《應(yīng)用現(xiàn)代化技術(shù)能力成熟度評估模型》標(biāo)準(zhǔn)

ICS35.020

I65T/SIA

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)

T/SIA036-2023

應(yīng)用現(xiàn)代化技術(shù)能力成熟度評估模型

Applicationmodernizationtechnologycapacitymaturityassessmentmodel

2023-7-1發(fā)布2023-7-1實(shí)施

中國軟件行業(yè)協(xié)會發(fā)布

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

應(yīng)用現(xiàn)代化技術(shù)能力成熟度評估模型

1范圍

本文件給出了應(yīng)用現(xiàn)代化技術(shù)能力成熟度的模型構(gòu)成、評估方法及等級要求。

本文件適用于數(shù)字化轉(zhuǎn)型領(lǐng)域相關(guān)規(guī)劃、設(shè)計(jì)、開發(fā)、管理人員開展應(yīng)用現(xiàn)代化改

造實(shí)踐。

2規(guī)范性引用文件

暫無規(guī)范性引用文件。

3術(shù)語和定義

3.1

應(yīng)用現(xiàn)代化applicationmodernization

基于云原生、人工智能等先進(jìn)技術(shù)對傳統(tǒng)應(yīng)用升級改造或新建應(yīng)用的方案和方法論。

3.2

可觀測性observability

是一種對系統(tǒng)運(yùn)行時的指標(biāo)進(jìn)行實(shí)時跟蹤和監(jiān)控，并對系統(tǒng)內(nèi)部的事件、日志和異

常進(jìn)行聚合和分析的質(zhì)量屬性。

3.3

服務(wù)化架構(gòu)service-basedarchitecture

是一種適用于云原生應(yīng)用的技術(shù)架構(gòu)，其特征包括：進(jìn)程級別的運(yùn)行態(tài)隔離，以接

口契約定義每個服務(wù)應(yīng)用單元，各服務(wù)/微服務(wù)只能通過API進(jìn)行業(yè)務(wù)流程和邏輯的交

互、協(xié)同。

注：接口契約指的是IDL、Swagger、RAML等。

4縮略語

下列縮略語適用于本文件。

ACL:訪問控制表（AccessControlList）

AI:人工智能（ArtificialIntelligence）

API:應(yīng)用編程接口（ApplicationProgrammingInterface）

BI:商業(yè)智能（BusinessIntelligence）

CC:挑戰(zhàn)黑洞（ChallengeCollapsar）

CPU:中央處理器（CentralProcessingUnit）

CV:計(jì)算機(jī)視覺（ComputerVision）

DAG:有向無環(huán)圖（DirectedAcyclicGraph）

DDD:領(lǐng)域驅(qū)動設(shè)計(jì)（Domain-DrivenDesign）

DDoS:分布式拒絕服務(wù)（DistributedDenialofService）

4

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

E2E:端到端（EndtoEnd）

FTP:文件傳輸協(xié)議（FileTransferProtocol）

HTTP:超文本傳輸協(xié)議（HypertextTransferProtocol）

HTTPS:超文本安全傳輸協(xié)議（HypertextTransferProtocoloverSecureSocketLayer）

HYOK:擁有自己的密鑰（HoldYourOwnKey）

IDL:接口描述語言（InterfaceDescriptionLanguage）

RAML:RestfulAPI建模語言（RestfulAPIModelingLanguage）

IP:互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

LP:線性規(guī)劃（LinearProgramming）

MIP:混合整數(shù)規(guī)劃（Mixed-IntegerProgramming）

NLP:自然語言處理（NaturalLanguageProcessing）

OIDC:開放用戶身份識別連接（OpenIDConnect）

OS:操作系統(tǒng)（OperatingSystem）

OWASP:開放式Web應(yīng)用程序安全項(xiàng)目（OpenWebApplicationSecurityProject）

PKI:公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure）

RTO:恢復(fù)時間目標(biāo)（RecoveryTimeObjective）

RPO:數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)（RecoveryPointObjective）

SAML:安全斷言標(biāo)記語言（SecurityAssertionMarkupLanguage）

SIEM:安全信息與事件管理（SecurityInformationandEventManagement）

SOA:面向服務(wù)的架構(gòu)（Service-OrientedArchitecture）

SOAR:安全編排自動化與響應(yīng)（SecurityOrchestration,AutomationandResponse）

TTM:需求到最終上線時間（TimeToMarketing）

UDP:用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol）

5概述

5.1應(yīng)用現(xiàn)代化技術(shù)能力成熟度模型構(gòu)成

應(yīng)用現(xiàn)代化技術(shù)能力成熟度評估模型包含5個能力域，每個能力域由若干能力項(xiàng)構(gòu)

成，每個能力項(xiàng)由若干能力指標(biāo)構(gòu)成，見表1所示。

能力域表征了現(xiàn)代化應(yīng)用的特征和用戶需求，能力項(xiàng)和能力指標(biāo)表示支撐/滿足這

些特征/需求所需的技術(shù)要求，是產(chǎn)品、解決方案、服務(wù)等技術(shù)能力的抽象。

表1技術(shù)能力成熟度模型構(gòu)成

序號能力域能力項(xiàng)能力指標(biāo)

1應(yīng)用敏捷開發(fā)生產(chǎn)線具體內(nèi)容見第6

章

組裝式開發(fā)

應(yīng)用托管

可觀測性

服務(wù)化架構(gòu)

5

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

2穩(wěn)定可靠流量治理具體內(nèi)容見第7

章

業(yè)務(wù)彈性

多活容災(zāi)

混沌工程

性能壓測

3安全可信身份與權(quán)限安全具體內(nèi)容見第8

章

網(wǎng)絡(luò)安全

應(yīng)用安全

負(fù)載安全

數(shù)據(jù)安全

合規(guī)治理

安全運(yùn)營

4業(yè)務(wù)智能智能湖倉具體內(nèi)容見第9

章

數(shù)據(jù)治理生產(chǎn)線

AI開發(fā)平臺

智能決策

5成本優(yōu)化財(cái)務(wù)管理具體內(nèi)容見第

10章

5.2應(yīng)用現(xiàn)代化技術(shù)能力成熟度評估方法

通過計(jì)算公式可以得出被評估系統(tǒng)每個能力項(xiàng)、每個能力域滿足能力指標(biāo)要求的情

況，然后基于評判原則給出待評估對象系統(tǒng)的成熟度等級。具體評估方法見第11章。

5.3應(yīng)用現(xiàn)代化技術(shù)能力成熟度級別劃分

根據(jù)目前云計(jì)算領(lǐng)域技術(shù)、服務(wù)的現(xiàn)狀及發(fā)展趨勢，應(yīng)用現(xiàn)代化技術(shù)能力自低向高

