任務
歐洲雲服務聯盟(EuroCloud Europe, ECE)成立的目的在於促進雲服務在國際市場順利發展,並支援以用戶為導向,所提供之符合使用需求的雲服務。因此,歐洲雲聯盟持續與雲服務網絡之合作夥伴及不同的政府機關對話。
歐洲雲服務聯盟ECE提供「歐洲雲服務聯盟第三方星級驗證機制EuroCloud Star Audit, ECSA」,以建立雲服務供需雙方之信賴度。ECSA驗證機制及對雲服務稽核之目的在於針對雲服務提供可信賴的品質分級,使服務透明化,而增加用戶對雲服務之信心。
價值
雲服務提供過程所牽涉的諸如合規性、資訊安全及資料保護等複雜狀況,使雲服務客戶難以就不同的雲服務有清楚又透明的辨別。中小企業用戶可從雲服務獲得許多利益。但因為他們對於資訊委外,合約條款、SLA服務水準協議之管理、機敏資料及資料隱私保護之相關法規等,均較缺乏經驗,因此需要便於使用、高品質,且有適當支援的雲服務評估方法來協助。不像傳統的資訊相關驗證制度,如ISO27001/27002及ISAE3402 (前SAS70/SOX),ECSA將雲服務客戶所關心的所有相關層面全部納入評估範疇。
ECSA驗證機制對於雲服務客戶而言,當他想要值得信賴的雲服務時,是一種有意義的篩選工具,也可降低其個別進行驗證所需之成本。歐洲雲服務聯盟對雲服務雙方提供了具高透明度的有價值的評估篩選工具。
價值論述
ECSA是一套專門用來評鑑雲服務的驗證機制。自2011年成立以來,歐洲雲服務聯盟即運用ECSA驗證機制之要求內容來評估雲服務,該服務涵蓋特定供應鏈所牽涉之所有參與成員。
ECSA驗證機制以特定雲服務為對象,涵蓋所有重要的控制領域且均為必要,包含:服務商相關基本資訊(Profile)、合約及當地法規要求之資料隱私保護符合性(Contract and data privacy protection compliance)、資訊安全(Security)、服務維運作業(Operation)、基礎設施之環境與技術構面(Environment and technical infrastructure)、流程(Process)及應用系統導入牽涉之互通性(InteroperabilityO及移轉性(Portability)等,雲服務商無法協商或選擇性決定驗證哪些領域。
若某特定雲服務符合ECSA機制下的驗證準則,即可通過評鑑而獲得ECSA星級證書。證書有效期為二年,前提是該服務之供應鏈下包商或雲服務本身在各評鑑的控制領域沒有重大變更。
ECSA驗證過程係結合生態體系內相關合作夥伴共同完成,其驗證內容以模組化的結構,分三個星級,去評鑑特定服務在不同控制領域的管理狀況,不但適用於大型雲服務商,即使中小型雲服務商也有機會通過評鑑。
挑戰
對於雲服務用戶而言,如何在市場裡眾多雲服務提供者中,選擇最佳的雲服務商,以符合組織營運及發展的需求,是最大的挑戰。在過去,選擇委外服務夥伴的最佳準則包含:
- 具有提供良好服務的長久聲譽;
- 可直接接觸委外服務商,甚至服務商的資訊基礎設施就在用戶組織所在地附近;
- 委外服務商熟知用戶所處的產業特性,並且對於用戶的資訊平台(如軟體、硬體、網路基礎設施等)有一定程度的瞭解。
上述這些選商準則很難適用於選擇有下列特性的服務商。
- 通常透過租賃方式,針對實際使用服務的多寡決定計價的高低;
- 服務提供的模式和架構,不會因為用戶所在地點、資訊平台或產業不同而不同;
- 始終會有新的服務提供者進入市場
這些服務的提供方式通常非常複雜,不會受限於供需雙方的所在地。例如,應用軟體服務商和用戶在同一國家,然而用戶的運算設施及資料儲存地點卻在海外,因而產生特殊的資料保護及財會法規要求的跨國符合性議題,這些都需要格外注意,在事前就應查證清楚。
準則
ECSA依據一套公開發佈的準則目錄,評鑑雲服務,其審核稽查流程的結果顯示服務級別或水準的差異。
ECSA雲服務商評鑑的程序,是從雲服務最佳實務,及用戶選商時可能會問的角度,請服務商的相關經理人回答各種問題,並從而提供答案,使其瞭解服務提供及維運的狀態。不像單純的資訊安全或資料保護的稽核,ECSA第三方星級驗證機制包含完整的雲服務功能的考量,以簡單易懂的用語,從需求來確證法規符合性。
雲服務商若獲得歐洲雲服務聯盟的ECSA標章,可證明其在嚴謹的驗證或稽核過程中,符合ECSA所要求的全部準則。
可從下面出版物中,瞭解更多有關ECSA評鑑目錄資訊:
出版物
分級
就像旅館業的分級制度,歐洲雲服務聯盟第三方星級驗證機制將服務商水準從一星到五星予以分級,各級均授予相應的標章。潛在雲服務用戶可一眼瞭解,引導選擇。
生態系統
歐洲雲服務聯盟努力建立一個全球化的夥伴生態系統,可從ECSA「夥伴關係」模型瞭解更多資訊。
夥伴關係
驗證之範疇
可從「範疇」之網頁獲得更多有關ECSA範疇之資訊。
範疇