經濟產業省指南雲服務水平清單版
經濟產業省雲服務水平
清單版本
| No. | 類別 | 服務級別項目示例 | 規程內容 | 對應/ 可否 | 內容 |
|---|---|---|---|---|---|
| 應用程序操作 | |||||
| 1 | 可用性 | 服務中斷時間 | 提供服務的時間,包括對設備、網路等的檢查/維護的計劃停機時間的說明 | ○ | 維護暫停 (計劃暫停) 從上午1時到3時每月約2小時,並且在檢測到重要漏洞時可能會進行臨時維護。 |
| 2 | 計劃關閉計劃通知 | 定期停機的提醒確認,包括提醒的時間和方式 | ○ | 通過支持網頁和電子郵件通知客戶代表。 | |
| 3 | 服務終止通知 | 終止服務時的通知確認,包括通知的時間和方式 | ○ | 記載在服務使用條款中。在服務結束3個月前通知。 | |
| 4 | 處理服務中斷 | 有無程序、係統環境的各種設定數據的寄存等措施 | ○ | 我們始終在保護您的數據,但我們會盡最大努力在服務突然中斷時恢復係統。我們要求客戶負責備份客戶數據。 | |
| 5 | 服務利用率 | 服務可用性 ( (計劃服務時間-停機時間) /計劃服務時間) | 沒有公開。 2025年1月實際利用率100% | ||
| 6 | 災難恢復 | 發生災難時的係統恢復/支持係統 | 不提供無中斷災難恢復。 | ||
| 7 | 嚴重故障的替代方案 | 無法提前恢復的替代措施 | 不提供替代方法。i-Reporter終端(iPad等終端離線也可以輸入數據。) | ||
| 8 | 替代措施提供的數據格式 | 描述替代措施提供的數據格式的定義 | ○ | 客戶數據可通過ConMas Manager、ConMas Designer和API以CSV、XML、PDF或Excel格式下載,由客戶自行負責。 數據由顧客自行負責保管。 | |
| 9 | 升級策略 | 版本升級/變更管理/補丁管理策略 | ○ | 我們每年都會進行幾次產品更新。安全維護在收集漏洞信息後進行評估驗證,並在常規維護日期進行。但是,如果公共機關發出緊急適用的通知,判斷對服務提供有影響時,有時會另行通知後實施。 | |
| 10 | 可靠性 | 平均修復時間 (MTTR) | 從發生故障到完成維修所需的平均時間 (維修時間之和÷故障次數) | 未設置。 | |
| 11 | 恢復時間目標 (RTO) | 為發生故障後恢復服務設置的目標時間 | 未設置。 | ||
| 恢復點目標 (RPO) | 備份生成管理在發生故障後恢復服務的目標時間 | ○ | 備份數據將在當天上午1時之前或前一天上午1時之前恢復,但如果在該時間之前沒有完成備份,則可能使用上周六23:59之前的數據。 | ||
| 12 | 發生故障的次數 | 故障數一年內發生的故障數/一年內需要很長時間 (超過一天) 才能解決的故障數 | 在過去一年中發生的次數為零。 | ||
| 13 | 係統審核標準 | 基於係統監視標準 (監視內容/監視/通知標準) 設置的監視 | 不支持係統監視條件。 | ||
| 14 | 故障通知流程 | 發生故障時的聯係流程 (聯係人/方法/路線) | ○ | 如果發生故障並導衹服務中斷,我們的代表將收到通知並作出響應。我們將通過電子郵件通知和報告客戶。 | |
| 15 | 故障通知時間 | 異常檢測後通知指定聯係人所需的時間 | 雖然沒有規定,但是會盡快通知。 | ||
| 16 | 故障監視間隔 | 收集/匯總故障事件的時間間隔 | ○ | 一直在監視。 | |
| 17 | 服務可用性報告/時間間隔 | 服務可用性報告方法/時間間隔 | ○ | 服務中斷通過電子郵件通知支持網站和註冊代表。 | |
| 18 | 獲取日誌 | 可提供給用戶的日誌類型(訪問日誌、操作日誌、錯誤日誌等) | ○ | 可以從ConMas Manager獲取i-Reporter係統的客戶使用情況。 原則上不提供伺服器係統日誌。 | |
| 19 | 性能 | 響應時間 | 處理響應時間 | 不公開。 | |
| 20 | 延遲 | 處理響應時間延遲持續時間 | 不公開。 | ||
| 21 | 批處理時間 | 批處理 (成批處理) 的回應時間 | 沒有批處理。 | ||
| 22 | 可擴展性 | 可定制性 | 可定制 (變更) 的事項/範圍/規格等條件和定制所需的信息 | 原則上,我們不支持自定義。 | |
| 23 | 外部連接 | 與外部係統(API、開發語言等)的連接規範 | ○ | 提供可選的API,可通過外部服務使用i-Reporter係統功能。 | |
| 24 | 並發用戶數 | 在線用戶可以同時連接和使用服務的用戶數 | ○ | 並發用戶數沒有限制。 | |
| 25 | 提供的資源限制 | 磁碟空間限制/頁面查看限制 | ○ | 簽約時決定使用容量。可用存儲容量有限制。(可通過付費選項添加) | |
| 支持 | |||||
| 26 | 服務時間窗口 (故障排除) | 實施故障應對時的咨詢受理業務的時間 | ○ | 24小時365天受理。(電子郵件聯係表) | |
| 27 | 服務提供時間 (一般查詢) | 實施一般咨詢時的咨詢受理業務的時間段 | ○ | 支持受理是24小時365天,通過支持WEB的表格受理。 平常支持業務的對應時間為平日9:30~18:00 (節假日、年末年初等本公司休息日除外) 確認內容後在3個工作日內回復。 | |
