《采购需求及技术服务要求.doc》由会员分享,可在线阅读,更多相关《采购需求及技术服务要求.doc(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2018年Checkmarx源代码安全扫描工具软件维护服务项目采购需求及技术服务要求一、工单化要求、项目结果指标、过程指标的考核付款要求概述乙方及其所代理原厂商(以下统称“乙方”),需根据甲方制定的操作规程及相关制度提供服务,乙方所有服务工作内容需做到工单化,甲方的工单系统包括不限于:新运维服务管理系统、JIRA系统、坐席支持系统。针对本项目,甲方采取“以结果为导向的过程管理”的项目管理方式,结果与过程兼顾的考核方式。采购需求及技术服务要求,包含项目结果与项目过程两个方面。项目结果是项目预期达到的目标。项目过程是用于实现项目结果的相关具体服务内容。甲方将依据工单记录,对乙方实际达到的项目结果指
2、标及过程指标进行考核,如未达到合同约定指标的,按合同条款,经甲乙双方协商一致后,甲方向乙方支付合同费用,将扣除考核不合格相应部分金额。甲方有权在合同执行过程中,根据每周统计的工单结果,对乙方服务情况、工单化情况进行评价和预警,乙方有义务整改。二、服务对象序号品牌软件名称数量数量单位服务起始日期(年月日)服务终止日期(年月日)1以色列 Checkmarx公司Checkmarx CxEnterprise永久license网络版源代码安全扫描工具1套2018年8月3日2019年8月2日备注:若合同签署日期晚于2018年8月3日,则服务期限以合同签署之日起计算满一年。三、项目结果指标、项目过程指标说明
3、项目结果指标,将从可用性(慢不慢)、连续性(断不断)、安全性三个方面细化,详见下表。(一)项目结果指标体系序号项目结果指标分类结果指标名称考核指标值1安全风险值代码漏洞安全风险漏报272可用性系统稳定程度99.99%3连续性重大事故发生的次数0次/年4重大事故平均恢复时间0小时5安全性重大安全事故发生次数0次/年1、可用性定义:协议可用时间定义为:自合同约定期限一年内,共计365天,每天24小时计算,服务期限为 365*24=8760小时计划外宕机时间定义为:基于本项目,因系统软件本身原因或原厂商维护人员未按照运维规范进行运维操作的原因导致,双方认可的宕机时间。 根据新运维系统对发生的事件单进
4、行提数,确认计划外停机的事件单,根据事件单的解决时长确认计划外宕机时间。计算公式:2、连续性定义:重大事故定义为:1) 基于本项目,甲方一家或多家分公司所辖全体营业机构的一项或多项核心业务无法正常使用且原因待查的事故;2) 基于本项目,甲方一家或多家分公司所辖全体营业机构的一项或多项核心业务无法正常使用,且预计一小时内无法恢复的事故;计算公式:根据新运维系统事件工单数据,统计全年发生的重大事故次数重大事故平均恢复时间的定义:故障恢复时长是指故障发生时起(如果有日志可以追查则为日志记录时间,否则为运维方发现时间)至甲方业务确认恢复正常时止所用的时间。重大事故平均恢复时间=事件1故障恢复时长+事件
5、2故障恢复时长/重大事故发生次数计算公式:根据新运维系统运维工单数据,统计全年发生重大事故的次数。3、安全性重大安全事故定义为:基于本项目范围内,因设备或软件本身原因,乙方以及乙方所代理的原厂商维保服务根据本技术要求提供的相关服务工作的失误、服务工作不满足甲方要求、服务工作不合规、以及服务人员人为因素等原因导致的核心信息系统发生较大规模瘫痪,系统中断时间超过8小时,对甲方运营管理及客户利益等造成特别严重损害的事件;基于本项目范围内,因设备或软件本身原因,乙方以及乙方所代理的原厂商维保服务根据本技术要求提供的相关服务工作的失误、服务工作不满足甲方要求、服务工作不合规、以及服务人员人为因素等原因导
6、致的、因乙方以及乙方所代理的原厂商人为原因导致大规模范围网络中断或者网络蠕虫病毒传播事件致大规模通信瘫痪,中断时间超过8小时的事件;基于本项目范围内,因设备或软件本身原因,乙方以及乙方所代理的原厂商维保服务根据本技术要求提供的相关服务工作的失误、服务工作不满足甲方要求、服务工作不合规、以及服务人员人为因素等原因导致的大批量客户信息丢失,可能损害被保险人利益的事件;经过责任认定,属于本技术要求范围内等其他导致甲方长时间业务中断或影响社会声誉的特别重大信息系统安全突发事件, 计算公式:对新运维系统的运维工单数据进行提数,统计全年发生重大安全事故的次数。(二)项目过程指标体系序号服务内容计划性/非计
