BỘ THƠNG TIN VÀ TRUYỀN THƠNG CỤC TIN HỌC HĨA Số: 783 /THH-HTDLS CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc Hà Nội, ngày 16 tháng 06 năm2020 V/v Tài liệu hướng dẫn ứng dụng dịch vụ điện toán đám mây thuê dịch vụ điện toán đám mây quan nhà nước Kính gửi: - Đơn vị chun trách cơng nghệ thông tin bộ, quan ngang bộ, quan thuộc Chính phủ; - Sở Thơng tin Truyền thông tỉnh, thành phố trực thuộc Trung ương Căn Nghị số 17/NQ-CP ngày 7/3/2019 Chính phủ số nhiệm vụ, giải pháp trọng tâm phát triển phủ điện tử giai đoạn 2019-2020, định hướng đến 2025 (gọi tắt Nghị 17/NQ-CP); Căn Quyết định số 950/QĐ-TTg ngày 01/8/2018 Thủ tướng Chính phủ phê duyệt đề án phát triển thị thông minh bền vững Việt Nam giai đoạn 2018-2025 định hướng đến năm 2030 (gọi tắt Quyết định 950/QĐ-TTg) Nhằm tăng cường thuê dịch vụ công nghệ thông tin doanh nghiệp; thúc đẩy việc ứng dụng công nghệ điện toán đám mây hoạt động ứng dụng công nghệ thông tin quan nhà nước; sử dụng dịch vụ điện toán đám mây phục vụ phát triển đô thị thông minh Việt Nam, Cục Tin học hóa nghiên cứu xây dựng Tài liệu hướng dẫn ứng dụng dịch vụ điện toán đám mây thuê dịch vụ điện toán đám mây quan nhà nước để cung cấp dẫn cần thiết việc triển khai áp dụng, sử dụng dịch vụ điện toán đám mây doanh nghiệp vào hoạt động ứng dụng công nghệ thông tin quan tin cậy hiệu Cục Tin học hóa gửi quan, đơn vị để nghiên cứu áp dụng Nơi nhận: - Như trên; - Bộ trưởng (để b/c); - Thứ trưởng Nguyễn Thành Hưng (để b/c); - Cổng TTĐT Bộ; - Cục trưởng (để b/c); - Lưu: VT, HTDLS (2b) KT CỤC TRƯỞNG PHÓ CỤC TRƯỞNG Ký bởi: Cục Tin học hóa (M) Cơ quan: Bộ Thông tin Truyền thông Thời gian ký: 16/06/2020 09:26:53 Đỗ Cơng Anh BỘ THƠNG TIN VÀ TRUYỀN THƠNG CỤC TIN HỌC HÓA HƯỚNG DẪN ỨNG DỤNG DỊCH VỤ ĐIỆN TOÁN ĐÁM MÂY VÀ THUÊ DỊCH VỤ ĐIỆN TOÁN ĐÁM MÂY TRONG CƠ QUAN NHÀ NƯỚC (Kèm theo Văn số /THH-HTDLS ngày / /2020 việc Tài liệu hướng dẫn ứng dụng dịch vụ điện toán đám mây thuê dịch vụ điện toán đám mây quan nhà nước) I GIỚI THIỆU CHUNG Giới thiệu Tài liệu nhằm hướng dẫn việc triển khai ứng dụng dịch vụ điện toán đám mây, thuê dịch vụ điện toán đám mây doanh nghiệp sử dụng quan nhà nước xây dựng thành phố thông minh Việt Nam theo Quyết định số 950/QĐ-TTg Thủ tướng Chính phủ ngày 01/8/2018 phê duyệt đề án phát triển đô thị thông minh, bền vững Việt Nam giai đoạn 2018-2025 định hướng đến năm 2030 Mục đích Hướng dẫn Hướng dẫn ứng dụng dịch vụ điện toán đám mây thuê dịch vụ điện toán đám mây xây dựng hướng tới mục đích sau: - Thúc đẩy việc triển khai thuê dịch vụ điện toán đám mây doanh nghiệp phục vụ phát triển Chính phủ điện tử - Cung cấp, giải thích số khái niệm đặc tính mơ hình sử dụng dịch vụ điện toán đám mây, nhằm nâng cao nhận thức thống thuật ngữ điện toán đám mây - Hỗ trợ quan nhà nước phân tích, đánh giá, lựa chọn triển khai giải pháp điện toán đám mây, loại hình dịch vụ điện tốn đám mây phù hợp với yêu cầu - Hỗ trợ quan nhà nước thuận lợi việc triển khai hoạt động thuê dịch vụ điện toán đám mây ứng dụng công nghệ thông tin, bao gồm hoạt động trình đánh giá, lựa chọn triển khai, quản lý, trì dịch vụ điện tốn đám mây Hướng dẫn việc triển khai ứng dụng dịch vụ điện toán đám mây, thuê dịch vụ điện toán đám mây không làm hạn chế hoạt động thuê dịch vụ ổn định quan nhà nước sử dụng theo quy định pháp luật Phạm vi áp dụng đối tượng áp dụng a) Phạm vi hướng dẫn: - Hướng dẫn việc triển khai ứng dụng dịch vụ điện toán đám mây, thuê dịch vụ điện toán đám mây tài liệu dẫn nghiệp vụ hướng dẫn quan nhà nước thực hoạt động sau: + Đánh giá khả sử dụng dịch vụ điện toán đám mây doanh nghiệp ứng dụng công nghệ thông tin + Xây dựng thuyết minh báo cáo đề xuất chủ trương đầu tư, khảo sát lập báo cáo nghiên cứu khả thi, báo cáo kinh tế - kỹ thuật dự án ứng dụng công nghệ thông tin, có phương án sử dụng dịch vụ điện toán đám mây doanh nghiệp + Quản lý, trì sử dụng dịch vụ điện tốn đám mây an toàn, hiệu quả, hạn chế bất cập phát sinh trình sử dụng dịch vụ điện toán đám mây doanh nghiệp + Xây dựng phương án chuyển tiếp trước sau sử dụng dịch vụ điện toán đám mây, đảm bảo hạn chế việc gián đoạn sử dụng dịch vụ gây ảnh hưởng tới hoạt động quan nhà nước - Tài liệu hướng dẫn không áp dụng cho trường hợp sau: + Cơ quan nhà nước đầu tư xây dựng vận hành đám riêng đám mây lai + Thuê dịch vụ phần mềm triển khai sở hạ tầng quan nhà nước; thuê dịch vụ công nghệ thông tin