依次劃分為3個級別：初始級（L1）、發(fā)展級（L2）、優(yōu)秀級（L3）。

6應(yīng)用敏捷能力指標(biāo)

6.1開發(fā)生產(chǎn)線

6.1.1初始級要求

開發(fā)生產(chǎn)線達(dá)到初始級，應(yīng)滿足以下要求：

1)應(yīng)用軟件開發(fā)過程采用單層級的需求進(jìn)行管理；

2)應(yīng)用軟件按固定節(jié)奏發(fā)布，部署頻率為季度或者年；

6

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

3)通過手工方式提供和管理應(yīng)用的部署運(yùn)行環(huán)境，應(yīng)用生產(chǎn)過程的自動化低，每

個環(huán)節(jié)都需要人工審批；

4)需求TTM時長粒度為年；

5)應(yīng)用生產(chǎn)全過程無法度量，無法定位研發(fā)過程的效率瓶頸，缺乏可持續(xù)自主改

進(jìn)的基礎(chǔ)輸入；對應(yīng)用生產(chǎn)過程的質(zhì)量無法進(jìn)行跟蹤管理；

6)應(yīng)用上線前才進(jìn)行必需的安全檢查，或者全過程都沒有必需的安全檢查，或者

安全檢查采用單獨(dú)團(tuán)隊(duì)手工執(zhí)行的方式。

6.1.2發(fā)展級要求

開發(fā)生產(chǎn)線達(dá)到發(fā)展級，應(yīng)滿足以下要求：

1)初步需求管理采用多層次模型進(jìn)行分解，能夠?qū)崿F(xiàn)戰(zhàn)略級規(guī)劃到具體迭代開發(fā)

任務(wù)的端到端追溯、協(xié)同，需求收集分解采用手工方式；

注：多層次模型例如Epic-Feature-Story-Task。

2)應(yīng)用軟件按固定節(jié)奏發(fā)布，部署頻率為月；

3)半自動化方式提供和管理應(yīng)用的部署運(yùn)行環(huán)境，能定義測試、生產(chǎn)等環(huán)境，在

關(guān)鍵環(huán)節(jié)進(jìn)行人工審核，如：上線前；

4)需求TTM時長粒度為季度或者月；

5)應(yīng)用生產(chǎn)全過程的數(shù)據(jù)主要以人工收集，人工匯總，事后分析透視為主，無法

實(shí)時反饋應(yīng)用生產(chǎn)的狀態(tài)；

6)通過半自動化（人工+自動）對應(yīng)用生產(chǎn)過程實(shí)施必需的安全檢查和防護(hù)，安全

檢查覆蓋的范圍相對較窄，如：僅使用代碼靜態(tài)檢查。

6.1.3優(yōu)秀級要求

開發(fā)生產(chǎn)線達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)規(guī)?；褂妹艚蓍_發(fā)的需求多層次模型，需求管理全過程數(shù)字化、可視化，實(shí)

現(xiàn)從戰(zhàn)略需求到開發(fā)需求任務(wù)的無縫協(xié)同；

2)應(yīng)用軟件以按需、隨時、增量等不同方式部署發(fā)布；

3)應(yīng)用部署運(yùn)行環(huán)境的提供和配置完全自動化，CI/CD流水線自動化；

4)需求TTM時長粒度為天；

5)應(yīng)用生產(chǎn)全過程數(shù)據(jù)收集自動化，信息可視化（如當(dāng)前需求接納率，需求TTM，

軟件質(zhì)量缺陷，代碼安全超過閾值等），并能依據(jù)這些數(shù)據(jù)持續(xù)優(yōu)化；

6)應(yīng)用生產(chǎn)過程中采用漏洞掃描，開源風(fēng)險(xiǎn)分析，多語言代碼檢查等全流程的安

全措施；

7)開發(fā)生產(chǎn)線為用戶自建應(yīng)用提供開放構(gòu)建能力，對接外部或者第三方生態(tài)。

6.2組裝式開發(fā)

6.2.1初始級要求

組裝式達(dá)到初始級，應(yīng)滿足以下要求：

1)應(yīng)用開發(fā)基于SOA架構(gòu)和內(nèi)部API組件開發(fā)，各模塊間耦合性強(qiáng)；

2)應(yīng)用交付基于服務(wù)化架構(gòu)通過內(nèi)部標(biāo)準(zhǔn)協(xié)議進(jìn)行內(nèi)部開放。

6.2.2發(fā)展級要求

7

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

組裝式達(dá)到發(fā)展級，應(yīng)滿足以下要求：

1)應(yīng)用開發(fā)基于微服務(wù)架構(gòu)，用戶界面無組裝能力，按項(xiàng)目定制開發(fā)；

2)前端開發(fā)人員需要理解微服務(wù)API，根據(jù)業(yè)務(wù)場景設(shè)計(jì)用戶界面，完成前端代

碼開發(fā)、聯(lián)調(diào)和上線工作。

6.2.3優(yōu)秀級要求

組裝式達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)應(yīng)用開發(fā)基于組裝式架構(gòu)，可E2E組裝用戶界面和服務(wù)端組件（業(yè)務(wù)邏輯和數(shù)

據(jù)實(shí)體）；

2)應(yīng)用通過零碼/低碼平臺拖拉拽組件完成開發(fā)和交付；

3)應(yīng)用通過零碼/低代碼平臺可視化開發(fā)，平臺側(cè)自動實(shí)現(xiàn)應(yīng)用的部署、托管和運(yùn)

維，業(yè)務(wù)人員無須關(guān)注系統(tǒng)架構(gòu)和基礎(chǔ)設(shè)施、技術(shù)選型；

4)提供組裝式開發(fā)的開發(fā)能力，即基于原廠功能可以做擴(kuò)展。

6.3應(yīng)用托管

6.3.1初始級要求

應(yīng)用托管達(dá)到初始級，應(yīng)滿足以下要求：

1)各個業(yè)務(wù)使用獨(dú)立的發(fā)布工具管理應(yīng)用，通過各自腳本實(shí)現(xiàn)部分自動化，沒有

統(tǒng)一的應(yīng)用發(fā)布平臺；

2)應(yīng)用通過人工方式部署在云資源上，如：裸金屬機(jī)或云主機(jī)；

3)人工維護(hù)應(yīng)用與應(yīng)用依賴資源的配置關(guān)系。

6.3.2發(fā)展級要求

應(yīng)用托管達(dá)到發(fā)展級，應(yīng)滿足以下要求：

1)通過統(tǒng)一的發(fā)布平臺發(fā)布應(yīng)用，業(yè)務(wù)團(tuán)隊(duì)各自管理和運(yùn)維基礎(chǔ)設(shè)施；

