医疗云计算评估方法:第1部分 影像云
医疗云计算评估方法:
第1部分 影像云
The Method To Evaluate The Trusted Selection Of Medical Informatization:Part 1 Medical Image Cloud
(讨论稿)
目 次
目 次I
前言I
引言II
1 范围3
2 规范性引用文件3
3 术语、定义和缩略语3
3.1 术语和定义3
3.2 缩略语4
4 评估方法概述4
5 基本信息披露4
5.1企业基本信息披露4
5.2影像云服务基本信息披露5
5.3云服务安全等级保护测评情况披露6
6 解决方案成熟度评估6
6.1 功能完备性6
6.2 性能指标8
6.3 安全性8
6.4 可靠性12
6.5 易用性12
6.6 可维护性13
6.7 兼容性13
7 云服务提供能力评估13
7.1服务可用性13
7.2服务开放性14
7.3资源调配能力14
7.4云服务安全性15
7.5故障恢复能力15
7.6服务可审查性15
7.7服务计量准确性16
7.8云服务条款16
前言
本标准编写符合GB/T 1.1-2009《标准化工作导则第1部分:标准的结构和编写》的有关规定。
本标准按照GB/T 1.1-2009给出的规则起草。
本标准主要参考ITU在研标准《Performance evaluation frameworks of e-health systems in the IoT》,并与ITU-T正在做的其它医疗监护方面的标准保持互动关系,同时结合中国国内移动健康系统的实际情况和需求编写而成。
本标准由中国信息通信研究院提出并归口。
本标准起草单位:
本标准主要起草人:
引言
本标准规定了影像云服务的评估方法,包括基本信息披露、解决方案成熟度评估、云服务提供能力评估的总体要求。本规范适用于对影像云进行测试评估。
本标准是“医疗云计算可信选型评估方法”系列标准的第1部分,该系列标准的结构和名称如下:
- 《医疗云计算评估方法 第1部分:影像云》
- 《医疗云计算评估方法 第2部分:远程会诊云》
- 《医疗云计算评估方法 第3部分:心电云》
- 《医疗云计算评估方法 第4部分:病理云》
- 《医疗云计算评估方法 第5部分:健康管理云》
医疗云计算评估方法:第1部分 影像云
范围
影像云服务可信选型评估方法作为规范市场的手段,是适用于所有提供影像云服务的企业参与测评。本标准规定了影像云服务测试评估的相关要求,相关要求包括:基本信息披露、解决方案成熟度评估和云服务提供能力评估。
本标准适用于指导医疗机构对影像云服务的选型和评估等。
规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
术语、定义和缩略语
- 术语和定义下列术语和定义适用于本文件。医疗影像云服务医疗影像云服务指利用大数据、云计算等技术对医院影像数据的归档、存储和通信,并通过授权的方式来为诊疗提供信息支持,通过医疗影像云的实施,以达到提高存储容量,增强可扩展性和弹性,降低运维成本等目的。医疗影像云的应用场景包括:影像云存储服务、PACS云服务、影像云应用服务等。医疗影像云存储医疗影像云存储指基于公有云的医学影像数据的云端存储备份、归档加密、实时恢复等服务,主要应用于医疗影像数据体量大、增长快的大型医院。云PACS云PACS服务指在将医疗机构传统的PACS系统部署在云端,并结合云平台的特点,实现医院全工作流程影像协作应用服务,上级医院远程帮助下级医院影像阅片,实现影像数据的远程会诊等业务支撑功能。云PACS服务主要应用于区域影像协作,实现医联体影像上下级联动。影像云应用服务影像云应用服务指利用云计算的图像处理及分析引擎技术,借助手机、平板电脑、PC机等移动终端和移动推车、医用竖屏、会诊大屏等医疗终端,实现临床医生可随时随地的查阅病人影像和影像报告,协助医生进行诊断辅助、病案讨论、协作会诊等服务。影像云应用服务为医生提供随时随地阅片功能,充分利用医生碎片时间,提高医患体验。医疗器械注册认证医疗器械注册认证是指依照法定程序,对拟上市销售、使用的医疗器械的安全性、有效性进行系统评价,以决定是否同意其销售、使用的过程。可分为境内医疗器械注册和境外医疗器械注册,境外的医疗器械不管是一类,二类,三类都要到北京国家食品药品监督局办理:境内的一,二类医疗器械在当地的省或市食品药品监督局办理,三类的到国家食品药品监督局办理。
