采購需求及技術服務要求

1、2018年Checkmarx源代碼安全掃描工具軟件維護服務項 目采購需求及技術服務要求一、工單化要求、項目結果指標、過程指標的考核付款要求概述乙方及其所代理原廠商（以下統(tǒng)稱“乙方”），需根據(jù)甲方制定的操作規(guī)程及相關制度提供服務，乙方所有服務工作內容需做到工單化，甲方的工單系統(tǒng)包括不限于：新運維服務管理系統(tǒng)、JIRA系統(tǒng)、坐席支持系統(tǒng)。針對本項目，甲方采取“以結果為導向的過程管理”的項目管理方式，結果與過程兼顧的考核方式。采購需求及技術服務要求，包含項目結果與項目過程兩個方面。項目結果是項目預期達到的目標。項目過程是用于實現(xiàn)項目結果的相關具體服務內容。甲方將依據(jù)工單記錄，對乙方實際達到的項目結果

2、指標及過程指標進行考核，如未達到合同約定指標的，按合同條款，經(jīng)甲乙雙方協(xié)商一致后，甲方向乙方支付合同費用，將扣除考核不合格相應部分金額。甲方有權在合同執(zhí)行過程中，根據(jù)每周統(tǒng)計的工單結果， 對乙方服務情況、工單化情況進行評價和預警，乙方有義務整改。1、服務對象序號品牌軟件名稱數(shù)量數(shù)量單位服務起始日期 （年月日）服務終止日期 （年月日）1以色列Checkmarx公司CheckmarxCxE nterprise永久lice nse網(wǎng)絡版源代碼安全掃描工具1套2018年8月3日2019年8月2日備注:若合同簽署日期晚于 2018年8月3日，則服務期限以合同簽署之日起計算滿一年。三、項目結果指標、項目過

3、程指標說明項目結果指標，將從可用性（慢不慢）、連續(xù)性（斷不斷）、安全性三個方面細化，詳見下表（一）項目結果指標體系序號項目結果指標分類結果指標名稱考核指標值1安全風險值代碼漏洞安全風險漏報272可用性系統(tǒng)穩(wěn)定程度99.99%3連續(xù)性重大事故發(fā)生的次數(shù)0次/年4重大事故平均恢復時間0小時5安全性重大安全事故發(fā)生次數(shù)0次/年1、可用性定義：協(xié)議可用時間定義為：自合同約定期限一年內，共計365天，每天24小時計算，服務期限為 365*24=8760小時計劃外宕機時間定義為：基于本項目，因系統(tǒng)軟件本身原因或原廠商維護人員未按照運維規(guī)范進行運維操作的原因導致，雙方認可的宕機時間。根據(jù)新運維系統(tǒng)對發(fā)生的事

4、件單進行提數(shù)，確認計劃外停機的事件單，根據(jù)事件單的解決時長確認計劃外宕機時間。計算公式:系統(tǒng)穩(wěn)定程度=協(xié)議可用時間間？計劃外宕機時2、連續(xù)性定義：協(xié)議可用時間重大事故定義為：1）基于本項目，甲方一家或多家分公司所轄全體營業(yè)機構的一項或多項核心業(yè)務無法正常使用且原因待查的事故；2）基于本項目，甲方一家或多家分公司所轄全體營業(yè)機構的一項或多項核心業(yè)務無法正常使用，且預計一小時內無法恢復的事 故；計算公式：根據(jù)新運維系統(tǒng)事件工單數(shù)據(jù)，統(tǒng)計全年發(fā)生的重大事故次數(shù)重大事故平均恢復時間的定義：故障恢復時長是指故障發(fā)生時起（如果有日志可以追查則為日志記錄時間，否則為運維方發(fā)現(xiàn)時間）至甲方業(yè)務確認恢復正常時