khác khơng phải địch vụ điện tốn đám mây + Các hình thức đầu tư hợp tác khác nhà nước doanh nghiệp việc ứng dụng công nghệ thông tin - Các nội dung tài liệu dẫn kỹ thuật, nghiệp vụ để tham chiếu, đảm bảo hiệu việc ứng dụng công nghệ thông tin sử dụng dịch vụ điện toán đám mây Việc triển khai nội dung tài liệu hướng dẫn phải đảm bảo tuân thủ quy định pháp luật ngân sách nhà nước, pháp luật đấu thầu, pháp luật đầu tư cơng quy định có liên quan b) Đối tượng áp dụng: - Cơ quan nhà nước cấp Trung ương địa phương sử dụng dịch vụ điện toán đám mây doanh nghiệp hoạt động ứng dụng cơng nghệ thơng tin - Các doanh nghiệp cung cấp dịch vụ điện toán đám mây để tham khảo, xây dựng dịch vụ điện toán đám mây cung cấp cho quan nhà nước đáp ứng nhu cầu sử dụng 4 Khái niệm Trong phạm vi văn này, từ ngữ hiểu sau: - Điện toán đám mây: Là mơ hình cung cấp, truy nhập sử dụng tài nguyên công nghệ thông tin tổ chức, doanh nghiệp hình thức dịch vụ cơng nghệ thơng tin cách nhanh chóng điều chỉnh theo nhu cầu trình sử dụng dịch vụ - Phần mềm dạng dịch vụ (SaaS): Là mơ hình cho phép người dùng sử dụng trực tiếp ứng dụng tảng đám mây qua môi trường mạng Nhà cung cấp dịch vụ cung cấp cho quan, tổ chức, cá nhân sản phẩm phần mềm ứng dụng hoàn chỉnh dạng dịch vụ với dịch vụ vận hành, trì, quản lý kèm theo - Nền tảng dạng dịch vụ (PaaS): Là mơ hình cung cấp cơng cụ, tảng, phần mềm lớp giữa, công cụ hỗ trợ quản lý liệu, môi trường phát triển phần mềm để phát triển triển khai ứng dụng bao gồm hạ tầng vận hành phần mềm tảng Mơ hình cho phép quan, tổ chức khơng cần trực tiếp quản lý sở hạ tầng kỹ thuật công nghệ thông tin tổ chức mà tập trung vào công tác xây dựng, phát triển, quản lý ứng dụng triển khai tảng nhà cung cấp dịch vụ - Cơ sở hạ tầng dạng dịch vụ (IaaS): Là mơ hình mà nhà cung cấp dịch vụ thực cấp phát thành phần hạ tầng kỹ thuật công nghệ thông tin như: trung tâm liệu, máy chủ, lưu trữ, mạng, an ninh bảo mật, hệ điều hành dạng dịch vụ cho người sử dụng triển khai hệ thống thơng tin hạ tầng - Mơ hình đám mây cơng cộng (Public Cloud): Là mơ hình mà dịch vụ tảng điện tốn đám mây nhà cung cấp dịch vụ cung cấp cho cá nhân, quan, tổ chức thuê sở tài nguyên dùng chung Các dịch vụ tồn ngồi mơi trường cơng nghệ thơng tin nội quan, tổ chức nhà cung cấp dịch vụ đám mây quản lý, vận hành - Mơ hình đám mây riêng (Private Cloud): Là mơ hình mà dịch vụ điện toán đám mây cung cấp, triển khai phục vụ nhu cầu nội quan, tổ chức cụ thể Theo đó, hệ thống đặt trung tâm liệu khách hàng nhà cung cấp dịch vụ Hệ thống quản lý khách hàng nhà cung cấp bên thứ ba (tùy theo điều kiện, thỏa thuận bên) - Mơ hình đám mây cộng đồng (Community Cloud): Là mơ hình đám mây chia sẻ, sử dụng chung nhiều tổ chức người dùng thuộc cộng đồng có chung mục đích, đặc điểm chung - Mơ hình đám mây lai (Hybrid Cloud): Là kết hợp mơ hình điện tốn đám mây khác để cải thiện tính linh hoạt khả mở rộng nhằm đáp ứng nhu cầu hoạt động quan, tổ chức Các đám mây hoạt động độc lập với giao tiếp thơng qua kết nối mã hóa để truyền tải liệu ứng dụng - Dịch vụ điện tốn đám mây: dịch vụ cơng nghệ thơng tin triển khai theo mơ hình điện tốn đám mây có đặc trưng trình bày mục I.5 tài liệu này) Đặc trưng dịch vụ điện toán đám mây Điện toán đám mây mơ hình cung cấp truy nhập, sử dụng nhanh chóng theo yêu cầu tài nguyên cơng nghệ thơng tin điều chỉnh được chia sẻ nhà cung cấp dịch vụ với yêu cầu lực tối thiểu quản lý vận hành Về bản, điện tốn đám mây mơ hình cung cấp dịch vụ từ nguồn cung ứng, quản lý phân phối tài nguyên công nghệ thông tin cho khách hàng sử dụng dạng thuê dịch vụ cơng nghệ thơng tin Dịch vụ điện tốn đám mây xác định phải có yếu tố: - Tự phục vụ cung cấp theo yêu cầu (On-demand self-service): Khách hàng tự quản lý dịch vụ mà khơng cần trợ giúp nhà cung cấp dịch vụ; dịch vụ cung cấp theo yêu cầu - Truy cập qua mạng (Broad network access): Khách hàng truy cập sử dụng dịch vụ qua mạng với thời gian, thiết bị - Chia sẻ tài nguyên (Resource pooling): Các dịch vụ chạy trung tâm liệu sử dụng hạ tầng chia sẻ với nhiều khách hàng khác để tối đa hóa hiệu sử dụng tài nguyên công nghệ thông tin - Điều chỉnh nhanh quy mô (Rapid elasticity or expansion): Tài nguyên nhanh chóng điều chỉnh mở rộng thu hẹp để đáp ứng nhu cầu khách hàng - Đo lường dịch vụ (Measured service): Việc sử dụng tài nguyên đo lường, kiểm soát báo cáo cho khách hàng nhà