美国政府问责办公室(GAO)最近出台的一份报告着重指出：购买云服务时最重要的一点就是制定并执行服务级别协议。

GAO称：“从提供商购买IT服务，可以免去部署支持此类服务所需的硬件、软件和网络，让联邦机构得以更快更节约地使用服务。为充分发挥效能，联邦机构计划在2016财年投入至少20亿美元在云计算服务上。”

在报告成形过程中，GAO总结了云服务级别协议(SLA, Service Level Agreements)的十条最佳实践，适用于美国联邦机构和私营企业，也可作为国内机构使用或购买云服务时的一个参考。

1. 详细定义SLA相关的各方角色和责任，至少，要包括机构和云提供商。

这些定义包括负责合同监管、审计、效率管理、维护和安全等方面的人员。定义关键条款，比如生效日期、性能等，还要商定云计算术语定义中任何模棱两可的部分。

2. 定义云服务性能衡量标准，包括是谁负责衡量。云服务可用性、最大用户数、客户事务响应时间等都包括在衡量标准中。

3. 定义清晰的承包商表现测评标准。包含由哪方进行测评。这些标准的例子可以有：

服务水平(例如：服务可用性——机构可使用服务的持续时间)
云服务能力(例如：同时登录最大用户数，提供商扩容能力)
响应时间(例如：客户事务处理速度，服务中断的响应时间)

4. 指定机构访问自身数据和网络的方式和时间。

包括SLA存续期间数据和网络将怎样被管理和维护，以及服务退出/终止的情况下数据和网络将怎样转换回机构。

5. 指定以下服务管理要求：

云服务提供商将怎样监控服务表现并报告给机构；
机构通过审计确认云服务提供商表现水平的时间和方式。

6. 准备灾难恢复和运营持续性计划和测试方案。

包括云服务提供商应在何时，以怎样的方式向机构报告此类宕机。另外，提供商将如何修复此类情形，以及防止同样的情况再次发生，也应该包含在方案中。

7. 描述清楚当云服务提供商的表现衡量标准不适用时应遵循的例外准则(例如：在按计划维护或升级期间的表现衡量便不适用常规标准)。

8. 指定云服务提供商必须达到的各项安全指标，确保符合机构的数据保护安全表现要求(例如：清楚指明谁有权限访问数据，明确机构数据的防护措施)。

指定服务提供商应符合的安全表现要求，包括描述数据保护安全表现指标，比如：数据可靠性、数据存储、数据保密性等。清楚定义云服务提供商和机构的访问权，以及各自在防护数据、应用和流程安全中的责任，保证符合所有联邦要求。描述安全缺口定义，规定一旦未能达标，服务提供商应在何时以何种方式通知机构。

9. 指定安全表现要求和属性，确保能够定义云服务提供商在安全要求未能满足时应在何时以何种方式通知机构。

10. 划定可实行的后果处理措施，比如处罚条款，以备未能遵守SLA时的处置。

制定这些处罚机制的实施方式。若缺乏处罚和补救措施，机构便有可能在发生状况时无法在强制遵从合同条款上占据优势。