7、划性服务对应结果指标过程指标:工作量过程指标:服务质量考核数据来源计划性工作工作量要求服务质量指标名称考核指标值工单系统名称工单类型1版本升级计划性无1次/年无1次/年新运维服务管理系统变更2规则优化计划性无2次/年无2次/年新运维服务管理系统变更3定期巡检计划性系统稳定度1次/季度无1次/季度新运维服务管理系统巡检4支持服务非计划性重大事故平均恢复时间,系统稳定度无电话响应时间0.5小时新运维服务管理系统事件、问题5支持服务非计划性重大事故平均恢复时间,系统稳定度无工程师到场时间 4小时新运维服务管理系统事件、问题6支持服务非计划性重大事故平均恢复时间,系统稳定度无系统恢复时间8小时新运维服
8、务管理系统事件、问题【备注】计划性服务内容是指预防性的主动性的日常运维工作,如巡检等。非计划性服务内容是指事件、问题等。服务内容,服务工作量、服务质量过程指标描述(1)版本升级:服务商在质量保证期为用户提供版本升级服务。服务商需在新版本发布后的5个工作日内,为用户完成版本升级。版本升级服务每年不少于一次。(2、规则优化:服务商在质量保证期为用户提供规则优化服务。服务商根据用户使用工具的实际情况,对工具的扫描分析规则进行优化,频率为每年不少于两次。3、定期巡检:服务商在质量保证期为用户提供定期巡检服务。服务商需定期为用户提供工具巡检服务,频率为每季度一次。4、支持服务:针对checkmarx产品
9、提供7*24小时技术支持电话热线服务,指定1-2名紧急联系人,协调相关资源,及时对甲方提供服务、保证故障的及时解决,724小时接听甲方电话。针对checkmarx工具异常或者状态不可用的故障,接到支持需求必须及时作出响应。根据甲方需求,原厂工程师提供电话、邮件或现场的技术咨询服务。(1)支持服务的电话响应时间:定义:针对软件故障提供原厂商的技术支持电话热线服务,解答技术问题和故障咨询,接到支持需求必须在30分钟内做出回应; 计算公式:根据新运维支持系统的事件工单响应时间和记录的电话响应时间: 电话响应时长=电话响应时点-事件建单与分类提交时点(2)支持服务的工程师到场时间:定义:当电话服务不能
10、解决问题,提供原厂商现场支持,工程师接到报修后到现场;计算公式:根据新运维支持系统的事件单受理时长和记录的工程师到场时间: 工程师到场时长=工程师到场时点-事件建单与分类提交时点(3)支持服务的系统恢复时间:定义:发生系统宕机时,协助甲方尽快恢复操作系统;计算公式:系统恢复时间=系统恢复时点-事件建单与分类提交时点四、项目信息安全风险指标单个应用系统软件代码漏洞风险值 = ,其中N表示应用系统软件代码中发现的中危等级以上漏洞。根据公司信息安全风险管理规则:1、系统资产价值以公司内部确定为准;2、外部威胁环境=5,内部威胁环境=3;3、软件代码漏洞引入的脆弱性,高危漏洞脆弱性=5,中危漏洞脆弱性
11、=3。项目信息安全风险指标要求:单个应用系统软件代码漏洞安全风险值漏报平均值27(系统资产,威胁环境,脆弱性均取值3)。五、考核付款要求第一次付款:本合同生效之日起15个工作日内(可顺延20个工作日),甲方在收到乙方的付款通知、增值税专用发票、收据(金额为本次付款金额数)等向乙方支付合同总金额50%的款项。第二次付款:服务期结束后,甲方在收到乙方的付款通知、增值税专用发票、收据(金额为本次付款金额数)、考核结果等后15个工作日内(可顺延20个工作日),甲方向乙方支付合同剩余费用。合同金额的50%为基准费用并扣除乙方人员违反人保财险信息技术部外来人员安全管理细则产生的罚款金额后的费用 综合测评得
12、分 100分(具体形式及最终内容依据甲方相关管理规定再行确定)序号考核指标指标名称未达到指标扣分分值(考核满分为100分)1安全指标软件代码漏洞安全风险值漏报(1)如安全风险值漏报实测结果,未超过承诺值,不扣分;(2)如安全风险值漏报实测结果,超过承诺值,每1%对应扣除1分,不足1%按1%计算,如:超出0.5%扣1分,超出1%扣1分,超出1.5%扣2分,超出2%扣2分7%扣7分。2结果指标系统稳定程度103重大事故发生的次数104重大事故平均恢复时间105重大安全事故发生次数106过程指标版本升级工作量107规则优化工作量108定期巡检工作量109电话响应时间1010工程师到场时间1011系统恢复时间10扣分合计100