cung cấp dịch vụ Giá thành thuê sử dụng dịch vụ xác định sở thông số đo lường dịch vụ Trong tài liệu này, loại hình dịch vụ cơng nghệ thơng tin khơng có yếu tố không xác định dịch vụ điện tốn đám mây Việc sử dụng mơ hình điện toán đám mây giúp quan, tổ chức chuyển dịch từ việc tự xây dựng, sở hữu sang thuê dịch vụ điện toán đám mây nhà cung cấp thị trường Văn liên quan - Nghị định số 73/2019/NĐ-CP ngày 05/09/2019 Chính phủ quy định quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước văn hướng dẫn; - Văn số 1145/BTTTT-CATTT ngày 3/4/2020 Bộ Thông tin Truyền thơng hướng dẫn tiêu chí, tiêu kỹ thuật để đánh giá lựa chọn giải pháp tảng điện tốn đám mây phục vụ Chính phủ điện tử/Chính quyền điện tử II XÁC ĐỊNH HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN PHÙ HỢP ĐỂ ỨNG DỤNG DỊCH VỤ ĐIỆN TOÁN ĐÁM MÂY Lựa chọn thuê dịch vụ điện toán đám mây đầu tư xây dựng hệ thống thông tin riêng quan nhà nước Để định triển khai lựa chọn thuê dịch vụ điện toán đám mây, quan nhà nước cần nhận thức khác việc thuê dịch vụ điện toán đám mây với việc đầu tư xây dựng hệ thống thơng tin riêng sau: Đặc điểm Phần mềm Đầu tư, xây dựng, vận hành, sở hữu Mua quyền phần mềm (không bao gồm tài liệu thiết kế mã nguồn) mua giải pháp (bao gồm tài liệu thiết kế mã nguồn) tự xây dựng phần mềm nội để sử dụng Thuê dịch vụ điện toán đám mây Đăng ký dịch vụ từ nhà cung cấp dịch vụ để truy cập sử dụng dịch vụ Khách hàng mua quyền sử dụng phần mềm riêng mà cần chi trả để sử dụng dịch vụ theo nhu cầu Tự cài đặt phần mềm để vận thời điểm hành Thay đổi chức Có thể tùy chỉnh, sửa đổi năng, mục đích ứng dụng để đáp ứng u cầu riêng sử dụng Chỉ cấu hình dịch vụ để đáp ứng yêu cầu theo thông số phép lựa chọn hỗ trợ có sẵn nhà cung cấp dịch vụ cung cấp đồng cho nhiều khách hàng khác Việc thay đổi, bổ sung tính (nếu có) phụ thuộc vào lộ trình phát triển dịch vụ cam kết nhà cung cấp dịch vụ Hạ tầng Sử dụng hạ tầng sẵn có Mua sắm, triển khai vận nhà cung cấp dịch vụ, nhà hành, bảo dưỡng, ứng cứu cung cấp dịch vụ bảo đảm việc xử lý cố hạ tầng kỹ vận hành, bảo dưỡng, ứng cứu thuật xử lý cố hạ tầng kỹ thuật Nhân lực Chuẩn bị nhân lực để hỗ trợ người sử dụng cuối, trì nâng cấp ứng dụng Chi phí - Đầu tư lần mua phần cứng, phần mềm để triển khai giải pháp ứng dụng công nghệ thông tin (xây dựng, kiểm thử, triển khai, tích hợp) Chuẩn bị nhân lực để hỗ trợ người sử dụng cuối, cấu hình dịch vụ ứng dụng Nhà cung cấp dịch vụ trì nâng cấp dịch vụ - Đầu tư lần để khởi tạo, triển khai giải pháp ứng dụng công nghệ thông tin (cấu hình, triển khai, tích hợp) ban đầu - Tiếp tục đầu tư để bảo trì - Chi trả chi phí tính nâng cấp tương lai tài nguyên sử dụng thời gian sử dụng - Chi trả chi phí trì, vận hành hệ thống Quản lý liệu Dữ liệu quan nhà nước quản lý quan nhà nước sở hạ tầng quan nhà nước đặt trụ sở quan nhà nước Dữ liệu quan nhà nước quản lý nhà cung cấp dịch vụ điện toán đám mây sở hạ tầng nhà cung cấp dịch vụ Xác định loại hình điện tốn đám mây sử dụng cho quan nhà nước Căn vào nhu cầu thực tế, quan nhà nước phải xác định loại điện toán đám mây cần sử dụng đặc điểm sau: - Dịch vụ cần thuê: Cơ quan nhà nước cần xác định dịch vụ cần thuê nhà cung cấp dịch vụ theo loại hình sau: + Thuê dịch vụ phần mềm (SaaS) để cung cấp trực tiếp dịch vụ ứng dụng cho người dùng cuối Cơ quan nhà nước sử dụng phần mềm triển khai cung cấp qua mạng + Thuê dịch vụ tảng (PaaS) để đảm bảo sẵn sàng phần cứng, phần mềm hệ thống, phần mềm tảng, phần mềm lớp giữa, công cụ hỗ trợ phục vụ xây dựng, triển khai ứng dụng quan nhà nước Cơ quan nhà nước phải triển khai xây dựng ứng dụng, triển khai xây dựng, vận hành hạ tầng công nghệ thông tin, phần mềm lõi, tảng + Thuê dịch vụ hạ tầng (IaaS) để đảm bảo sẵn sàng phần cứng, phần mềm hệ thống phục vụ triển khai công cụ, phần mềm tảng, phần mềm lớp xây dựng, phát triển, triển khai phần mềm ứng dụng theo nhu cầu Cơ quan nhà nước phải triển khai xây dựng, mua sắm phần mềm tảng, phần mềm lõi, phần mềm ứng dụng, xây dựng, vận hành sở hạ tầng vật lý - Hình thức thuê: Căn vào yêu cầu bảo mật yêu cầu khác, quan nhà nước xác định lựa chọn loại hình thuê dịch vụ bao gồm: + Sử dụng đám mây riêng cho quan nhà nước: đề nghị nhà cung cấp dịch vụ điện toán đám mây triển khai riêng đám mây cho quan nhà nước thuê để sử dụng + Sử dụng đám mây công cộng: quan nhà nước thuê dịch vụ nhà cung cấp dịch vụ sở cân