2)應(yīng)用通過發(fā)布系統(tǒng)部署到資源，如：云主機(jī)或容器；

3)提供應(yīng)用與其使用的基礎(chǔ)設(shè)施資源的拓?fù)?，如：中間件，數(shù)據(jù)庫，節(jié)點(diǎn)等。

6.3.3優(yōu)秀級要求

應(yīng)用托管達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)有統(tǒng)一的發(fā)布平臺，提供基于模板的自動化應(yīng)用交付能力；組織內(nèi)不同團(tuán)隊(duì)的

最佳實(shí)踐沉淀為模板，通過發(fā)布平臺復(fù)用團(tuán)隊(duì)經(jīng)驗(yàn)；

2)用戶能夠自定義應(yīng)用與資源的模型，并對模型進(jìn)行編排調(diào)度，將應(yīng)用及依賴的

資源一鍵式部署上云；

3)能夠進(jìn)行灰度發(fā)布，實(shí)現(xiàn)業(yè)務(wù)在線發(fā)布；

4)提供變更管理，實(shí)現(xiàn)變更可追溯，開發(fā)人員按照變更管控要求對生產(chǎn)環(huán)境進(jìn)行

操作。

6.4可觀測性

6.4.1初始級要求

可觀測性達(dá)到初始級，應(yīng)滿足以下要求：

1)通過手工查看日志文件或通過OS命令查看指標(biāo)數(shù)據(jù)，對問題進(jìn)行分析，缺少日

8

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

志/監(jiān)控平臺。

6.4.2發(fā)展級要求

可觀測性達(dá)到發(fā)展級，應(yīng)滿足以下要求：

1)自建日志、監(jiān)控和性能平臺；

2)指標(biāo)、日志、性能等運(yùn)維數(shù)據(jù)孤立，缺少聯(lián)動分析；

3)觀測數(shù)據(jù)收集后缺少權(quán)限管理，能夠被公司內(nèi)部所有研發(fā)團(tuán)隊(duì)查看。

6.4.3優(yōu)秀級要求

可觀測性達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)使用全托管式可觀測分析平臺；

2)指標(biāo)、日志和性能數(shù)據(jù)可聯(lián)動分析，并以應(yīng)用或資源的維度統(tǒng)一呈現(xiàn)；

3)觀測數(shù)據(jù)按照運(yùn)維或管理人員角色劃分權(quán)限，控制觀測數(shù)據(jù)的操作范圍和權(quán)限；

4)提供用戶側(cè)到云服務(wù)側(cè)的全鏈路性能追蹤能力；

5)兼容云原生可觀測性南北向數(shù)據(jù)規(guī)范，如：OpenTelementry、Prometheus、

OpenTracing等。

6.5服務(wù)化架構(gòu)

6.5.1初始級要求

服務(wù)化架構(gòu)達(dá)到初始級，應(yīng)滿足以下要求：

1)采用單體或SOA架構(gòu)；

2)應(yīng)用依賴的基礎(chǔ)設(shè)施，如；緩存、消息和數(shù)據(jù)庫、容器平臺、對象存儲等，均為

自建和維護(hù)，缺少安全、可觀察性等方面建設(shè)。

6.5.2發(fā)展級要求

服務(wù)化架構(gòu)達(dá)到發(fā)展級，應(yīng)滿足以下要求：

1)采用微服務(wù)架構(gòu)，包含注冊中心，配置中心等基礎(chǔ)組件，各服務(wù)可獨(dú)立交付、

部署和擴(kuò)容；

2)采用云上托管中間件、數(shù)據(jù)庫，應(yīng)用無需關(guān)注部署、維護(hù)和自身穩(wěn)定性。

6.5.3優(yōu)秀級要求

服務(wù)化架構(gòu)達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)采用微服務(wù)架構(gòu)，各服務(wù)可獨(dú)立交付、部署和擴(kuò)容；

2)使用DDD方法論指導(dǎo)微服務(wù)架構(gòu)設(shè)計(jì)；

3)采用云上托管中間件和數(shù)據(jù)庫，應(yīng)用無需關(guān)注部署、維護(hù)和自身穩(wěn)定性；

4)使用無服務(wù)器托管形式，開發(fā)者僅需維護(hù)業(yè)務(wù)邏輯，節(jié)點(diǎn)運(yùn)維由云服務(wù)提供商

管理。如：使用函數(shù)服務(wù)、事件驅(qū)動服務(wù)、無服務(wù)器容器等。

7穩(wěn)定可靠能力指標(biāo)

7.1流量治理

7.1.1初始級要求

9

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

流量治理達(dá)到初始級，應(yīng)滿足以下要求：

1)各個業(yè)務(wù)團(tuán)隊(duì)使用不同的開源流量治理工具實(shí)現(xiàn)，能力層次不齊，如：Sentinel、

Hystrix等。

7.1.2發(fā)展級要求

流量治理達(dá)到發(fā)展級，應(yīng)滿足以下要求：

1)使用服務(wù)治理框架，支持部分開發(fā)語言與框架；

2)服務(wù)治理框架需要業(yè)務(wù)團(tuán)隊(duì)持續(xù)升級，版本碎片化嚴(yán)重；

3)提供服務(wù)的限流、降級和故障隔離等基礎(chǔ)治理能力。

7.1.3優(yōu)秀級要求

流量治理達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)具備統(tǒng)一服務(wù)治理框架，支持多語言異構(gòu)應(yīng)用統(tǒng)一治理；

