1.
1.1 明确业务需求:列出机房用途(托管/云/灾备)、设备功率、机架数、带宽、互联点、合规要求(PDPA、PCI-DSS 等)。
1.2 定义KPI与权重:建议项包括可用性(30%)、安全合规(20%)、网络连通(15%)、电力与制冷冗余(15%)、成本(10%)、运维响应(10%),用于后续量化评分。
2.
2.1 获取并索要扫描件:营业执照(SSM)、税务登记、公司注册信息、最近 3 年财务报表、保险证明。
2.2 验证合规证书:要求并验证 ISO 27001、ISO 22301、Uptime Institute Tier 报告、SOC2、PCI-DSS(若涉及支付)。通过证书编号在颁发机构官网核实有效期与范围。
2.3 法规与行业要求:确认是否符合马来西亚个人资料保护法(PDPA),并索要数据处理/跨境传输政策与合同样本。
3.
3.1 获取对端IP、BGP ASN、测试节点信息;在本地或通过云服务器执行 ping、traceroute、mtr 至多个节点,记录丢包与延时。
3.2 带宽与峰值测试:预约窗口与供应商协作,使用 iperf3 做上/下行测量,记录抖动与吞吐曲线,保留原始日志作为验收依据。
3.3 提供商互联与对等:检查供应商所列的 ISP、IX(马来西亚主要交换点如 MYIX/AMS-IX?)与国际出口路径,评估多链路冗余。
4.
4.1 护照与预约:提前预约现场,携带身份证/护照、公司的授权信以及现场检查工具(红外测温仪、铠装万用表、网线测试仪、手电、照相机)。
4.2 访问控制与安防:检查门禁记录、CCTV 覆盖、保安巡更日志;要求现场演示进出门禁流程并拍摄关键位置照片。
4.3 电力与制冷:核对PDU、UPS、发电机运行记录,实测机柜 PDU 电流与冗余配置;查看机房温湿度曲线与CRAC 冷却单元数目和N+1或2N 配置。
4.4 消防与排水:查阅消防系统(FM-200、气体、喷淋)、漏水探测器与排水通道并记录检测点位置。
5.
5.1 SLA 条款清单:可用性目标(如 99.95%)、网络丢包/时延目标、故障响应(响应时间、恢复时间MTTR)、服务信用与赔付公式。
5.2 验收测试清单:包括机柜上电/下电流程测试、主/备用电源切换演练(在业务低谷窗口执行并记录)、网络切换及链路重路由测试。
5.3 演练与证据保留:所有测试需有双方签字的测试报告、日志文件和时间戳视频或截图作为后续违约判断依据。
6.
6.1 建立评分表:对每个 KPI 设 1-5 分,按第一部分定义的权重计算总分。例如:可用性(30%)*得分加和。
6.2 参考最低合格线:建议总分最低 3.6/5 及可用性不低于 99.9% 为合格;对关键项(如安全合规)设最低通过门槛为 4 分。
6.3 最终评审:组织包含技术、法务、采购与信息安全人员的评审会,逐项确认风险并形成采购建议与备选供应商排名。
7.
7.1 合同必须包含:审计权利、数据移除与销毁证明条款、服务级别罚则、变更管理流程、最低通知期、迁移支持与过渡期服务。
7.2 特别注意:要求供应商在合同中承诺在违约时提供迁移协助窗口、保留日志与快照一段合理时间以便追溯与合规审计。
8.
答:优先核验公司注册(SSM)、税务记录、ISO27001/22301、Uptime Tier 报告、SOC2/PCI(如涉及支付)、并确认数据处理符合马来西亚PDPA;同时核实消防许可与本地消防局/建筑局的合格证。
9.
答:采用分阶段验收:先远程核验与文件审查设为门槛,签订临时试用/POC 协议并约定试运行期内的具体测试项和失败补救措施;保留不满足条件的拒绝扩展权利与退款/赔偿条款。
10.
答:建立统一评分表(见第6项),对每家供应商逐条打分并乘以权重,列出成本-风险矩阵;优先选择满足合规门槛且总分最高、并在关键KPI(可用性、安全)达到最低门槛的供应商,同时考虑迁移成本与长期支持承诺。