nhắc chấp nhận khả chia sẻ tài nguyên, sử dụng chung tài nguyên nhà cung cấp dịch vụ với khách hàng + Sử dụng đám mây chung: dịch vụ nhà cung cấp dịch vụ điện toán đám mây cung cấp số hữu hạn quan, tổ chức, cá nhân đáp ứng tiêu chí đặt ra; quan nhà nước thuê dịch vụ chấp nhận chia sẻ tài nguyên với quan, tổ chức, cá nhân sau cân nhắc tiêu chí, nhóm khách hàng + Sử dụng đám mây lai: phần triển khai hạ tầng dùng riêng cho quan nhà nước phần dịch vụ từ nhà cung cấp dịch vụ tùy theo yêu cầu bảo mật liệu lưu trữ kết hợp loại hình điện tốn đám mây riêng đám mây cơng cộng Lợi ích rủi ro biện pháp hạn chế rủi ro ứng dụng điện tốn đám mây Trong q trình triển khai ứng dụng điện toán đám mây, quan nhà nước phải đánh giá lợi ích rủi ro ứng dụng điện toán đám mây bối cảnh thực tế để có lựa chọn phù hợp Việc đánh giá lợi ích, rủi ro thực trình triển khai thủ tục đầu tư ứng dụng công nghệ thông tin Các lợi ích rủi ro bao gồm: Lợi ích: - Gia tăng khả đáp ứng tài nguyên công nghệ thông tin với yêu cầu nghiệp vụ thực tế, đặc biệt nghiệp vụ có tính ngắn hạn thường xuyên thay đổi - Tối ưu chi phí ứng dụng cơng nghệ thơng tin trả sở tài nguyên sử dụng - Nhanh chóng đáp ứng nhu cầu cần thiết xuất yêu cầu - Giải tình hình nguồn nhân lực công nghệ thông tin quan nhà nước hạn chế Các quan nhà nước tập trung vào công việc chuyên môn nghiệp vụ theo quy định pháp luật - Các quan nhà nước nhanh chóng tiếp cận với cơng nghệ - Thúc đẩy doanh nghiệp nghiên cứu, cải tiến tham gia vào giải công việc quan nhà nước - Giảm thiểu rủi ro ứng dụng công nghệ thông tin quan nhà nước dịch vụ quản lý nhà cung cấp dịch vụ chuyên nghiệp, tập trung - Hạn chế rủi ro tăng cường khả thích ứng với cố, khôi phục hoạt động nhanh chóng sau cố vận hành hệ thống trung tâm 10 liệu nhà cung cấp dịch vụ có mức độ tiêu chuẩn cao hơn, lưu trữ lưu nhiều trung tâm liệu vị trí khác Rủi ro: - Khả vi phạm quy định bảo vệ thông tin cá nhân - Không đủ biện pháp để đảm bảo an toàn liệu quản lý nhân quan nhà nước - Chưa đủ văn quy định, hướng dẫn để hỗ trợ thực thuê dịch vụ điện toán đám mây so với hình thức đầu tư xây dựng hệ thống - Nhà cung cấp dịch vụ điện toán đám mây tận dụng, khai thác, sử dụng liệu quan nhà nước vào mục đích kinh doanh - Cơ quan nhà nước quyền kiểm soát liệu, liệu bị lộ, lọt nhà cung cấp dịch vụ thứ ba (nhà thầu thứ cấp) - Có khả hạn chế linh hoạt thay đổi dịch vụ để đáp ứng nhu cầu dịch vụ chuẩn hóa cung cấp cho nhiều khách hàng khác nhau, khả tùy biến riêng cho khách hàng tùy thuộc vào lộ trình phát triển dịch vụ cam kết nhà cung cấp dịch vụ - Cơ quan nhà nước bị phụ thuộc vào nhà cung cấp dịch vụ Lưu ý: Các nguy lớn hay nhỏ tùy thuộc vào mức độ trưởng thành, mức độ chuẩn hóa dịch vụ, mức độ chuyên nghiệp nhà cung cấp dịch vụ Để hạn chế rủi ro gia tăng lợi ích ứng dụng điện toán đám mây, quan nhà nước đánh giá lựa chọn cần ý điểm sau: - Cơ quan nhà nước sử dụng dịch vụ phải có quy định rõ ràng vai trò trách nhiệm tuân thủ quy định bảo vệ an tồn, an ninh thơng tin liệu lưu trữ xử lý dịch vụ nhà cung cấp dịch vụ Yêu cầu nhà cung cấp dịch vụ tuân thủ - Cần xây dựng rõ yêu cầu chất lượng dịch vụ để làm sở tìm kiếm doanh nghiệp cung cấp đảm bảo tiêu chí người/nhân lực, hạ tầng Cloud, trung tâm liệu theo tiêu chuẩn quy định, phần mềm hợp pháp, khả đảm bảo an tồn thơng tin - Quản lý chặt chẽ liệu lưu trữ xử lý đám mây nhà cung cấp dịch vụ Xây dựng quy chế xử lý ứng cứu cố an tồn thơng tin 11 - Thỏa thuận chặt chẽ hợp đồng cung cấp dịch vụ điện toán đám mây điều khoản bảo vệ thông tin, điều khoản phạt vi phạm, ngăn chặn việc sử dụng liệu sai mục đích - Phải có phương án dự phòng rủi ro liệu - Yêu cầu nhà cung cấp dịch vụ cung cấp báo cáo, đánh giá, kiểm thử chất lượng, bảo mật bên thứ ba độc lập phù hợp với tiêu chuẩn quốc tế (nếu có) Vì vậy, trước triển khai thuê dịch vụ điện toán đám mây, quan nhà nước cần đánh giá lợi ích rủi ro việc lựa chọn hình thức sử dụng trường hợp cụ thể để lựa chọn phương án phù hợp Lựa chọn sử dụng dịch vụ điện toán đám mây phục vụ hoạt động quan nhà nước Việc lựa chọn dịch vụ điện toán đám mây để ứng dụng quan nhà nước ưu tiên phục vụ số hoạt động sau: - Các hoạt động nghiệp vụ chuẩn hóa: xây dựng quy trình ISO; có quy định cụ thể qua văn quy phạm pháp luật, hoạt động thống thay đổi, biến động - Các hoạt động quản lý liệu khơng thuộc bí mật nhà nước; hạn chế chứa thơng