❑雲端基礎建設服務:雲端虛擬資源服務、儲存雲、雲端GPU運算資源
111年度電腦軟體共同供應契約採購
-雲端服務
廠商溝通座談會
中華民國111年5月26日
目錄
壹、背景說明
貮、採購機制精進作法說明參、雲端服務檢測作業規劃肆、產品徵求系統操作
壹、背景說明
背景說明
❑有關雲端服務上架共契說明
• 雲端服務自104年上半年,為帶動產業往雲端轉型,首創以最有利標評選辦理,並透過設計雲端服務檢測機制,輔導廠商提升服務能量;並導入雲端服務供政府部門採購應用,開創政府採購新趨勢。
• 因應雲端服務發展日趨成熟,產品技術亦朝模組化及工具化演進,漸形成套裝化商業模式。另業者為因應客製化服務及變動的能力,相關產品之解決方案,亦已朝多元化及彈性化發展。
• 另國內外雲端服務業者,因雲端服務需求提升,針對雲端服
務模組工具等產品,皆表示有意願能加入共契。
雲端服務歷年成果說明
❑ 104-110年,累計推動5大類20個雲端服務上架,從0辦理到110年採購額1.6億元,帶動雲端產業發展
❑ 111年截至4月底採購金額達7,842萬元
1.80
1.60
1.40
1.20
1.00
0.80
0.60
0.40
0.20
-
單位:億元
1.60
0.80
0.51
0.41
0.17
0.25
0.01
104年 105年 106年 107年 108年 109年 110年
5大類別:
❑雲端基礎建設服務:雲端虛擬資源服務、儲存雲、雲端GPU運算資源
❑雲端通訊服務:雲端電子郵件服務、即時通訊
❑ 雲端影音服務:雲端視訊會議、網路直
播、雲端行動安控
❑雲端數據分析服務:雲端輿情分析
❑雲端資料應用服務:雲端知識管理、雲端民眾關係管理、智慧校園(6) 、雲端客服、雲端辦公生產力、雲端ODF辦公整合系統
貮、採購機制精進作法說明
雲端服務精進作法說明
❑精進構想
• 為維持具有一定品質之雲端服務始可上架共契之一貫原則,原於資格及規格審查之項目,擬調整於公開徵求時,要求產品之原廠或在台代理商提供文件後審查。
• 鑒於雲端規格及資安檢測應有一致性,故仍由辧公室進行檢測。至系統功能是否合於招標文件所公告的內容,考量各廠牌系統功能不一,建議由機關依據契約條款驗收,不由辦公室檢測
• 為鼓勵現行已上架套裝軟體之雲端服務產品往此新開標案移動,且避免投標廠商低價搶標而發生不合理的決標價,於投標廠商本資格中要求提供履約證明文件,以維護廠商權益。
檢測作業(為期2個月)
訂價暨規 招標文件
等標期25天 跟進
產品徵求
1.投件廠商資格:原廠/在台代理商擇一者辦理
2.系統檢測:須通過雲端特性、資安及App檢測
3.資料存取之實體所在地符合要求(相關要求參照下頁所述) 4.雲端機房要求:須通過ISO
27001、ISO 27017 (或 CSA STAR等) 及ISO 27018
之驗證
格審查會 公開閱覽
決標
前
置
作
業 招
標
、
決
標
招決標作業
1.採「最低價格標」分項複數決標
2.投標廠商基本資料:
• 公司登記
• 納稅證明
• 廠商具有製造、供應或承做能力之證明,如:與本案雲端服務標的類似之承接契約文件等
3.競標機制:依報價由低至高排列,取前90%計算(小數點以下無條件進入)
預計六月上旬 預計六月下旬~七月 預計十月
需求徵詢/市場詢價
1.辧理機關需求,達二以上機關需求即可納入採購品項
2.透過中華軟協進行全面市場詢價作業,廠商可提市售 價、促銷價等價格資料,做為本局底價訂底參考
註:採購規定,以公告文件為主
8
雲端服務採購機制及時程調整
雲端服務採購機制調整對照(1/2)
註:採購規定,以公告文件為主
現行作法 | 111年調整作法 | |
決標方式 | 招標:限制性招標(依政府採購法 第22條第1項第9款) 決標:準用最有利標 資格審查:要求廠商提供「雲端機房須通過國際資訊安全管理標準ISO 27001之驗證」 競標機制:評分合格者,依序位 由排列取前80% | 參照現行套裝軟體處理機制: 招標:限制性招標(依政府採購法第22條第1項第 2款) 決標:最低標 資格審查:要求廠商提供「廠商具有製造、供應或承做能力之證明」 競標機制:依報價由低至高排列,取前90% |