| 資料管理 | |||||
| 28 | 備份方法 | 如何處理用戶擁有的數據,例如備份內容(次數、恢復方法等),數據存儲位置/格式,對用戶數據的訪問許可權 | ○ | 係統範圍的數據備份每天、每周或每月備份到國家/地區的遠程數據中心,但客戶無法訪問這些數據。 | |
| 29 | 何時檢索備份數據 (RPO) | 備份數據,保證數據時 | ○ | 在當天上午1時備份結束時,我們在前一天和前一天備份了兩代。如果備份未在恢復時間內完成,則它將在前一周或之前的時間內完成。 | |
| 30 | 備份數據的保留期 | 數據備份介質的保留期限 | ○ | 在您的合同期內保管。 | |
| 31 | 數據擦除要求 | 如何刪除用戶擁有的數據,例如服務取消後是否/何時執行數據擦除,是否/何時執行存儲介質的丟棄以及數據遷移 | ○ | 客戶有責任從ConMas Manager/ConMas Designer中刪除i-Reporter係統中使用的數據。 根據NIST 800-88 Media Sanitation指南,將根據Microsoft發佈的信息刪除或銷毀基礎架構係統中的所有數據。不支持物理刪除證明。 | |
| 32 | 備份代數 | 保證的代數 | ○ | 不保證數據備份。數據由客戶負責下載和備份。 但是,作為係統操作的必要措施,我們在每天1:00執行每日備份,並且存儲生成是當天+前一天的兩代管理。 此外,每周星期日和每月第一個星期日的每日備份映像分別存儲為每周和每月備份映像。 | |
| 33 | 數據保護的加密要求 | 是否需要加密來保護數據? | ○ | Internet連接使用TLS1.2進行加密。 | |
| 34 | 多租戶存儲的密鑰管理要求 | 是否存在多租戶存儲的密鑰管理要求? | ○ | 由邏輯標識符管理。 | |
| 35 | 數據泄露/損壞時的賠償/保險 | 數據泄漏/破壞時是否存在賠償/保險 | 沒有加入損害賠償保險。根據服務條款,客戶數據管理由客戶負責。有關補償信息,請查看服務說明摘要中的“保險範圍”和條款和條件正文。 | ||
| 36 | 終止時的數據可移植性 | 取消時,原始數據將以完整的形式快速返回,或者準備一個負責任地刪除數據的係統,並且可以構建一個不用擔心泄漏到外部的狀態 | ○ | 雲服務中使用的數據由客戶負責在解約前下載,之後刪除。 本公司實施數據刪除操作。 | |
| 37 | 寄銷數據完整性驗證活動 | 已實施驗證數據完整性的方法,並正在審核驗證報告。 | ○ | 數據由客戶負責確認數據內容。 | |
| 38 | 輸入數據格式限制功能 | 是否存在輸入數據格式限制功能 | ○ | 利用i-Reporter提供的輸入數據限制功能。 | |
| 安全性 | |||||
| 39 | 公共認證要求 | 如何處理用戶擁有的數據,例如備份內容(次數、恢復方法等),數據存儲位置/格式,對用戶數據的訪問許可權 | ○ | 除了客戶獲取的數據之外,伺服器存儲還以天,周,月為單位進行備份,並存儲在日本的遠程數據中心。 但客戶無法訪問此數據。 | |
| 40 | 應用程序第三方評估 | 由第三方進行Web應用程序漏洞評估 | ○ | 我們每年至少接受一次第三方的漏洞檢查,接受報告,進行評估和響應。 | |
| 41 | 信息處理環境 | 數據備份介質的保留期限 | ○ | 備份數據將在客戶合同期內保留。 | |
| 42 | 通信加密級別 | 與係統交互的通信的加密強度 | ○ | 通信使用SSL加密。 | |
| 43 | 確認會計審計報告中的信息安全相關事項 | 在審計會計審計報告中的信息安全相關事項時,向負責人提供以下材料“最新SAS70Type2審計報告”“最新18審計報告” | 不對應。 | ||
| 44 | 多租戶下的安全措施 | 不同利用企業間的信息隔離、障礙等影響的局部化 | ○ | 每個客戶都有自己的邏輯標識符,並在每個合同空間的單獨數據區域中運行。 | |
| 45 | 信息處理者的限制 | 能夠訪問利用者數據的利用者是有限的能夠實現與利用者組織規定的訪問限制相同的限制 | ○ | 根據ISO27001認證標準,每個受限制的人員都有訪問許可權。 已對內部訪問 (包括物理訪問) 進行記錄和審核。 | |
| 46 | 發生安全事件時的可追溯性 | ID授予單位,ID是否可用於日誌搜索,日誌保留期是否有適當的期限,並根據用戶的需要在期限內可接受地提供 | ○ | 客戶可以通過ConMas Manager查看i-Reporter係統的訪問日誌。 對於整個係統,可以定期檢索日誌並檢查記錄,但客戶無法直接訪問。 | |
| 47 | 病毒掃描 | 病毒掃描頻率 | ○ | 經常進行病毒檢查。 | |
| 48 | 二次存儲介質的安全性對策 | 在備份媒體等中,它始終以加密狀態保存,在處理時完全刪除數據並進行驗證,使USB端口無效並限制數據的提取採取措施 | ○ | 我們不使用輔助存儲介質,而是在數據中心之間進行備份。 | |
| 49 | 數據保留策略 | 是否把握數據保存地的各種法律制度下的數據處理及利用相關的制約條件 | ○ | 知道。 | |