2)支持非侵入模式，業(yè)務(wù)開發(fā)不感知，治理能力與業(yè)務(wù)解耦；

3)提供服務(wù)的限流、降級、故障隔離以及全鏈路灰度發(fā)布能力。

7.2業(yè)務(wù)彈性

7.2.1初始級要求

業(yè)務(wù)彈性達(dá)到初始級，應(yīng)滿足以下要求：

1)缺少自動彈性能力，手動對業(yè)務(wù)負(fù)載進(jìn)行彈性擴(kuò)縮容。

7.2.2發(fā)展級要求

業(yè)務(wù)彈性達(dá)到發(fā)展級，應(yīng)滿足以下要求：

1)支持定時、周期、CPU/內(nèi)存利用率等觸發(fā)擴(kuò)縮容；

2)提供分鐘級內(nèi)數(shù)百容器實(shí)例批量創(chuàng)建的彈性擴(kuò)展能力；

3)提供業(yè)務(wù)在單個云服務(wù)提供商的云之間彈性調(diào)度能力。

7.2.3優(yōu)秀級要求

業(yè)務(wù)彈性達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)支持定時、周期、事件觸發(fā)、自定義監(jiān)控指標(biāo)等觸發(fā)擴(kuò)縮容；

2)提供分鐘級內(nèi)數(shù)千容器實(shí)例批量創(chuàng)建的彈性擴(kuò)展能力；

3)提供業(yè)務(wù)在多云服務(wù)提供商的云之間，以及云計(jì)算數(shù)據(jù)中心和本地?cái)?shù)據(jù)中心之

間的彈性調(diào)度能力。

7.3多活容災(zāi)

7.3.1初始級要求

多活容災(zāi)達(dá)到初始級，應(yīng)滿足以下要求：

1)提供基于基礎(chǔ)設(shè)施層的計(jì)算、存儲、網(wǎng)絡(luò)資源的災(zāi)備；

2)支持RTO/RPO小時級的基礎(chǔ)設(shè)施災(zāi)難恢復(fù)。

7.3.2發(fā)展級要求

業(yè)務(wù)彈性達(dá)到發(fā)展級，應(yīng)滿足以下要求：

10

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

1)提供基于基礎(chǔ)設(shè)施、數(shù)據(jù)層、流量層的同城多活能力；

2)提供分鐘級的RTO/RPO的故障切換能力；

3)提供數(shù)據(jù)同步、一致性保障、應(yīng)用部署等能力，保障故障過程中業(yè)務(wù)不中斷。

7.3.3優(yōu)秀級要求

業(yè)務(wù)彈性達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)提供管理、流量、應(yīng)用、數(shù)據(jù)、基礎(chǔ)設(shè)施等全層次的異地多活能力；

2)提供秒級的RTO/RPO的業(yè)務(wù)之間切換的能力；

3)基于單元化架構(gòu)構(gòu)建業(yè)務(wù)，支持業(yè)務(wù)的靈活擴(kuò)展、故障爆炸半徑縮小到單元內(nèi)。

7.4混沌工程

7.4.1初始級要求

混沌工程達(dá)到初始級，應(yīng)滿足以下要求：

1)支持基于測試環(huán)境開展故障注入，驗(yàn)證系統(tǒng)可靠性能力或者需求；

2)通過故障注入工具開展基本的資源類故障，如突發(fā)高CPU、高內(nèi)存等；通過人

工觀測監(jiān)控?cái)?shù)據(jù)和分析系統(tǒng)可靠性能力。

7.4.2發(fā)展級要求

混沌工程達(dá)到發(fā)展級，應(yīng)滿足以下要求：

1)建立被測系統(tǒng)故障模式庫，制定測試方案并在測試環(huán)境例行開展可靠性測試；

2)通過故障注入工具開展復(fù)雜場景故障注入測試，如機(jī)房級故障、主機(jī)故障、應(yīng)

用進(jìn)程故障、數(shù)據(jù)庫/中間件故障、網(wǎng)絡(luò)故障等；自動采集監(jiān)控?cái)?shù)據(jù)，通過人工

開展可靠性量化評估；

3)基于測試環(huán)境或者預(yù)發(fā)環(huán)境開展故障演練，制定演練計(jì)劃、演練方案、組織陣

型、應(yīng)急響應(yīng)策略，建立基礎(chǔ)的故障演練流程。

7.4.3優(yōu)秀級要求

混沌工程達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)系統(tǒng)性建立和持續(xù)更新故障模式庫，研發(fā)環(huán)境全面例行開展可靠性測試，支持

故障模式全覆蓋和自動化評估；

2)故障注入工具具備完備的故障場景仿真能力，支持故障注入、穩(wěn)態(tài)指標(biāo)監(jiān)控、

可靠性量化評估、結(jié)果分析、實(shí)驗(yàn)防護(hù)、環(huán)境修復(fù)等全自動化；

3)基于故障演練平臺系統(tǒng)性建立故障演練體系和流程，包括演練計(jì)劃、演練方案、

組織陣型、演練通知、演練實(shí)施、演練報(bào)告和復(fù)盤、演練場景庫等能力；

4)生產(chǎn)環(huán)境按照月度或者周常態(tài)化開展故障演練、紅藍(lán)對抗、突擊演練等實(shí)踐，

持續(xù)提升系統(tǒng)故障響應(yīng)和恢復(fù)能力。

7.5性能壓測

7.5.1初始級要求

性能壓測達(dá)到初始級，應(yīng)滿足以下要求：

1)壓測過程中手動調(diào)節(jié)壓測流量、根據(jù)指標(biāo)熔斷壓測；

2)支持配置請求內(nèi)容的字段、檢查點(diǎn)、超時間等，實(shí)現(xiàn)自定義內(nèi)容的編寫。

11

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

7.5.2發(fā)展級要求

性能壓測達(dá)到發(fā)展級，在滿足初始級要求的基礎(chǔ)上，應(yīng)滿足以下要求：

1)支持在線編輯壓測腳本，參數(shù)文件；

2)支持在線調(diào)試壓力腳本，兼容開源腳本工具如Jmeter等，覆蓋多種常見協(xié)議，

如：HTTP/HTTPS/FTP/UDP/WebSocket等，實(shí)現(xiàn)自定義測試內(nèi)容；

3)支持從指定的環(huán)境、多執(zhí)行器發(fā)起壓力，如：私有資源組；

4)支持被測系統(tǒng)的監(jiān)控與告警。

7.5.3優(yōu)秀級要求

性能壓測達(dá)到優(yōu)秀級，在滿足發(fā)展級要求的基礎(chǔ)上，應(yīng)滿足以下要求：

1)支持壓測過程中自動調(diào)節(jié)壓測流量；

2)支持指定云廠商提供的網(wǎng)絡(luò)或多地域網(wǎng)絡(luò)發(fā)起壓力；

3)支持被測服務(wù)鏈路追蹤；

4)支持部分場景壓測熔斷，如：支持按照響應(yīng)時間、成功率指標(biāo)的壓測熔斷；

5)支持壓測數(shù)據(jù)隔離。

8安全可信能力指標(biāo)