底價訂定 | 1. 議價前,參考優勝廠商報價以 訂定底價。 2. 對不同優勝序位廠商訂定不同底價,且後序位底價不高於前序位。 | 參考現行套裝軟體處理機制: 透過中華軟協進行市場詢價,本局於訂價暨規格 審查會中,確認建議底價。 |
雲端服務系統檢測 | 於開標期間辦理規格審查: 1.檢測雲端特性、資安、領域功 能及App資安 2.要求雲端機房實體所在地應為我國管轄權所及之境內 | 於公開徵求期間要求下列資料: 1.系統檢測:須通過雲端特性、資安及App資安 檢測,或提供相關 2.資料存取之實體所在地: (1)原則應設置於我國管轄權所及之境內 (2)設置於境外者,應說明資料處理符合我國相關法令及對資料有控制權 |
9
現行作法 | 建議作法 | |
(3)所有資料存取、備份及備援之實體所在地不得 位於中國大陸地區(含香港及澳門地區),且不得跨該等境內傳輸相關資料等 4.雲端機房須通過ISO 27001、ISO 27017 (或CSA STAR等) 及ISO 27018之驗證 5.雲端服務(包含資料存取、備份及備援之中心或機房維運人員)執行團隊成員,其現行國籍不得為中國大陸國籍 6.雲端服務機房使用之資通訊設備禁止使用 大陸廠牌,惟雲端服務業者自行設計之設備,暫不納入限制 |
雲端服務採購機制調整對照(2/2)
註:
關於雲端服務資安規定,將依據行政院資安處政策規定辦理,相關規定以公告文件為主。
註:採購規定,以公告文件為主
10
叁、雲端服務檢測作業規劃
雲端服務檢測規劃
❑公開徵求時分為IaaS、PaaS、SaaS三類,檢測條件如下:
• IaaS :每個IaaS皆為完整獨立服務,故皆測雲端特性+資安。
• PaaS:同一PaaS服務模組皆使用相同PaaS平台,故同PaaS平台服務僅檢測一次雲端特性;資安則因各服務網址(程式)不同,須每個服務皆測。
• SaaS :每個SaaS皆為完整獨立服務,故須每個服務皆測雲端特
性+資安。
廠商 | 雲端服務領域 | 雲端服務名稱 | 雲端特性檢測 | 基本資安檢測 |
A | IaaS | 虛擬機雲 | ⚫ | ⚫ |
B | SaaS | 郵件雲 | ⚫ | ⚫ |
B | SaaS | 即時通訊雲 | ⚫ | ⚫ |
C | PaaS | 開發工具1 | ⚫ (同一PaaS平台僅檢測一次) (須調整公開徵求,讓廠商填其 PaaS平台底層資訊以判斷是否檢測) | ⚫ |
C | PaaS | 開發工具2 | ⚫ | |
C | PaaS | 開發工具3 | ⚫ | |
C | PaaS | 開發工具4 | ⚫ |
雲端服務檢測情境說明
雲端服務檢測
❑檢測方式
檢視: 檢測人員於檢測階段,檢視由廠商提供之佐證資料是否符合檢測規範。
測試: 檢測人員於檢測階段,可自行操作系統進行測試,廠商須配合提供相關資源及技術窗口,依循產出測試結果,判定是否符合檢測規範。
❑雲端特性檢測
針對雲端五大特性進行6項檢測,確認雲端服務基本服務
。
❑基本資安檢測
針對雲端服務基本資安進行5項檢測,確保雲端服務安全性。
註:
雲端特性檢測
◼ 調整/整併原10項雲端特性檢測至6項
註:採購規定,以公告文件為主
雲端特性 | 檢測編號 | 檢測指標 | 檢測步驟 |
隨需自助服務 (On–demand Self- Service) | CL-001 | 具備賦予CSC 隨時隨需採取行動之能力 | 1.使用申請之使用者帳號登入系統 2.測試使用1項廠商所提供的雲端服務功能 |
多元網絡存取 (Broad Network Access) | CL-002 | CSC 只要可存取網路,即可存取實體或虛擬資源 | 使用個人電腦或行動裝置透過兩個(含)以上網際網路環境(ISP)測試使用雲端服務或檢視雲端服務是否具備服務組織控制報告(SOC2) |
多人共享資源池 (Resource Pooling) | CL-003 | 雲端服務提供者能支援多租用,藉以服務1或多個CSC | 使用2個(含)以上不同CSC帳戶登入系統,有各自獨立之作業介面,且不同使用者 間操作不會相互影響或檢視雲端服務是 否具備服務組織控制報告(SOC2) |
