措施。
服務水準協議是一個可以協助服務提供者和客戶,有效管理彼此對於服務內容與服務水準期望的一個極佳工具,它可以幫助企業建立溝通管道與溝通計畫、建立一致性並減少衝突,並以客觀的方法量測服務的效能。
資策會依據CNS19086-1、CNS19086-3及CNS19086-4發展實際可執行之驗測規範項目,於2022年與財團法人全國認證基金會(Taiwan Accreditation Foundation, TAF)合作,建立雲端服務水準框架國家標準(CNS 19086)第三方認驗證機制,透過雲端產品第三方的檢測服務,可平衡供需雙方認知上的差異,並確保雲端服務運作品質。
資料來源:
1.封面照片係運用Midjourney工具生成之雲端服務意象圖 https://www.midjourney.com
2.中華民國標準資訊技術-雲端運算-服務水準協議(SLA)框架
https://www.cnsonline.com.tw/?node=detail&generalno=19086-1&locale=zh_TW