8.1身份與權(quán)限安全

8.1初始級要求

身份與權(quán)限安全達(dá)到初始級，應(yīng)滿足以下要求：

1)根據(jù)企業(yè)組織架構(gòu)和角色設(shè)置不同訪問權(quán)限,實(shí)現(xiàn)基于角色的訪問控制；

2)支持基礎(chǔ)級聯(lián)邦身份認(rèn)證,如基于SAML、OIDC標(biāo)準(zhǔn)協(xié)議，實(shí)現(xiàn)單一身份源登

錄。

8.1.2發(fā)展級要求

身份與權(quán)限安全達(dá)到發(fā)展級，應(yīng)滿足以下要求：

1)根據(jù)部門、項(xiàng)目等次級組織單位細(xì)分訪問權(quán)限；

2)支持多種聯(lián)邦身份認(rèn)證，在多個內(nèi)部身份源基礎(chǔ)上，實(shí)現(xiàn)無縫單點(diǎn)登錄業(yè)務(wù)系

統(tǒng)、運(yùn)維及管理平臺；

3)支持用戶組劃分，對用戶進(jìn)行批量的權(quán)限管理，例如：將不同用戶放到同一用

戶組中，統(tǒng)一配置權(quán)限策略，無需為每個用戶單獨(dú)配置。

8.1.3優(yōu)秀級要求

身份與權(quán)限安全達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)支持精細(xì)的權(quán)限管理，支持對象粒度細(xì)致的訪問控制（精確到API）,最大程度

實(shí)現(xiàn)權(quán)限分離；

2)支持多種標(biāo)準(zhǔn)聯(lián)邦認(rèn)證協(xié)議,支持聯(lián)合身份認(rèn)證方式與風(fēng)險(xiǎn)策略相結(jié)合的安全

認(rèn)證。例如：IAM與AD之間的聯(lián)邦、不同IAM之間的聯(lián)邦、或者與LDAP的

聯(lián)邦；

3)支持用戶組劃分，對用戶進(jìn)行批量的權(quán)限管理，支持同一用戶劃分到不同用戶

12

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

組中；

4)支持區(qū)域內(nèi)資源隔離，實(shí)現(xiàn)跨系統(tǒng)和跨區(qū)域的單點(diǎn)登錄；

5)支持對用戶登錄后的操作行為進(jìn)行完整審計(jì)，如：新增賬號、將賬號切換到更

高權(quán)限的群組中等，以識別敏感操作；

6)提供靈活的委托管理機(jī)制，如：委托其他帳號或者云服務(wù)管理資源；

7)提供訪問策略管理，如：支持根據(jù)不同用戶組、不同云資源類型及屬性、不同操

作類型進(jìn)行細(xì)粒度控制等，用于管理用戶組、用戶的訪問權(quán)限。

8.2網(wǎng)絡(luò)安全

8.2.1初始級要求

網(wǎng)絡(luò)安全達(dá)到初始級，應(yīng)滿足以下要求：

1)支持G級別帶寬的DDos防御能力；

2)支持南北向ACL訪問控制、訪問記錄，支持網(wǎng)絡(luò)安全區(qū)域隔離劃分。

8.2.2發(fā)展級要求

網(wǎng)絡(luò)安全達(dá)到發(fā)展級，應(yīng)滿足以下要求：

1)支持10G~1000G帶寬的DDos防御能力；

2)支持南北向、東西向ACL訪問控制，訪問記錄，支持網(wǎng)絡(luò)安全區(qū)域隔離劃分；

3)支持南北向基于網(wǎng)絡(luò)流量特征的訪問控制、威脅預(yù)警。

8.3.3優(yōu)秀級要求

網(wǎng)絡(luò)安全達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)支持1T及以上帶寬的DDos防御能力，同時時延不超過ms級別；