- 缩略语
下列缩略语适用于本文件。
| PACS | Picture Archiving and Communication Systems | 影像归档和通信系统 |
|---|---|---|
| DICOM | Digital Imaging and Communications in Medicine | 医学数字成像和通信 |
| HIS | Hospital Information System | 医院信息系统 |
| EMR | Electronic Medical Record | 电子病历系统 |
| API | Application Programming Interface | 应用程序接口 |
评估方法概述
本标准规定了影像云服务测评分为三个方面:基本信息披露、解决方案成熟度评估和云服务提供能力评估。其中基本信息披露包括:企业基本信息披露、影像云服务基本信息披露和云服务安全等级保护测评信息披露。解决方案成熟度评估包括:功能完备性、性能指标、安全性、可靠性、易用性、可维护性和兼容性。云服务提供能力评估包括:服务可用性、服务开放性、资源调配能力、云服务安全性、故障恢复能力、服务可审查性、服务计量准确性、服务条款等。
基本信息披露
- 企业基本信息披露
企业基本信息从以下7个方面进行披露:
1)企业牌照,公司企业法人营业执照
- 参评企业需向测试机构提供公司的合法营业执照副本,并加盖公章。2)规模,公司整体社保缴纳信息证明
- 参评企业需向测试机构证明公司人员规模,即提供公司整体社保缴纳信息证明副本,并加盖公章。3)资金,验资报告
- 参评企业需向测试机构证明资金规模,即提供验资报告副本,并加盖公章。4)组织结构,组织机构证书
- 参评企业需向测试机构提供公司的合法组织机构证书副本,并加盖公章。5)行业部门颁发的相关牌照
- 如参评企业有其它行业部门颁发的相关牌照(例如ICP牌照等),也可提供相应牌照的副本,并加盖公章。6)连续几年纳税证明
- 参评企业需向测试机构提供公司连续几年的纳税证明材料,并加盖公章。7)股权结构
- 参评企业需向测试机构提供公司股权结构证明材料,并加盖公章。
- 影像云服务基本信息披露
影像云基本信息从以下11个方面进行披露:
1)参评影像云服务名称
- 参评企业需向测试机构提供本次评测云服务的名称。2)参评影像云服务版本号
- 参评企业需向测试机构提供本次评测云服务的版本号。3)参评影像云服务基本描述
- 参评企业需向测试机构提供本次评测云服务的基本描述。4)参评影像云服务运营起始时间
- 参评企业需向测试机构提供本次评测云服务开始运营起始时间的证明材料。
- 参评企业需向测试机构提供本次测评云服务运行时间内的升级频率及升级次数。(考察云服务的成熟度,以及持续升级投入能力。)5)参评影像云服务支付方式
- 参评企业需向测试机构提供本次评测云服务支付方式的证明材料,例如按调用次数、使用时长等方式。6)参评影像云服务功能
- 参评企业需向测试机构提供本次评测云服务完整的功能说明文档。
- 参评企业需向测试机构提供本次评测云服务涉及的硬件、软件清单信息。8)知识产权状况说明
- 参评企业需向测试机构提供本次评测云服务是否具有自主知识产权,如果具有,将证明材料加盖公章。
9)行业实施案例