tin cá nhân, liệu quyền, sáng chế; quản lý liệu mang lại khả rủi ro thấp bị lộ lọt, an toàn an ninh - Các hoạt động hỗ trợ tin học hóa dịch vụ thơng dụng, có tính cạnh tranh cao thị trường - Các hoạt động quản lý thơng tin quan trọng khơng có u cầu cao tính tồn vẹn liệu để giảm thiểu rủi ro đảm bảo tính xác hoạt động nghiệp vụ quản lý nhà nước - Các ứng dụng (phục vụ tin học hóa nghiệp vụ) có tính độc lập cao, u cầu hạn chế tính liên thơng, tích hợp với ứng dụng khác quan nhà nước triển khai - Các hoạt động đòi hỏi lực xử lý biến động cao, có tính thời vụ huy động quan nhà nước cần sử dụng thời gian ngắn - Các hoạt động xử lý di động, phạm vi trụ sở quan nhà nước để thuận tiện cho việc lưu trữ liệu mạng Internet sử dụng từ xa 12 - Các hoạt động cần tin học hóa nguồn nhân lực quan nhà nước hạn chế không đáp ứng yêu cầu để thực xây dựng, vận hành hệ thống - Các dịch vụ hạng mục cấu thành hệ thống thông tin thuê máy chủ, dịch vụ hosting, dịch vụ lưu trữ, ứng dụng phổ thơng đáp ứng u cầu an tồn, bảo mật xác định có chi phí, lợi ích tốt phương án đầu tư Ngoài nội dung ưu tiên trên, trường hợp cần thiết, quan nhà nước có chủ trương sử dụng điện tốn đám mây lấy thêm ý kiến Cục Tin học hóa, Bộ Thơng tin Truyền thơng để định lựa chọn phương án triển khai III HOẠT ĐỘNG ĐÁNH GIÁ, LỰA CHỌN, QUẢN LÝ DỊCH VỤ ĐIỆN TỐN ĐÁM MÂY Nội dung, tiêu chí đánh giá lựa chọn dịch vụ điện toán đám mây yếu tố cần cân nhắc, đánh giá sử dụng dịch vụ Trong trình xem xét, lựa chọn thuê dịch vụ điện toán đám mây, quan nhà nước cần thực đánh giá dịch vụ đáp ứng yêu cầu để làm sở xác định phương án triển khai Các nội dung đánh giá, lựa chọn bao gồm: a) Chi phí lợi ích - Để tránh chi phí phát sinh, tổng chi phí để sử dụng dịch vụ điện toán đám mây cần xác định bao gồm: chi phí đăng ký sử dụng dịch vụ, trì dịch vụ; chi phí chuyển liệu có lên hệ thống mới; chi phí tích hợp hệ thống có với hệ thống dịch vụ điện tốn đám mây; chi phí nâng cấp hệ thống, lưu hệ thống; chi phí thiết lập mạng, thuê đường truyền để sử dụng dịch vụ; chi phí trì liên lạc kết nối với nhà cung cấp dịch vụ, chi phí giám sát, bảo dưỡng dịch vụ đặc thù chi phí phát sinh khác - So sánh chi phí sử dụng dịch vụ điện toán đám mây với đầu tư, xây dựng, vận hành hệ thống để xác định phương án thuê dịch vụ với phương án đầy tư xây dựng, vận hành Chi phí so sánh cần tính tổng tồn chi phí phát sinh suốt q trình sử dụng dịch vụ - So sánh lợi ích sử dụng dịch vụ điện toán đám mây với rủi ro phát sinh bao gồm định lượng định tính, khả phát sinh rủi ro; dự trù trường hợp xấu 13 phát sinh rủi ro để so sánh với giải pháp đầu tư xây dựng, vận hành hệ thống b) Yêu cầu chất lượng dịch vụ - Chỉ tiêu đánh giá chất lượng dịch vụ phương pháp đo lường, giám sát chất lượng dịch vụ cung cấp bao gồm: + Tính khả dụng: thời gian dịch vụ cung cấp cho người sử dụng; thời gian gián đoạn tối đa dịch vụ ngừng hoạt động chấp nhận + Hiệu suất: Thông số cung cấp dịch vụ bao gồm cấu hình kỹ thuật nhà cung cấp dịch vụ phần cứng; thời gian tối đa phản hồi thao tác người sử dụng phần mềm (ví dụ: thời gian trễ tối đa hoàn thành tác vụ người sử dụng kích hoạt chức giao diện phần mềm) + Hỗ trợ: Thời gian tối đa hỗ trợ người sử dụng chỗ qua phương tiện điện thoại, email phương thức hỗ trợ từ xa khác nhà cung cấp dịch vụ + Công suất: Khả mở rộng, khả đáp ứng dịch vụ nhu cầu người sử dụng gia tăng Ví dụ dịch vụ cung cấp hệ thống mở rộng theo thời gian hệ thống cung cấp yêu cầu gia tăng lực đột biết thời điểm (hệ thống tra cứu điểm thi đại học có nhu cầu gia tăng thời điểm mùa tuyển sinh) + Khắc phục cố: Thời gian phục hồi cố phối hợp khắc phục cố - Các tiêu chất lượng dịch vụ thuê dịch vụ điện toán đám mây cần đánh giá yêu cầu phù hợp với yêu cầu thực tế quan sử dụng Không đặt yêu cầu cao làm gia tăng chi phí thuê dịch vụ điện toán đám mây, hạn chế nhà cung cấp dịch vụ không thấp ảnh hưởng tới chất lượng dịch vụ sử dụng - Các phương án, giải pháp xử lý, giải nhà cung cấp dịch vụ điện tốn đám mây khơng đáp ứng chất lượng cung cấp dịch vụ bao gồm phương án phạt phương án thay dịch vụ cung cấp không tuân thủ quy định c) Bảo đảm an tồn thơng tin - Xem xét đánh giá yêu cầu mức độ bảo mật liệu lưu trữ dịch vụ điện toán đám mây Cần phân lớp loại liệu với yêu cầu mức độ bảo mật khác để nhà cung cấp dịch vụ có phương án đáp ứng 14 - Rà sốt chế kiểm sốt, bảo đảm an tồn liệu, chứng