2)支持南北向、東西向ACL訪問控制，訪問記錄，支持網(wǎng)絡(luò)安全區(qū)域隔離劃分；

3)支持南北向、東西向基于網(wǎng)絡(luò)流量特征的訪問控制、威脅預(yù)警；

4)提供傳輸通道的安全保障能力，如：支持TLS2.0及以上版本的協(xié)議；

5)支持對服務(wù)端的身份認(rèn)證，在安全等級要求較高場景下，支持雙向身份驗(yàn)證，

如：基于PKI數(shù)字證書的身份驗(yàn)證；

6)支持南北向、東西向網(wǎng)絡(luò)請求流量的限流降級保護(hù)，確保源站正常服務(wù)。

8.3應(yīng)用安全

8.3.1初始級要求

應(yīng)用安全達(dá)到初始級，應(yīng)滿足以下要求：

1)安全防護(hù)規(guī)則覆蓋OWASPTOP10中常見安全威脅。

8.3.2發(fā)展級要求

應(yīng)用安全達(dá)到發(fā)展級，在滿足初始級要求基礎(chǔ)上，應(yīng)滿足以下要求：

1)支持自定義安全規(guī)則配置，如：智能訪問控制、CC安全防護(hù)、黑白名單等，保

障應(yīng)用運(yùn)行安全。

8.3.3優(yōu)秀級要求

應(yīng)用安全達(dá)到優(yōu)秀級，在滿足發(fā)展級要求基礎(chǔ)上，應(yīng)滿足以下要求：

13

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

1)提供應(yīng)用開發(fā)階段端到端的安全合規(guī)檢測，包括：安全設(shè)計(jì)、隱私合規(guī)分析、

代碼檢查、二進(jìn)制成分分析、移動應(yīng)用安全等；

2)支持內(nèi)容的安全檢測，如：識別文本、圖片、視頻的不規(guī)范內(nèi)容。

8.4負(fù)載安全

8.4.1初始級要求

負(fù)載安全達(dá)到初始級，應(yīng)滿足以下要求：

1)自動檢測主機(jī)中的口令復(fù)雜度策略，關(guān)鍵軟件中含有風(fēng)險(xiǎn)的配置信息；

2)針對所發(fā)現(xiàn)的風(fēng)險(xiǎn)提供修復(fù)建議。

8.4.2發(fā)展級要求

負(fù)載安全達(dá)到發(fā)展級，在滿足初始級要求基礎(chǔ)上，應(yīng)滿足以下要求：

1)支持漏洞管理，如檢測Linux漏洞、Windows漏洞、Web-CMS漏洞、應(yīng)用漏洞。

8.4.3優(yōu)秀級要求

負(fù)載安全達(dá)到優(yōu)秀級，在滿足發(fā)展級要求基礎(chǔ)上，應(yīng)滿足以下要求：

1)支持對主機(jī)、容器進(jìn)行系統(tǒng)完整性的保護(hù)、應(yīng)用程序控制、行為監(jiān)控和基于主

機(jī)的入侵防御等，保護(hù)工作負(fù)載免受攻擊。

8.5數(shù)據(jù)安全

8.5.1初始級要求

數(shù)據(jù)安全達(dá)到初始級，應(yīng)滿足以下要求：

1)支持?jǐn)?shù)據(jù)庫的數(shù)據(jù)資產(chǎn)安全管理；

2)提供數(shù)據(jù)加密能力。

8.5.2發(fā)展級要求

數(shù)據(jù)安全達(dá)到發(fā)展級，應(yīng)滿足以下要求：

1)支持對象存儲、數(shù)據(jù)庫的數(shù)據(jù)資產(chǎn)安全管理；

2)提供專屬的數(shù)據(jù)加密能力，如：HYOK加密。

8.5.3優(yōu)秀級要求

數(shù)據(jù)安全達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)支持對象存儲、數(shù)據(jù)庫、大數(shù)據(jù)系統(tǒng)的數(shù)據(jù)資產(chǎn)安全管理；

2)通過數(shù)據(jù)安全總覽整合數(shù)據(jù)安全生命周期各階段狀態(tài)，對外整體呈現(xiàn)云上數(shù)據(jù)

安全態(tài)勢。

8.6合規(guī)治理

8.6.1初始級要求

合規(guī)治理達(dá)到初始級，應(yīng)滿足以下要求：

1)支持安全合規(guī)治理法規(guī)標(biāo)準(zhǔn)條款代碼化，周期性、自動化掃描租戶云上資產(chǎn)的

合規(guī)情況。

14

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

8.6.2發(fā)展級要求

合規(guī)治理達(dá)到發(fā)展級，應(yīng)滿足以下要求：

1)支持安全合規(guī)法規(guī)標(biāo)準(zhǔn)條款轉(zhuǎn)化成檢查項(xiàng)，可根據(jù)檢查項(xiàng)完成租戶自身業(yè)務(wù)的

合規(guī)評估。

8.6.3優(yōu)秀級要求

合規(guī)治理達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)提供ISO27701、ISO27001等安全合規(guī)治理模板，合規(guī)策略和自評估檢查項(xiàng)；

2)自動化、持續(xù)性掃描租戶云上資產(chǎn)的合規(guī)狀態(tài)，快速梳理業(yè)務(wù)情況并且提供證

據(jù)鏈管理功能。

8.7安全運(yùn)營

8.7.1初始級要求

安全運(yùn)營達(dá)到初始級，應(yīng)滿足以下要求：

1)支持基礎(chǔ)資產(chǎn)安全管理，如：對主機(jī)、IP類型的資產(chǎn)導(dǎo)入、導(dǎo)出等；

2)支持安全風(fēng)險(xiǎn)掃描,如：發(fā)現(xiàn)互聯(lián)網(wǎng)暴露高危端口的資產(chǎn)、未覆蓋安全服務(wù)產(chǎn)品

的資產(chǎn)。

3)支持收集、查看部分安全服務(wù)產(chǎn)品的告警，如：主機(jī)、應(yīng)用、網(wǎng)絡(luò)，可提供簡單

的告警處理操作；

4)支持整體云上資產(chǎn)安全健康現(xiàn)狀評估，快速感知安全狀態(tài)，快速了解未處理風(fēng)

險(xiǎn)對用戶資產(chǎn)的整體威脅狀況。

8.7.2發(fā)展級要求

安全運(yùn)營達(dá)到發(fā)展級，應(yīng)滿足以下要求：

1)支持云上資產(chǎn)自動盤點(diǎn)；支持其它資產(chǎn)的導(dǎo)入，如：云外資產(chǎn)、多云資產(chǎn)；資產(chǎn)

具有明確的歸屬，如：應(yīng)用、部門；

2)支持安全風(fēng)險(xiǎn)掃描,如：發(fā)現(xiàn)互聯(lián)網(wǎng)暴露高危端口的資產(chǎn)、未覆蓋安全服務(wù)產(chǎn)品

的資產(chǎn)；支持安全基線掃描，如：發(fā)現(xiàn)最佳實(shí)踐基線檢查弱配置；支持漏洞掃

描，如：發(fā)現(xiàn)OS漏洞、應(yīng)用漏洞；

3)支持基于SIEM分析威脅，可自定義配置威脅告警處理規(guī)則；提供基本的安全

事件跟蹤審計(jì)；

4)支持提供整體而全面的安全評估結(jié)果，定期或按需生成任一安全運(yùn)營報(bào)告和安

全運(yùn)營大屏，且必須有云上態(tài)勢的呈現(xiàn)能力。

8.7.3優(yōu)秀級要求

安全運(yùn)營達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)支持對多類型的資產(chǎn)安全管理，如：主機(jī)、IP、網(wǎng)站/域名、數(shù)據(jù)庫/數(shù)據(jù)平臺等；

云上資產(chǎn)自動盤點(diǎn)；支持其它資產(chǎn)的導(dǎo)入，如：云外資產(chǎn)、多云資產(chǎn)；資產(chǎn)具有

明確的歸屬，如：應(yīng)用、部門；資產(chǎn)與告警、事件、漏洞、基線之間可關(guān)聯(lián)；資

產(chǎn)與資產(chǎn)之間可關(guān)聯(lián)；

2)支持安全風(fēng)險(xiǎn)掃描,如：發(fā)現(xiàn)互聯(lián)網(wǎng)暴露高危端口的資產(chǎn)、發(fā)現(xiàn)未覆蓋安全服務(wù)