- 参评企业需向测试机构提供真实的行业实施案例。10)云服务收费说明
- 参评企业需向测试机构提供本次待测云服务租用价格明细以及收费方式,包括第一次的租用的价格、续费租用的价格以及其他附加费用。11)国家医疗器械注册认证资质(可选)
- 参评企业需向测试机构提供本次待测影像云服务取得国家医疗器械注册认证的证明材料。
- 云服务安全等级保护测评情况披露
影像云服务安全等级保护需从以下3个方面进行披露:
- 影像云服务承诺支持的等保服务等级
- 参评企业需向测试机构提供本次评测云服务承诺支持的云计算安全等保等级。
- 云计算安全等级保护证书。
- 如果本次参与评测的影像云服务已经通过安全等级保护测试,参评企业则需企业需向测试机构提供本次评测云服务安全等级保护评测证书。
- 影像云服务所使用的云平台安全等级保护资质
- 影像云所使用的云平台(IaaS或PaaS)的等保等级需不低于待测影像云的安全保护等级;
- 参评企业需提供所使用云平台的安全等保测评的资质证书。
解决方案成熟度评估
功能完备性
申报参评的影像云服务整体功能,包括影像云存储和影像云应用等服务,以下功能可根据用户需求和医疗云服务定位有一定的可选性,非必选。
- 影像云存储服务
评估对象:影像云存储服务
评估方法:主要基于材料审查和技术测试的方式,包括:
影像云存储服务服务功能【必选】,包括
——材料审查,影像云服务提供商应提供与承诺相符的功能性相关材料,包括:
- 服务名称。
- 服务简要概述:服务的简短服务,详细描述在其他公开文档中提供:——技术测试,由参评影像云服务商提供测试账号,根据云服务商承诺用户提供的用户具体功能点进行测试:
- 具备医疗影像数据的大量存储,安全保存能力
- 影像云存储服务具备读写分离功能。
- 具备区域内医疗影像数据共享接口能力,医生随时调阅能力。
- 具备全区域内医学影像信息统一存储,影像统一计算的能力。
专家组人员认可材料审查和技术测试结果,即视为通过。
- PACS云服务
评估对象:影像云存储服务
评估方法:主要基于材料审查和技术测试的方式,包括:
影像云存储服务服务功能【必选】,包括
——材料审查,影像云服务提供商应提供与承诺相符的功能性相关材料,包括:
- 服务名称。
- 服务简要概述:服务的简短服务,详细描述在其他公开文档中提供。——技术测试,由参评影像云服务商提供测试账号,根据云服务商承诺用户提供的用户具体功能点进行测试:
- 具备医院管理功能:能够建立基础组织机构关系、影像处理流程。
- 具备预约就诊流程管理功能,实现患者的预约、排队等功能。
- 具备基础图像处理功能:图像的快速显示、图像的测量、窗宽窗位调整、CT值测量、放大缩小、对比等功能。
- 具备影像调阅功能、图像后处理。
- 具备诊断会诊功能,具备分级诊疗,疑难病症影像协作远程转诊能力。
- 具备报告审核功能:包括影像初审、影像终审。
- 具备临床报告功能。
专家组人员认可材料审查和技术测试结果,即视为通过。
- 影像云应用服务
评估对象:影像云存储服务
评估方法:主要基于材料审查和技术测试的方式,包括:
影像云存储服务服务功能【必选】,包括
——材料审查,影像云服务提供商应提供与承诺相符的功能性相关材料,包括:
- 服务名称。
- 服务简要概述:服务的简短服务,详细描述在其他公开文档中提供。——技术测试,由参评影像云服务商提供测试账号,根据云服务商承诺用户提供的用户具体功能点进行测试:
- 具备影像查询功能:视图清晰,操作简单。
- 具备个人影像归档功能:提供个人影像档案管理和家庭影像档案管理。
- 具备影像教学功能。
- 具备社交分享功能。(可选)
专家组人员认可材料审查和技术测试结果,即视为通过。
性能指标
- 影像云服务性能指标
评估待测影像云服务的性能指标。根据对用户的审查,来定义测试环境。
评估对象:申报参评的待测影像云服务的性能指标。