chỉ, tiêu chuẩn bảo mật đám mây nhà cung cấp dịch vụ đề xuất chế kiểm soát cung cấp dịch vụ bao gồm: kiểm sốt hành (cơ chế, quy trình nội nhà cung cấp dịch vụ); kiểm soát công nghệ (các phương tiện kỹ thuật công nghệ phục vụ đảm bảo an tồn, an ninh) kiểm sốt theo hợp đồng cung cấp dịch vụ (trách nhiệm nhà cung cấp dịch vụ việc đảm bảo an tồn thơng tin theo hợp đồng cung cấp dịch vụ) - Xác định rõ trách nhiệm đơn vị, cá nhân liên quan việc quản lý, kiểm soát, kiểm tra liệu lưu trữ đám mây nhà cung cấp dịch vụ đảm bảo tuân thủ sách nội quan nhà nước quy định pháp luật Việc phối hợp xử lý, kiểm sốt liệu đảm bảo an tồn thơng tin xác định để đưa vào danh sách điều khoản cung cấp dịch vụ điện toán đám mây; trách nhiệm nhà cung cấp dịch vụ việc bảo mật thơng tin; chống thất thốt, lộ lọt thông tin, liệu quan nhà nước - Kiểm sốt vị trí trung tâm liệu triển khai điện toán đám mây: Trung tâm liệu triển khai điện toán đám mây thuộc nhà cung cấp dịch vụ hay thuộc bên thứ ba, vị trí trung tâm liệu (trong nước, nước) để đảm bảo tuân thủ quy định pháp luật có phương án kiểm soát cố xảy Đối với dịch vụ có xử lý liệu thơng tin cá nhân, liệu quan nhà nước tạo sử dụng dịch vụ điện toán đám mây phải lưu trữ Việt Nam theo quy định Luật An ninh mạng d) Thực thuê dịch vụ Cơ quan nhà nước cần thực lựa chọn nhà cung cấp dịch vụ điện toán đám mây đáp ứng yêu cầu Thực thuê dịch vụ đảm bảo tuân thủ quy định có liên quan Xem xét việc lựa chọn nhà cung cấp dịch vụ sở: - Sự ổn định tài nhà cung cấp dịch vụ để đảm bảo khả trì ổn định dịch vụ cung cấp - Lịch sử tuân thủ quy định, sách pháp luật, tuân thủ hợp đồng cung cấp dịch vụ cam kết khác khách hàng - Cam kết hỗ trợ lâu dài dịch vụ cung cấp - Sự trưởng thành, ổn định dịch vụ cung cấp - Sự phù hợp, tương thích thơng số dịch vụ điện tốn đám mây với sở hạ tầng có quan nhà nước nhằm đảm bảo khả làm chủ dịch vụ 15 chuẩn bị phương án thay dự phịng trường hợp dịch vụ khơng nhà cung cấp dịch vụ tiếp tục trì đ) Điều khoản cung cấp dịch vụ Các nội dung sau cần xem xét trình đàm phán, xây dựng hợp đồng cung cấp dịch vụ điện toán đám mây bao gồm: - Thời hạn cung cấp sử dụng dịch vụ điện toán đám mây - Quyền quan sử dụng, truy cập để sử dụng dịch vụ - Quyền sử dụng sản phẩm sở hữu trí tuệ, quyền liên quan trực tiếp đến dịch vụ điện toán đám mây cung cấp; trách nhiệm nhà cung cấp dịch vụ điện toán đám mây quyền cung cấp cho người sử dụng - Các sách, quy định cần tuân thủ - Quyền, trách nhiệm nhà cung cấp dịch vụ cần tuân thủ liên quan đến việc sử dụng nhà cung cấp dịch vụ thứ cấp - Quyền trách nhiệm liên quan đến chấm dứt sử dụng dịch vụ bên - Trách nhiệm nhà cung cấp dịch vụ việc hỗ trợ quan nhà nước chuyển liệu để sử dụng dịch vụ chuyển đổi sang nhà cung cấp dịch vụ khác hết hợp đồng - Các hạn chế liên quan đến địa điểm lưu trữ liệu, phương tiện truyền đưa liệu mạng - Phương án xử lý có vi phạm an tồn thông tin như: làm mất, lộ, lọt, sử dụng liệu quan nhà nước e) Nhân lực trì sử dụng dịch vụ Cơ quan sử dụng dịch vụ điện tốn đám mây cần có phương án nhân lực để phục vụ hoạt động sau: - Đầu mối liên lạc với nhà cung cấp dịch vụ để đảm bảo dịch vụ ổn định liên tục - Quản lý chức năng, chất lượng dịch vụ cung cấp theo yêu cầu cung cấp dịch vụ; đánh giá mức độ sử dụng dịch vụ có phương án điều chỉnh cần thiết; định kỳ đánh giá, kiểm tra tuân thủ quy định cung cấp dịch vụ - Quản trị vận hành dịch vụ không thuộc phạm vi nhà cung cấp dịch vụ thực (self service) 16 - Nhận lực phục vụ thực chức quản lý nhà nước cơng tác kiểm tra, đánh giá an tồn, an ninh thông tin hệ thống h) Hạ tầng thiết yếu Cơ quan sử dụng dịch vụ cần đánh giá xem xét hạ tầng có để phù hợp với dịch vụ điện toán đám mây bao gồm: - Hiện trạng lực kết nối mạng từ người sử dụng đến nhà cung cấp dịch vụ điện toán đám mây đáp ứng yêu cầu sử dụng - Khả tích hợp hệ thống dùng chung bao gồm hệ thống quản lý tài khoản dùng chung, đăng nhập lần; tảng kết nối chia sẻ liệu địa phương (LGSP) hệ thống dùng chung khác (nếu có) - Phối hợp với nhà cung cấp dịch vụ đảm bảo an toàn, an ninh cho mạng nội trình kết nối, sử dụng dịch vụ điện toán đám mây Các tiêu chí kỹ thuật an tồn thơng tin để đánh giá lựa chọn thực theo hướng dẫn Bộ Thông tin Truyền thông văn số 1145/BTTTTCATTT ngày 3/4/2020 Quy trình triển khai ứng dụng điện tốn đám mây Q trình triển khai ứng dụng điện toán đám mây thực qua nhiều