產(chǎn)品的資產(chǎn)；支持多類型安全基線掃描，如：發(fā)現(xiàn)最佳實(shí)踐基線檢查弱配置、

15

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

發(fā)現(xiàn)PCI-DSS/ISO等法規(guī)標(biāo)準(zhǔn)基線檢查弱配置、發(fā)現(xiàn)自定義基線檢查弱配置；

支持漏洞掃描，如：發(fā)現(xiàn)OS漏洞、應(yīng)用漏洞；支持云防護(hù)策略的設(shè)置與維護(hù)；

3)支持基于SIEM分析威脅，開放式采集數(shù)據(jù)；可構(gòu)建復(fù)雜威脅告警分析模型；

基于SOAR響應(yīng)威脅，開放式聯(lián)動安全服務(wù)產(chǎn)品或其他任意工具；支持外部威

脅情報(bào)信息接入，并運(yùn)用到威脅分析及響應(yīng)流程中；支持完整的攻擊鏈還原分

析；

4)支持提供整體而全面的安全評估結(jié)果，定期或按需生成任一安全運(yùn)營報(bào)告，并

支持發(fā)送、可自定義安全運(yùn)營報(bào)告；支持安全運(yùn)營大屏呈現(xiàn)云上多種態(tài)勢，如：

綜合態(tài)勢、資產(chǎn)態(tài)勢、風(fēng)險(xiǎn)態(tài)勢、威脅態(tài)勢、值班響應(yīng)等；

5)統(tǒng)一運(yùn)營、作戰(zhàn)協(xié)同：支持云上云下統(tǒng)一管理。

9業(yè)務(wù)智能能力指標(biāo)

9.1智能湖倉

9.1.1初始級要求

智能湖倉達(dá)到初始級，應(yīng)滿足以下要求：

1)依賴開源Hadoop大數(shù)據(jù)分析/數(shù)倉技術(shù)，自建數(shù)據(jù)分析平臺；

2)分析組件按業(yè)務(wù)需要和技能熟悉度自主搭配集成，數(shù)據(jù)分析引擎性能與開源社

區(qū)持平；

3)數(shù)據(jù)湖存儲僅支持本地HDFS，不支持對象存儲。

9.1.2發(fā)展級要求

智能湖倉達(dá)到發(fā)展級，在滿足初始級要求的基礎(chǔ)上，應(yīng)滿足以下要求：

1)大數(shù)據(jù)分析/數(shù)倉分析平臺分析引擎性能較開源社區(qū)技術(shù)有差異化提升，包括功

能增強(qiáng)、性能增強(qiáng)；

2)數(shù)據(jù)湖支持存算分離彈性架構(gòu)，數(shù)據(jù)存儲支持對象存儲，計(jì)算和存儲可靈活彈

性擴(kuò)展；

3)湖和倉之間數(shù)據(jù)能夠共享，實(shí)現(xiàn)快速數(shù)據(jù)流動；

4)湖倉平臺增強(qiáng)企業(yè)級管理能力，包括：監(jiān)控、告警、日志、審計(jì)、用戶管理、作

業(yè)管理等。

9.1.3優(yōu)秀級要求

智能湖倉達(dá)到優(yōu)秀級，在滿足發(fā)展級要求的基礎(chǔ)上，應(yīng)滿足以下要求：

1)提供統(tǒng)一的數(shù)據(jù)湖構(gòu)建能力，打通湖與倉、湖與AI平臺、倉與AI平臺，實(shí)現(xiàn)

統(tǒng)一的元數(shù)據(jù)和安全，減少數(shù)據(jù)搬遷；

2)湖倉平臺提供細(xì)粒度的監(jiān)控，支持作業(yè)智能診斷和調(diào)優(yōu)推薦能力；

3)支持湖倉平臺軟硬調(diào)優(yōu)能力，具備一些硬件加速的算子。

9.2數(shù)據(jù)治理生產(chǎn)線

9.2.1初始級要求

數(shù)據(jù)治理達(dá)到初始級，應(yīng)滿足以下要求：

16

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

1)支持通過開源數(shù)據(jù)集成工具構(gòu)建數(shù)據(jù)接入能力，以批量接入為主；

2)提供簡單的數(shù)據(jù)SQL開發(fā)界面，實(shí)現(xiàn)數(shù)據(jù)的關(guān)聯(lián)查詢分析。

9.2.2發(fā)展級要求

數(shù)據(jù)治理達(dá)到發(fā)展級，在滿足初始級的基礎(chǔ)上，應(yīng)滿足以下要求：

1)提供統(tǒng)一的數(shù)據(jù)開發(fā)平臺，提供可視化作業(yè)編輯和基于DAG的編排能力，提供

腳本代碼多個版本的統(tǒng)一管理；

2)支持血緣分析和質(zhì)量監(jiān)控，業(yè)務(wù)流程能夠有效打通；

3)提供基本的數(shù)據(jù)安全管理能力，包括認(rèn)證、授權(quán)、存儲加密、傳輸加密、基本的

脫敏等。

9.2.3優(yōu)秀級要求

數(shù)據(jù)治理達(dá)到優(yōu)秀級，在滿足發(fā)展級要求的基礎(chǔ)上，應(yīng)滿足以下要求：

1)提供自動化數(shù)據(jù)管理能力，包括：自動提供數(shù)據(jù)質(zhì)量評估結(jié)果（如：數(shù)據(jù)重復(fù)度

等）、自動識別敏感數(shù)據(jù)、自動實(shí)現(xiàn)數(shù)據(jù)分級分類、自動進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析和搜

索推薦（如：基于數(shù)據(jù)資產(chǎn)圖譜）；

2)支持維度建模、關(guān)系建模等數(shù)據(jù)標(biāo)準(zhǔn)規(guī)范，以提升數(shù)據(jù)開發(fā)的質(zhì)量以及后期數(shù)

據(jù)指標(biāo)和對象的可維護(hù)性；

3)統(tǒng)一管理數(shù)據(jù)資產(chǎn)（如：提供企業(yè)全局資產(chǎn)目錄等方式），支持不同業(yè)務(wù)單元進(jìn)