评估方法:主要基于材料审查和技术测试的方式,包括:
——材料审查:待测影像云提供商应提供与承诺相符的关于性能指标的材料,包括:
- 影像云服务管理相关的性能文档。——技术测试:通过技术手段衡量影像云服务的性能:
- 影像云服务各功能模块的响应时间。
- 影像云服务所支持的并发接入量。
- 影像资料的导入/导出速度。
- 影像资料显示的清晰度。
专家组所有人员认可材料审查和技术测试结果,即视为通过。
- 网络性能指标
评估待测影像云服务正常运行所需要的网络支撑性能指标。
评估对象:申报参评的待测影像云服务正常运行所需要的网络性能指标。
评估方法:主要基于材料审查方式,包括:
——材料审查:待测影像云提供商应提供相关材料披露其影像云服务需要网络服务满足的性能指标,包括:
- 传输带宽
- 平均下载速度
- 网络延时
- 丢包率
- QoS
专家组所有人员认可材料审查结果,即视为通过。
安全性
- 安全管理制度
对待测影像云服务的安全管理制度进行审查。
评估对象:申报参评的待测影像云服务安全管理制度是否健全
评估方法:主要基于材料审查,包括
——材料审查:提供材料说明待测影像云系统安全管理制度,包括:
- 待测云服务应提供系统、健全的信息安全管理制度。
- 对待测云服务提供的信息安全安全制度中的主要部分进行披露。
- 应提供安全管理制度的版本修订记录,以考察该安全管理制度是否根据应用情况及时更新和完善。
专家组所有人员认可材料审查结果,即视为通过。
- 访问控制
评估待测影像云服务的系统安全防护措施。根据对用户的审查,来定义测试环境。
评估对象:申报参评的待测影像云服务
评估方法:主要基于材料审查和技术测试的方法,包括
——材料审查:提供材料说明待测影像云访问控制的相关保护措施,包括:
- 提供根据访问的业务和安全需求,建立、记录和审查访问控制策略。——技术测试:根据用户提供的访问控制策略对影像云访问进行技术测试,包括:
- 用户访问控制。
- 用户注册和注销:应提供用户账号创建、激活、修改、审查、禁用和删除账号等机制;
- 用户权限管理:可以配置和修改账号权限;
- 用户密码管理:输入密码时隐藏显示;密码有异常需提示修改;修改密码需用户验证;密码须满足一定的复杂度(长度在8不少于8个字符,数字、字母等组合);
- 用户访问权限的审查:用户在职位调整或离职时,需及时调整用户访问权限。
- 网络访问控制
- 网络隔离:与外部网络连接的地方以及内部与其他信息系统之间应设置网关或防火墙来保障网络隔离;
- 网络连接控制:应根据业务应用的要求限制用户连接到内部网络的能力。
专家组所有人员认可材料审查和技术测试结果,即视为通过。
- 系统安全
评估待测影像云服务的系统安全防护措施。根据对用户的审查,来定义测试环境。
评估对象:申报参评的待测影像云服务。
评估方法:主要基于材料审查和技术测试的方法,包括
——材料审查:提供材料说明待测影像云系统安全的防护承诺和防护措施,包括:
- 系统安全防护体系说明。——技术测试:评估待测影像云本身采取的应用安全技术保护手段,包括:
- 是否有防火墙、漏洞扫描、病毒防治和入侵检测等安全防护。
- 是否制定应用系统与安全设备配置的安全规范或软件安全开发规范,并且承诺能够对相关系统的Web应用服务及相关协议及时修复已公布的漏洞。
- 操作日志。系统提供详细的云端数据操作日志,包括:上传、修改、删除、下载、恢复等。确保对数据的所有增、删、改等变更操作可以被追溯。
专家组所有人员认可材料审查和技术测试结果,即视为通过。
- 数据安全
评估被测影像云在数据传输过程中的安全性,包括数据的加密传输和数据的加密存储。
评估对象:申报参评的影像云的数据安全性。
评估方法:主要基于材料审查和技术测试的方法,包括
——材料审查:影像云提供商应提供材料说明该系统数据是否加密传输和加密存储。