5、止所用的時間。重大事故平均恢復時間=事件1故障恢復時長+事件2故障恢復時長/重大事故發(fā)生次數(shù)計算公式：根據(jù)新運維系統(tǒng)運維工單數(shù)據(jù)，統(tǒng)計全年發(fā)生重大事故的次數(shù)。3、安全性重大安全事故定義為： 基于本項目范圍內，因設備或軟件本身原因，乙方以及乙方所代理的原廠商維保服務根據(jù)本技術要求提供的相關服務工作的失 誤、服務工作不滿足甲方要求、服務工作不合規(guī)、以及服務人員人為因素等原因導致的核心信息系統(tǒng)發(fā)生較大規(guī)模癱瘓，系統(tǒng)中斷時 間超過8小時，對甲方運營管理及客戶利益等造成特別嚴重損害的事件； 基于本項目范圍內，因設備或軟件本身原因，乙方以及乙方所代理的原廠商維保服務根據(jù)本技術要求提供的相關服務工作的失誤、

6、服務工作不滿足甲方要求、服務工作不合規(guī)、以及服務人員人為因素等原因導致的、因乙方以及乙方所代理的原廠商人為原因導 致大規(guī)模范圍網(wǎng)絡中斷或者網(wǎng)絡蠕蟲病毒傳播事件致大規(guī)模通信癱瘓，中斷時間超過8小時的事件； 基于本項目范圍內，因設備或軟件本身原因，乙方以及乙方所代理的原廠商維保服務根據(jù)本技術要求提供的相關服務工作的失誤、服務工作不滿足甲方要求、服務工作不合規(guī)、以及服務人員人為因素等原因導致的大批量客戶信息丟失，可能損害被保險人利益 的事件； 經(jīng)過責任認定，屬于本技術要求范圍內等其他導致甲方長時間業(yè)務中斷或影響社會聲譽的特別重大信息系統(tǒng)安全突發(fā)事件，計算公式：對新運維系統(tǒng)的運維工單數(shù)據(jù)進行提數(shù)，統(tǒng)計

7、全年發(fā)生重大安全事故的次數(shù)。（二）項目過程指標體系序號服務內容計劃性/非計 劃性服務對應結果指標過程指標：工作量過程指標：服務質量考核數(shù)據(jù)來源計劃性工作工作量要求服務質量指標名稱考核 指標 值工單系統(tǒng)名稱工單類型1版本升級計劃性無1次/年無1次/年新運維服務管理 系統(tǒng)變更2規(guī)則優(yōu)化計劃性無2次/年無2次新運維服務管理變更/年系統(tǒng)3定期巡檢計劃性系統(tǒng)穩(wěn)定度1次/季度無1次/季1 度新運維服務管理系統(tǒng)巡檢4支持服務非計劃性重大事故平 均恢復時間，系統(tǒng)穩(wěn)定度無電話響應時間<0.5小時新運維服務管理系統(tǒng)事件、問題5支持服務非計劃性重大事故平 均恢復時間，系統(tǒng)穩(wěn)定度無工程師到場時間<4小時新

8、運維服務管理系統(tǒng)事件、問題6支持服務非計劃性重大事故平 均恢復時間，系統(tǒng)穩(wěn)定度無系統(tǒng)恢復時間<8小時新運維服務管理系統(tǒng)事件、問題【備注】計劃性服務內容是指預防性的主動性的日常運維工作，如巡檢等。非計劃性服務內容是指事件、問題等服務內容，服務工作量、服務質量過程指標描述（1）版本升級：服務商在質量保證期為用戶提供版本升級服務。服務商需在新版本發(fā)布后的5個工作日內，為用戶完成版本升級。版本升級服務每年不少于一次。（2、規(guī)則優(yōu)化：服務商在質量保證期為用戶提供規(guī)則優(yōu)化服務。服務商根據(jù)用戶使用工具的實際情況，對工具的掃描分析規(guī)則進行優(yōu)化，頻率為 每年不少于兩次。3、定期巡檢： 服務商在質量保證期為