快速且彈性佈署 (Rapid Elasticity) | CL-004 | 實體及虛擬資源能彈性增減資源 | 檢視雲端服務架構是否具備資源彈性增減設計 |
CL-005 | 具有CSC資源彈性變更功能 | 以CSC帳戶新增/異動/刪除1項廠商所提供的雲端應用服務,測試是否成功完成 | |
服務可量測 (Measured Service) | CL-006 | 具備區分使用者資源/服務度量與計費機制 | 雲端應用服務具有使用者端資源/服務度量與計費機制 |
15
基本資安檢測
◼ 調整/整併原6項基本資安檢測至5項
檢測編號 | 檢測指標 | 檢測項目 |
CS-001 | 雲端服務均須具備「傳輸層安全通訊協定(Transport Layer Security-TLS)」的安全通訊協定v1.2以上 | 由檢測人員測試雲端服務是否具備TLS v1.2以上安全通訊協定 |
CS-002 | OWASP TOP10 最新版應用程式弱點掃描 | 1. 檢視廠商提供之一年內應用程式弱點掃描報告(掃描報告 須可呈現包含OWASP TOP 10 2017以上掃描內容選項), 需無中、高等級以上風險 2. 若廠商無法提供上述檢測報告,檢測人員將透過檢測工具MICRO FOCUS WebInspect針對OWASP TOP 10最新版進行檢測,檢測結果無中、高等級以上風險 |
CS-003 | 系統弱點掃描 | 1.檢視廠商提供之3個月內第三方系統弱點掃描報告 2.檢測人員透過檢測工具Nessus針對系統弱點進行檢測 |
CS-004 | 雲端服務需有相關網路入侵防護、實體入侵防護、監測活動管理或防毒機制。 | 檢視廠商之佐證資料,雲端服務是具備相關網路入侵防護、實體入侵防護、監測活動管理或防毒機制。 |
CS-005 | 若雲端服務包含APP產品,需通過「行動應用APP基本資安檢測實驗室」檢測之合格證書文件或國際獨立認驗證機構之APP資安檢測證明,APP通過檢測之版本應與參與投標之版本相符。 | 檢視廠商參與投標雲端服務之APP是否通過「行動應用 APP基本資安檢測實驗室」檢測之合格證書文件或國際獨立認驗證機構之APP資安檢測證明,並比對APP通過檢測之版本應與參與投標之版本相符。 16 |
註:採購規定,以公告文件為主
肆、產品徵求系統操作
產品徵求系統操作-新增品項-1
❑廠商登入公開徵求系統後點選徵求品項輸入->徵求品項維護。
產品徵求系統操作-新增品項-2
❑點選新增品項功能。
19
產品徵求系統操作-新增品項-3
❑徵求品項輸入功能-”新增品項”選擇投標組別, 填入品項的相關內容後點選新增品項即完成。
❑品項名稱為:
廠商注意事項:承諾SLA及未符合 SLA之處理方式,由廠商自行定義。
產品徵求系統操作-新增品項-4
❑批次新增品項功能-計價方式欄位可一次填入多個單位,以全形逗號分隔即可一次產生多
個相同品項名稱但
不同計價方式的品項。
廠商注意事項:
批次產生的品項內介紹規格需為一致,若內容不相同仍須使用單品項建立。
產品徵求系統操作-檢測作業-1
❑雲端服務檢測及資訊安全暨個資保護證明文件
– 每一項服務於公開徵求期間即須完成服務檢測作業,首次投件之雲端服務需通過雲端特性及基本資安檢測
,第二年之後則僅需檢測基本資安的項目。
廠商注意事項:要先填寫完品項才能填寫雲端服務檢
22
測相關內容。
產品徵求系統操作-檢測作業-2
❑點選明細。
廠商注意事項:
此列表顯示廠商相關的
雲端服務證明文件,若
證書到期系統將會自動
提醒廠商進行更換。 23
產品徵求系統操作-檢測作業-3
❑ 上傳各雲端服務:雲 端檢測文件、App證明文件(如服務有App需檢附)、資訊安全暨個資保護證明文件,上傳相關文件及填寫完內容後即可點選新增服務。
廠商注意事項:
1.IS27017或CSA
STAR擇一即可。
2.ISO27701或 24
BS10012擇一即可。
產品徵求系統操作
❑品項及雲端服務相關文件上傳後,軟體採購辦公室將會開始進行檢測,若有需廠商補件或是說明的部分,則會使用EMAIL及電話方式進行聯繫,請相關人員保持聯繫管道暢通,靜待檢測結果。
25
簡報完畢敬請指教
26