——技术测试:验证数据的安全性是否与所提供材料匹配。
- 是否具有数据传输、数据存储的加密功能,以及实际使用的加密方式。
- 是否有安全的密钥生成、存储、传输和使用保护措施。
- 是否支持根据数据级别采用加密、授权、数字水印、数字签名等技术手段对业务系统存储的数据进行安全存储保护。
- 影像数据完整归档:患者基本信息、检查申请信息、检查过程信息、检查报告以及影像等完整的检查证据内容。
- 影像数据全面备份:支持存储和备份所有医技检查的数据,包括放射、超声、内镜、核医学、病理、心电等。
- 业务系统采集的数据结果是否包含超出明确告知给用户的信息收集范围、类型及使用目的等内容。
- 访问审计:所有的数据访问均有日志记录,可以对访问信息进行审计和统计。
专家组所有人员认可材料审查和技术测试结果,即视为通过。
- 身份验证安全
评估待测影像云对用户身份认证的管理,包括用户身份认证所采用的方式及有效性。身份认证的方式包括用户名密码方式、双因素认证等。
评估对象:申报参评的待测影像云的身份认证管理,包括所有用户
评估方法:主要基于材料审查和技术测试的方法,包括
——材料审查:待测影像云提供商应提供材料说明该系统可以支持用户身份认证方式和基本原理,以及各用户身份认证方式之间的关系。
——技术测试:分别使用所支持的各用户身份认证方式登录系统,验证其有效性及是否与所提供材料匹配。
- 是否支持密码登录,且密码支持加密传输。
- 是否支持身份认证或短信验证码登录方式。(可选)
- 是否用户分权限管理:通过用户权限的设置来实现用户隐私安全和数据安全。
专家组所有人员认可材料审查和技术测试结果,即视为通过。
- 用户隐私安全
评估被测影像云在患者信息及病历、影像等数据保存、传输及读取过程中用户隐私的保护。
评估对象:申报参评的影像云的用户隐私保护。
评估方法:主要基于材料审查和技术测试的方法,包括
——材料审查:影像云提供商应提供材料说明:
- 对系统中敏感数据范围进行说明的文档资料。
- 该系统数据是否采取相应的措施来保障患者基本信息、病历及影像资料的安全隐私。——技术测试:由参评影像云服务商提供测试账号,根据云服务商对用户隐私保护所做的承诺进行验证性测试:
- 患者的基本信息、病历资料与影像数据是否采取隔离措施,是否实现分别存储。
- 创建患者信息进行一一验证。
- 是否建立了用户个人信息收集保护及用户授权告知制度。
- 检查业务数据,判定收集用户个人信息的收集范围和使用范围是否遵循以提供服务的最小必要为标准。需检查是否收集了用户的个人信息,包括个人敏感信息、社会关系信息、位置信息、发布的信息及使用业务行为信息。
- 在进行数据分析和挖掘的过程中,是否进行了数据脱敏。专家组所有人员认可材料审查和技术测试结果,即视为通过。可靠性评估被测影像云服务的系统可靠性。评估对象:申报参评的影像云的系统可靠性评估方法:主要基于材料审查和技术测试的方法,包括——材料审查:影像云提供商应提供材料说明:
- 数据容灾备份机制
- 故障恢复机制——技术测试:由参评影像云服务商提供测试账号,根据云服务商对系统可靠性所做的承诺进行验证性测试:
- 测试并披露关于数据容灾备份测评结果:是否支持多副本、异地备份、业务数据容灾等。
- 测试并披露关于故障恢复测评结果。专家组所有人员认可材料审查和技术测试结果,即视为通过。易用性评估对象:申报参评企业的影像云服务的易用性。评估方法:基于材料审查和技术测试的方式,包括:——文档审查:文档的实际内容,由参评企业提供,包括:
- 当前版本发布时间;
- 电子版快速帮助手册;
- 操作演示文档;
- 软件测试报告。——技术测试:测试易用性的实际效果,由参评企业提供测试账号,包括:
- 用户界面的友好型:信息及数据的展示方式,UI交互方式等。