giai đoạn tiếp cận xây dựng giải pháp ứng dụng, lựa chọn dịch vụ kết thúc sử dụng dịch vụ Quy trình áp dụng thực sau: Xác định nhu cầu, yêu cầu Khảo sát, đánh giá, xác định phương án Lựa chọn, ký hợp đồng triển khai dịch vụ Quản lý, đánh giá trì hoạt động Kết thúc sử dụng dịch vụ Nội dung chi tiết giai đoạn thực sau: 2.1 Đánh giá xác định nhu cầu, yêu cầu Căn chủ trương, định hướng ứng dụng công nghệ thông tin quan nhà nước, quan, đơn vị xác định yêu cầu, quy trình nghiệp vụ cần tin học hóa, xem xét khả năng, giải pháp, dịch vụ công nghệ tiềm để hỗ trợ nghiệp vụ cho quan nhà nước Các nội dung đánh giá xác định nhu cầu, yêu cầu bao gồm: 17 - Đánh giá sơ lợi ích việc ứng dụng công nghệ thông tin để tin học hóa nghiệp vụ, mức độ sẵn sàng lợi ích dịch vụ điện tốn đám mây giải yêu cầu nghiệp vụ quan nhà nước Các lợi ích thuê dịch vụ điện toán đám mây mang lại - Rà soát sơ yêu cầu chức dịch vụ thuê cung cấp; sẵn sàng dịch vụ điện tốn đám mây có thị trường đáp ứng yêu cầu - Rà soát xác định sơ yêu cầu phi chức dịch vụ khả đáp ứng yêu cầu phi chức dịch vụ - Các yêu cầu lưu trữ, xử lý, cung cấp thông tin 2.2 Khảo sát đánh giá trước lựa chọn phương án sử dụng điện toán đám mây Mục tiêu: Phân tích lựa chọn phương án thuê dịch vụ điện toán đám mây đầu tư xây dựng, sở hữu Thời gian thực hiện: Thực giai đoạn lập kế hoạch giai đoạn chuẩn bị đầu tư dự án Các hoạt động cần thực hiện: - Đánh giá xác định phạm vi tin học hóa ứng dụng công nghệ thông tin quan nhà nước, yêu cầu mà giải pháp ứng dụng công nghệ thông tin phải đáp ứng - Đánh giá khả ứng dụng giải pháp điện tốn đám mây có phù hợp với nội dung ứng dụng công nghệ thông tin xác định - Đánh giá sơ lợi ích việc thuê dịch vụ điện toán đám mây - Đánh giá mức độ nhạy cảm thông tin quản lý yêu cầu quan nhà nước liệu lưu trữ xử lý - Đánh giá yêu cầu quan nhà nước sử dụng dịch vụ điện toán đám mây phải đáp ứng để sử dụng dịch vụ - Đánh giá yêu cầu cần thiết nhà cung cấp dịch vụ điện toán đám mây để triển khai cung cấp dịch vụ, tích hợp dịch vụ với hệ thống có quan nhà nước - Đánh giá kế hoạch bố trí ngân sách phục vụ triển khai ứng dụng cơng nghệ thông tin 18 - Đánh giá điều khoản, điều kiện, tiêu chuẩn, hợp đồng cung cấp dịch vụ mẫu (nếu có) để đảm bảo tuân thủ quy định pháp luật, xác định nội dung cần điều chỉnh, bổ sung cần thiết - Nghiên cứu sơ thị trường cung cấp dịch vụ phù hợp với yêu cầu - Chuẩn bị tài liệu thuê dịch vụ cần thiết Kết quả: Kết giai đoạn đánh giá thuộc trường hợp sau: - Không lựa chọn phương án thuê dịch vụ điện toán đám mây Thực đầu tư xây dựng hệ thống quản lý vận hành thỏa mãn tiêu chí sau: + Giải pháp sử dụng điện tốn đám mây khơng phù hợp với u cầu nghiệp vụ ứng dụng công nghệ thông tin + Chi phí thuê dịch vụ lớn tổng chi phí đầu tư sở hữu hệ thống bao gồm chi phí vận hành, nhân lực chi phí khác cho hạng mục cơng việc tương đương với phạm vi thuê dịch vụ + Dịch vụ điện toán dám mây không đáp ứng yêu cầu liệu xử lý, lưu trữ + Không đảm bảo an tồn, an ninh thơng tin th dịch vụ điện toán đám mây - Điện toán đám mây lựa chọn thay thế, cân nhắc lựa chọn tương đương với phương án đầu tư xây dựng hệ thống Trường hợp xác định có yếu tố sau: + Phương án thuê dịch vụ điện toán đám mây đáp ứng yêu cầu tương đương với phương án đầu tư sở hữu riêng hệ thống quan nhà nước + Trường hợp nội dung đánh giá chưa làm rõ chưa đầy đủ, thực làm rõ giai đoạn - Lựa chọn thuê dịch vụ điện toán đám mây, đáp ứng tất yếu tố sau: + Phương án sử dụng dịch vụ phù hợp với định hướng ứng dụng cơng nghệ thơng tin phục vụ tin học hóa nghiệp vụ theo yêu cầu 19 + Chi phí thuê dịch vụ thấp tổng chi phí đầu tư sở hữu riêng hệ thống bao gồm chi phí vận hành, trì chi phí khác phát sinh suốt thời gian sử dụng + Các yêu cầu bảo đảm an toàn, an ninh liệu tiêu chí khác thỏa mãn 2.3 Lựa chọn ký hợp đồng dịch vụ điện toán đám mây Mục tiêu: Lựa chọn sử dụng dịch vụ điện toán đám mây đáp ứng yêu cầu; lập kế hoạch triển khai sử dụng dịch vụ điện toán đám mây sử dụng, quản lý dịch vụ điện toán đám mây Thời gian thực hiện: Trong giai đoạn triển khai dự án bao gồm: đấu thầu đàm phán cung cấp dịch vụ; kế hoạch triển khai cung cấp dịch vụ (thiết lập, triển khai, đào tạo, vận hành) Các hoạt động: Trên sở đề xuất nhà cung cấp dịch vụ điện toán đám mây, thực nội dung đánh giá sau trước thực ký kết hợp đồng thuê dịch vụ điện toán đám mây: - Cập nhật