9、用戶提供定期巡檢服務。服務商需定期為用戶提供工具巡檢服務，頻率為每季度一次。4、支持服務：針對 checkmarx 產(chǎn)品提供 7*24 小時技術支持電話熱線服務，指定 1-2 名緊急聯(lián)系人，協(xié)調相關資源，及時對甲方提供服務、保證 故障的及時解決，7x 24小時接聽甲方電話。針對 checkmarx工具異?；蛘郀顟B(tài)不可用的故障，接到支持需求必須及時作出響應。根 據(jù)甲方需求，原廠工程師提供電話、郵件或現(xiàn)場的技術咨詢服務。（1）支持服務的電話響應時間：定義：針對軟件故障提供原廠商的技術支持電話熱線服務，解答技術問題和故障咨詢，接到支持需求必須在30 分鐘內做出回應；計算公式：根據(jù)新運維支持系統(tǒng)的事件

10、工單響應時間和記錄的電話響應時間：電話響應時長 =電話響應時點 - 事件建單與分類提交時點（2）支持服務的工程師到場時間： 定義：當電話服務不能解決問題，提供原廠商現(xiàn)場支持 , 工程師接到報修后到現(xiàn)場； 計算公式：根據(jù)新運維支持系統(tǒng)的事件單受理時長和記錄的工程師到場時間：工程師到場時長 =工程師到場時點 - 事件建單與分類提交時點（3）支持服務的系統(tǒng)恢復時間：定義：發(fā)生系統(tǒng)宕機時，協(xié)助甲方盡快恢復操作系統(tǒng)；計算公式：系統(tǒng)恢復時間 = 系統(tǒng)恢復時點 - 事件建單與分類提交時點四、項目信息安全風險指標應用系統(tǒng)資產(chǎn)價值 * 威脅環(huán)境 * 軟件代碼漏洞引入的脆弱性單個應用系統(tǒng)軟件代碼漏洞風險值=L，其

11、中N表示應用系統(tǒng)軟件代碼中發(fā)現(xiàn)的中危等級以上漏洞。根據(jù)公司信息安全風險管理規(guī)則：1、系統(tǒng)資產(chǎn)價值以公司內部確定為準；2、外部威脅環(huán)境 =5 ，內部威脅環(huán)境 =3；3、軟件代碼漏洞引入的脆弱性，高危漏洞脆弱性=5，中危漏洞脆弱性 =3。項目信息安全風險指標要求：單個應用系統(tǒng)軟件代碼漏洞安全風險值漏報平均值<27 （系統(tǒng)資產(chǎn)，威脅環(huán)境，脆弱性均取值3）五、考核付款要求 第一次付款：本合同生效之日起 15 個工作日內（可順延 20 個工作日），甲方在收到乙方的付款通知、增值稅專用發(fā)票、收據(jù) （金額為本次付款金額數(shù)）等向乙方支付合同總金額 50% 的款項。第二次付款：服務期結束后，甲方在收到乙方

12、的付款通知、增值稅專用發(fā)票、收據(jù)（金額為本次付款金額數(shù)）、考核結果等后 15 個工作日內（可順延 20 個工作日），甲方向乙方支付合同剩余費用。合同金額的 50% 為基準費用并扣除乙方人員違反人保財險信息技術部外來人員安全管理細則產(chǎn)生的罰款金額后的費用X綜合測評得分十100分(具體形式及最終內容依據(jù)甲方相關管理規(guī)定再行確定)序號考核指標指標名稱未達到指標扣分分值(考核滿分為 100分)1安全指標軟件代碼漏洞安全風險值漏報(1 )如安全風險值漏報頭測結果，未超過承諾值，不扣分；(2)如安全風險值漏報實測結果，超過承諾值，每1%對應扣除1分，不足1%按1%計算，如：超出 0.5%扣1分，超出1%扣1分，超出1.5%扣2分，超出 2%扣2分 7%扣7分。-2系統(tǒng)穩(wěn)定程度10U3結果指標74 s <7 L p