- 数据操作的便捷性:数据的导入、导出及编辑操作,用户管理以及权限管理的便捷性等。专家组所有人人员认可材料审查和技术测试结果,即视为通过。可维护性评估对象:申报参评企业的影像云服务的可维护性。评估方法: ——技术测试:测试易用性的实际效果,由参评企业提供测试账号,包括:
- 是否支持7*24小时自动化运维。
- 是否支持实时监测、异常报警、自动容错等。专家组所有人人员认可技术测试结果,即视为通过。兼容性评估对象:申报参评企业的影像云服务的兼容性。评估方法:基于材料审查和技术测试的方式,包括:——材料审查,影像云服务提供商应提供与承诺相符的兼容性相关材料,包括:
- 云服务承诺所支持的影像数据接口标准(DICOM3.0)说明材料。
- 影像云服务中所涉及与医院其他业务信息系统或管理信息系统的数据接口标准符合下述卫生领域行标的说明材料(可选):
- WS/T 500-2016电子病历共享文档规范。
- FHIR等相关HL7 V3.0 国际标准。
- IHE ITI广域网图像传输协议和基于IHE XDS及IHE XDS-I的文档交换及IHE PIX/PDQ技术框架。
——技术测试:测试兼容性的实际效果,由参评企业提供测试账号,包括:
- 具备支持DICOM3.0标准数据的输入、传输、保存及输出等。
- 符合DICOM3.0标准医疗设备输出的图像不可用有损压缩的方式保存、传输或调阅。
- 支持与其他医疗信息系统互联互通:HIS系统、EMR系统以及其他远程医疗系统。
专家组人员认可材料审查和技术测试结果,即视为通过。
云服务提供能力评估
- 服务可用性
评估对象:申报参评的影像云服务整体业务可用性,包括所有用户。
评估方法:主要基于材料审查的方式,证明以下两方面的情况,通过准则是要求以下两方面都通过:
——提供材料证明影像云服务承诺的可用性概率是如何推算出来的,专家组所有人认可材料和推算方法是合理的,那么即认为通过此方面的评估。
此方面需要出具的证明材料:
- 概率数值;
- 推算方法概述,要求披露以下方面:
- 基础设施架构及可用性:
- 机房、空调、电力、服务期、网络设备的情况
- 宿主机故障率、机房故障率。
- 软件情况及可用性:
- 平台基础系统软件;
- 影像云业务软件。
- 软实力:人员、故障保障机制。
- 与推算方法相关的证明材料:系统架构、保障机制等等。——提供材料证明影像云服务实际执行中持久性的情况,即每月多少用户可以达到承诺的可用性数值。专家组所有人认可实际执行情况,则认为通过此方面的评估。此方面需要提供的材料:
- 近6个月的用户实际情况,可以是运行报告,也可以是故障报告;
- 近6个月的参评服务实际可用性的自测结果值、计算方法及相关证明文档或材料。
- 服务开放性评估对象:申报参评的影像云服务开放性,包括所有用户。评估方法:主要基于材料审查和技术测试的方式,包括:材料审查:影像云服务商应提供与承诺相符的关于功能开放的材料,包括:影像云服务开放相关的功能文档;影像云服务开放相关的接口文档。技术测试:从下述几个方面来衡量用户体验质量:影像数据采集接口需支持满足DICOM3. 0标准设备;是否支持二次开发能力;医疗及影像数据的互联互通性测试。专家组所有人员认可材料审查和技术测试结果,即视为通过。
- 资源调配能力
对于影像云服务,资源调配能力包括影像云服务可支持的设备并发接入数量。
评估对象:申报参评的影像云服务整体资源调配能力,包括所有用户。
评估方法:主要基于材料审查和技术测试的方式,包括可支持的服务调用次数的弹性能力
材料审查:影像云服务商应提供与承诺相符的服务资源调配能力的材料,包括:
- 可支持设备并发接入数量;系统架构图、弹性机制。
技术测试,由参评影像云服务提供测试账号,根据平台提供商的承诺,专家组进行可支持的设备并发接入数量测试,可通过增加硬件设备和软件来弹性扩容,扩容时服务不停止,支持集群技术单点故障不影响系统使用。
专家组所有人员认可材料审查和技术测试结果,即视为通过。