đánh giá chi phí sử dụng dịch vụ điện tốn đám mây với phương án đầu tư xây dựng, sở hữu, vận hành - Đánh giá khả đáp ứng yêu cầu bảo mật nhà cung cấp dịch vụ, khả tuân thủ yêu cầu sở đề xuất nhà cung cấp dịch vụ - Xem xét khả phân bổ chi phí phù hợp để thực thuê sử dụng dịch vụ theo thời gian thuê - Rà soát, xác minh biện pháp để thực thi tuân thủ yêu cầu bảo mật, phương án xử lý cố nhà cung cấp dịch vụ - Lập kế hoạch triển khai sử dụng dịch vụ điện toán đám mây quan nhà nước sử dụng dịch vụ bao gồm nhân sự, công việc, điều phối hỗ trợ - Sửa đổi, thiết lập, cấu hình để dịch vụ điện tốn đám mây kết nối, liên thơng, tích hợp với hệ thống thơng tin hoạt động quan nhà nước - Chuyển đổi liệu lên đám mây để sẵn sàng cho sử dụng dịch vụ (nếu có) Kết quả: Lựa chọn nhà cung cấp dịch vụ điện toán đám mây, ký hợp đồng cung cấp dịch vụ sở nhắc đạt tiêu chí sau: 20 - Tổng chi phí th dịch vụ điện tốn đám mây thấp tổng chi phí đầu tư, xây dựng, vận hành, trì - Các điều kiện an tồn, bảo mật đáp ứng rà soát, xác thực thực tế đáp ứng yêu cầu - Giải pháp điện toán đám mây tuân thủ quy định pháp luật, tương thích với tiêu chuẩn, quy chuẩn ứng dụng công nghệ thông tin quan nhà nước, sẵn sàng tích hợp vận hành - Khả phân bố trí kinh phí phù hợp để chi trả cho nhà cung cấp dịch vụ - Khả tích hợp vào hệ thống quan nhà nước sẵn sàng (trong trường hợp cần thiết) 2.4 Quản lý, đánh giá trì hoạt động dịch vụ điện toán đám mây Mục tiêu: Thực công tác kiểm tra, đánh giá việc cung cấp dịch vụ điện toán đám mây nhà cung cấp dịch vụ để đảm bảo tuân thủ quy định hợp đồng thuê dịch vụ quy định pháp luật có liên quan Thời gian thực hiện: Cơ quan chuyên trách công nghệ thông tin bộ, ngành, địa phương phối hợp với quan thuê dịch vụ thực đánh giá theo định kỳ suốt trình thuê dịch vụ Các hoạt động: - Xem xét, rà soát, đánh giá báo cáo tổng hợp, nhật ký hoạt động cung cấp dịch vụ quản lý nhà cung cấp dịch vụ, tổ chức họp bên có liên quan để giải vấn đề phát sinh - Thực việc kiểm tra việc cung cấp dịch vụ đảm bảo tuân thủ điều khoản hợp đồng cung cấp dịch vụ, quy định pháp luật có liên quan bao gồm: kiểm sốt việc bảo vệ an tồn liệu, khả lộ lọt thông tin, vi phạm bảo vệ thông tin cá nhân, hiệu suất cung cấp dịch vụ, nội dung liên quan khác - Nhà cung cấp dịch vụ điện tốn đám mây có trách nhiệm giải quyết, khắc phục nội dung phát sinh theo kết luận trình kiểm tra, đánh giá Kết quả: Đảm bảo trì chất lượng, tính liên tục việc cung cấp dịch vụ Trong trường hợp vi phạm quy định, quan kiểm tra, đánh giá đề nghị chủ đầu tư kết thúc hợp đồng xử lý theo quy định có liên quan 21 2.5 Giai đoạn hết thời gian thực hợp đồng sử dụng dịch vụ Mục tiêu: Cơ quan nhà nước đánh giá tình hình sử dụng dịch vụ, phương án lựa chọn thay để định tiếp tục thuê dịch vụ Thời gian thực hiện: Trước thời điểm kết thúc hợp đồng sử dụng dịch vụ tháng trở lên Các hoạt động: a) Cơ quan nhà nước thực đánh giá tình hình sử dụng dịch vụ tập trung vào số nội dung sau: - Sự phù hợp dịch vụ sử dụng với nhu cầu quan nhà nước - Hiệu suất, chất lượng cung cấp dịch vụ điện toán đám mây q trình sử dụng - Sự hài lịng người sử dụng dịch vụ cung cấp - Các dịch vụ tương đương nhà cung cấp dịch vụ khác có thời điểm kết thúc hợp đồng sử dụng dịch vụ - Sự phù hợp điều khoản hợp đồng thuê dịch vụ chế, sách bối cảnh mới, điều khoản hợp đồng tối ưu phù hợp hoàn cảnh - Năng lực, nguồn lực quan nhà nước để tự chủ đầu tư vận hành hệ thống tương đương để sử dụng thay b) Căn kết đánh giá, xác định định hướng sau: - Thực thủ tục theo quy định pháp luật nhằm trì, tiếp tục sử dụng dịch vụ - Đàm phán, thương lượng lại điều khoản với nhà cung cấp dịch vụ để phản ánh, cập nhật yêu cầu quan nhà nước - Đấu thầu lại: thực trình đấu thầu lựa chọn nhà cung cấp dịch vụ trường hợp có nhiều nhà cung cấp dịch vụ đáp ứng nhu cầu lựa chọn nhà cung cấp dịch vụ phù hợp - Đầu tư hệ thống thay thế: đầu tư chuyển đổi triển khai theo hình thức nhà nước mua sắm vận hành hệ thống có đủ điều kiện kinh nghiệm ứng dụng phù hợp với yêu cầu 22 - Kết thúc sử dụng dịch vụ: Kết thúc hợp đồng sử dụng dịch vụ trường hợp hoạt động nghiệp vụ cần tin học hóa hồn thành quan nhà nước không cần tiếp tục thuê dịch vụ để sử dụng Chuyển giao tiếp nhận chuyển giao liệu cho quan nhà nước, hủy liệu quan nhà nước nhà cung cấp dịch vụ liệu lưu trữ Kết quả: Phương án lựa chọn thực phương án lựa chọn 23