行快速查找、申請和分析數(shù)據(jù)；

4)提供數(shù)據(jù)安全管理能力，支持敏感數(shù)據(jù)分級分類自動管理，采、存、算、管、用

全流程支持敏感數(shù)據(jù)保護(hù)，支持?jǐn)?shù)據(jù)水印跟蹤，面向不同場景的數(shù)據(jù)合規(guī)性診

斷、數(shù)據(jù)安全態(tài)勢感知和風(fēng)險(xiǎn)管理；

5)提供智能化數(shù)據(jù)管理能力，包括：智能分類分級、智能脫敏、智能清洗等。

9.3AI開發(fā)平臺

9.3.1初始級要求

AI開發(fā)平臺達(dá)到初始級，應(yīng)滿足以下要求：

1)基于開源框架和Notebook類工具自建AI訓(xùn)練平臺，AI平臺管理無規(guī)范化；

示例1：框架指TensorFlow、PyTorch、Spark等。

示例2：Notebook工具指Jupyter、Zepplin等。

2)預(yù)置算法以開源算法為主；

3)開發(fā)過程中的多人協(xié)同主要靠人工交流。

9.3.2發(fā)展級要求

AI開發(fā)平臺達(dá)到發(fā)展級，在滿足初始級的基礎(chǔ)上，應(yīng)滿足以下要求：

1)提供模型開發(fā)全生命周期的工具鏈，支持模型、算法等資產(chǎn)管理和共享；

2)提供模型全生命周期的管理能力，包括：提供統(tǒng)一的模型倉庫，支持模型發(fā)布

管理，支持多廠家算法的統(tǒng)一管理；

3)提供面向多角色的統(tǒng)一開發(fā)環(huán)境，支持多版本、多人協(xié)作的交互式AI算法開發(fā)，

提供云上、云下一致的開發(fā)體驗(yàn)；

4)提供基礎(chǔ)通用AI能力，如：計(jì)算機(jī)視覺、自然語言處理、語音語義識別等，支

17

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

持通過工作流集成通用AI能力以進(jìn)行場景化模型二次開發(fā)；

5)提供異構(gòu)算力資源統(tǒng)一管理能力，支持多種標(biāo)準(zhǔn)接口訪問，提供機(jī)器學(xué)習(xí)、深

度學(xué)習(xí)、強(qiáng)化學(xué)習(xí)等能力，提供基本的數(shù)據(jù)準(zhǔn)備能力、數(shù)據(jù)標(biāo)注能力和特征管

理能力。

9.3.3優(yōu)秀級要求

AI開發(fā)平臺達(dá)到優(yōu)秀級，在滿足發(fā)展級的基礎(chǔ)上，應(yīng)滿足以下要求：

1)支持分布式、高性能、大規(guī)模訓(xùn)練能力，支持模型并行、數(shù)據(jù)并行、混合并行等

加速能力；

2)支持智能數(shù)據(jù)標(biāo)注，提供多場景訓(xùn)練數(shù)據(jù)；

3)支持預(yù)訓(xùn)練模型，如：NLP大模型、CV大模型、多模態(tài)大模型等，縮短場景化

二次訓(xùn)練的周期；

4)支持多種AI硬件和框架；

示例1：硬件指的是昇騰、昆侖芯、曙光DCU、寒武紀(jì)等。

示例2：AI框架指的是MindSpore，PanddlePanddle等。

5)支持邊緣推理，端、邊、云AI場景聯(lián)動，模型下推和數(shù)據(jù)回流。

9.4智能決策

9.4.1初始級要求

智能決策達(dá)到初始級，應(yīng)滿足以下要求：

1)支持基于具體的業(yè)務(wù)場景或部門需求定制開發(fā)業(yè)務(wù)決策系統(tǒng)及業(yè)務(wù)指標(biāo)統(tǒng)計(jì)的

大屏應(yīng)用；

2)具備基礎(chǔ)的數(shù)據(jù)處理和分析，如采用Excel表格功能分析數(shù)據(jù)；

3)支持規(guī)則可自定義配置的決策引擎。

9.4.2發(fā)展級要求

智能決策達(dá)到發(fā)展級，在滿足初始級要求基礎(chǔ)上，應(yīng)滿足以下要求：

1)具備通用的決策平臺，支持自主分析的BI工具和可視化決策大屏；

2)支持規(guī)則引擎結(jié)合預(yù)測模型進(jìn)行商業(yè)決策，規(guī)則引擎覆蓋已知業(yè)務(wù)模式，預(yù)測

模型滿足部分場景預(yù)測，實(shí)現(xiàn)智能優(yōu)化業(yè)務(wù)決策；

3)具備自研或者集成商業(yè)求解器，提供常規(guī)數(shù)學(xué)規(guī)劃建模求解能力；

4)求解器支持十萬級參數(shù)，在有限時間內(nèi)（小時級）找到可行的決策方案。

9.4.3優(yōu)秀級要求

智能決策達(dá)到優(yōu)秀級，在滿足發(fā)展級要求基礎(chǔ)上，應(yīng)滿足以下要求：

1)支持NLP等AI能力，通過自然語言交互式分析查詢到用戶所需數(shù)據(jù)，實(shí)現(xiàn)自

動分析、智能推薦；

2)支持?jǐn)?shù)據(jù)片段和數(shù)據(jù)點(diǎn)的智能根因分析，關(guān)聯(lián)指標(biāo)及圖表推薦，多維下鉆；

3)求解器覆蓋大部分現(xiàn)實(shí)中的數(shù)學(xué)規(guī)劃問題，包含LP和MIP等問題的建模求解；

4)求解器支持百萬級以上參數(shù)。

10成本優(yōu)化能力指標(biāo)

18

中國軟件行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)T/SIA036-2023

10.1財(cái)務(wù)管理

10.1.1初始級要求

財(cái)務(wù)管理達(dá)到初始級，應(yīng)滿足以下要求：

1）通過賬單了解云資源消費(fèi)和支出。

10.1.2發(fā)展級要求

財(cái)務(wù)管理達(dá)到發(fā)展級，應(yīng)滿足以下要求：

1)部分組織有成本意識和成本管理；

2)通過賬單了解云資源消費(fèi)和支出，并監(jiān)控賬戶和資源包；

3)提供少量維度的成本分析報(bào)告，通過成本可視化難以看清各個部門、項(xiàng)目成本，

無法對超支的部門、項(xiàng)目問責(zé)；

4)對部分資源利用率進(jìn)行監(jiān)控和優(yōu)化。

10.1.3優(yōu)秀級要求

財(cái)務(wù)管理達(dá)到優(yōu)秀級，應(yīng)滿足以下要求：

1)在組織內(nèi)部貫徹成本意識，創(chuàng)建成本透明度和成本問責(zé)制；

2)提供工具制定預(yù)算支出規(guī)劃，并對已上云業(yè)務(wù)和新增業(yè)務(wù)對資源的需求成本進(jìn)

行預(yù)測，預(yù)測成本與估算成本之和與實(shí)際支出差異不高于20%；

3)通過工具監(jiān)控預(yù)算、賬