- 云服务安全性根据本文5.3节中对待测影像云服务安全等级保护等级信息的披露,参考国标《GB/T 22239.2—XXX 信息安全技术 信息系统安全等级保护基本要求 第2部分云计算安全扩展要求》进行评测,安全等保评测情况以信息披露的形式呈现。
- 故障恢复能力
评估对象:申报参评的影像云服务的整体故障恢复能力,包括所有用户。
评估方法:主要基于材料审查和实地考察的方式,包括:
材料审查:影像云服务提供商应提供与承诺相符的业务恢复能力的材料,包括:
- 近6个月故障记录报告,报告应包括:故障类型、处理办法、处理过程、处理时间、处理人员、影响用户数等内容。故障管控机制和设计方案。实际考察:
- 是否有运维管理系统,可自动产生报表和运维报告,定期自动发送给用户,故障报警信息可通过邮件/短信即时发送;主要指标:报表和报告的详细程度,出故障时提醒用户的及时性等。
- 是否有容灾备份;
- 模拟故障,考察故障产生报告的机制和运维人员处理故障的实际操作等流程。
专家组所有人员认可材料审查和实际考察结果,即视为通过。
- 服务可审查性
评估对象:申报参评的影像云服务整体业务可审查性,包括所有用户。
评估方法:主要基于材料审查和实际考察的方式,包括:
材料审查:影像云服务商应提供与承诺相符的业务可审查性的材料
- 操作审计:关键功能模块的运行期限内运行日志、运维人员的操作记录等。支持日志的查看、下载等。
- 人员审计:人员权限管理规定、人员基本信息等。
实际考察:运维人员的操作记录是否有日志可循、日志是否集中存放、日志是否可以篡改。
专家组所有人员认可材料审查和实际考察结果,即视为通过。
- 服务计量准确性
评估对象:申报参评的影像云服务整体服务计量准确性,包括所有用户。
评估方法:主要基于材料审查和技术测试的方式,包括:
材料审查:影像云服务商应提供与承诺相符的服务计量的材料,包括:
- 提供计量周期和颗粒度;
- 计量日志。
技术测试:使用影像云服务,按影像云服务商提供的查询方式审查包括服务调用次数和其他所付费功能是否与使用情况一致。
专家组所有人员认可材料审查和实际考察结果,即视为通过。
- 云服务条款
- 服务变更、终止条款
评估方法:此指标项定义为按双方合同的约定,双方由于某种原因导致服务需变更或终止,双方应承担的权利和义务,应主要通过法律或商业约束。符合以下规范性要求即可:
——双方明确服务变更、终止的前提条件:
- 用户变更或终止的前提条件:需提前多久提前告知,如没有提前告知,服务商对于没有及时续费的用户的数据的处置,保留多久时间等;
- 服务商变更或终止的前提条件:需提前多久提前告知。——在满足前提条件下,双方的权利和义务:
- 用户终止服务,服务商将余额返还给用户;
- 服务商终止服务,返还余额;
——约定告知方式,确保双方能通知对方。
- 服务赔偿条款评估方法:此指标项定义为平台提供商承诺用户服务某项指标没有达到服务协议中承诺的要求,则会提供的具体赔偿方式,主要通过法律或商业约束。符合以下规范性要求即可:——明确可获得赔偿的指标项:例如,可用性等;——明确说明赔偿的具体方式:例如,金钱还是服务时长等;——明确赔偿额度的计算方式;——说明最低赔偿;——说明最高赔偿;——明确服务商不承担责任的赔偿:如由于用户自身操作不当导致的可用性不达标,则不承担赔偿责任。
- 用户约束条款评估方法:此指标项主要通过法律或商业约束。符合以下规范性要求即可:——明确用户约束的范围,比如相关法律法规禁止的内容和行为。
- 服务商免责条款
评估方法:此指标项主要通过法律或商业约束。符合以下规范性要求即可:
——服务商免责的范围和解释,如不可抗力等因素的免责;
——服务商免责的情景,如用户自身操作不当的情况等。
参考文献
IHIA 001-2017 医疗云计算可信选型评估方法:第1部分 影像云,2017.
