信息化项目第三方测评服务项目采购需求.docx

信息化项目第三方测评服务项目采购需求一、项目要求与依据（一）主要测评依据（以国家相关部门颁发的最新标准为准）1、GB/T8567-2006计算机软件文档编制规范2、GBT9385-2008计算机软件需求规格说明规范3、GB/T9386-2008计算机软件测试文档编制规范4、GBT14394-2008计算机软件可靠性和可维护性管理5、GBT25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则6、GB/T22080-2008信息技术安全技术信息安全管理体系要求7、GBZ24364-2009信息安全技术信息安全风险管理指南8、GB/T28453-2012信息安全技术信息系统安全管理评估要求9、ISO15408（CC）信息技术-安全技术-IT安全评估准则10、XX市XX区政府投资信息化项目管理办法11、项目相关文档（包括但不限于）：可行性研究报告、项目建设方案、项目招投标文件、项目合同书、需求说明书、概要设计说明书、数据库设计说明书、详细设计说明书、用户使用手册、操作手册、系统维护手册、系统安装手册、工程变更单等。（二）第三方测评内容与要求1、服务商应及时完成验收测评、安全测评现场测评工作，对测评中发现的问题提供整改建议及回归测试等服务。2、符合性检查应依据项目立项申报资料、XX区政务服务和数据管理局立项审核意见、项目验收文档和第三方测评报告（需测评项目）等，对项目建设内容的完整性和前后一致性进行综合审查。二、服务目标与原则通过组织服务商对区财政投资信息化项目进行测评，及时发现项目中存在的问题、及时进行整改，提高项目建设质量，规范项目验收流程，从而达到规范项目实施流程，提高项目建设质量和资金使用效果，加强XX区财政投资信息化项目管理的目的。1、公平原则服务商需严格遵守国家现行的有关标准,公正、独立、自主地开展测评工作，维护采购人的合法权益。2、标准性原则服务商应依据相关国家标准、行业标准开展测试和分析工作。要求所使用的标准和规范如与实施方所执行的标准不一致时，按较高标准执行。3、优质服务原则要求服务商提供的是最低限度的要求，服务商应保证提供符合测试和分析要求和有关标准的优质服务，并确保测试报告符合项目最终验收的所有要求。4、保密原则对测试和分析服务过程中接触到的各种信息，不得泄漏给任何单位和个人,未经允许不得利用这些信息从事与服务无关的活动。服务商及服务商安排的工程师需要和项目采购人签订保密协议，服务商对项目下的保密资料应尽到管理人的义务，保密义务最低不得低于其对自己保密信息应尽的审慎态度。如保密资料涉及国家机密，服务商应当遵守国家有关国家机密的保密规定。采购人应与服务商签订保密协议，以厘清服务商保密职责与义务。5、非破坏性测试原则对于被测试的业务系统应确保系统运行和数据安全，不得产生因测试带来的系统破坏和数据损失，并不因测试而产生其它非业务数据，如确实因测试需要而产生非业务数据，则须经过采购人同意方可开展测试（提供承诺函，格式自拟）。三、项目服务内容要求根据相关国家、行业标准、XX市XX区政府投资信息化项目管理办法、项目资料等为XX区政务信息化项目制订测评方案，并根据测评方案中规定的指标和评判标准对指定测评对象(包括软硬件)实施测评，其中包括对信息安全、信息网络系统、应用系统、信息资源共享、公共信息平台、视频类平台、符合性进行测评，在实施测评前与实施测评后分别提交详细的项目测评方案、项目信息安全测评报告、验收测评报告及符合性检查报告。投标人提供同类型测评案例的测评方案及报告，应包括对每种测评类型所采用标准、测评方法和测评工具的详细描述，内容包括但不限于：(一)信息安全测评服务1 .测试内容(1)系统配置检查服务器操作系统序号测评对象测评单元测评项要求备注1服务器操作系统身份鉴别应采用账户名密码、生物技术、动态口令等一种或多种相结合的身份认证方式。配置修改2服务器操作系统身份鉴别1、操作系统口令应有复杂度要求并定期更换，要求账户口令长度应至少为8位，口令必须从字符(a-z,A-Z)、数字(0-9)、符号(!#$%八&*()_<>)中至少选择两种进行组合。2、必须修改默认初始化密码配置修改3服务器操作系统身份鉴别应启用用户登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。配置修改4服务器操作系统身份鉴别对主机系统进行远程管理应采用加密的方式进行访问。配置修改5服务器操作系统访问控制应确保用户名唯一性，保证操作系统特权用户权限分离（如：实现操作系统和数据库特权用户的权限分离）。配置修改6服务器操作系统访问控制应重命名系统默认账户，修改默认账户口令。配置修改7服务器操作系统访问控制应定期审查操作系统账户，及时删除或禁用多余、过期的账户。配置修改8服务器操作系统访问控制应对重要系统文件的访问权限进行限制。配置修改9服务器操作系统访问控制应关闭操作系统的共享服务，并关闭多余的服务端口,关闭445、139、135、21、23等敏感服务端口配置修改10服务器操作系统安全审计应开启操作系统日志审计功能，或通过第三方审计系统对操作系统进行审计，审计策略应覆盖到所有用户。配置修改11服务器操作系统安全审计审计日志记录必须保存两个月以上，应避免日志文件受到未预期的删除、修改或覆盖等。配置修改12服务器操作系统安全审计应设定日志系统配置文件权限和日志文件权配置修改数据库系统序号测评对象测评单元测评项要求备注1数据库系统身份鉴别数据库口令应有复杂度要求并定期更换，要求管理员账户口令长度应至少为8位，口令必须从字符(a-z,A-Z)、数字(0-9)、符号(！#$%八&*()_<>)中至少选择两种进行组合，普通账户口令至少为6位，由非纯数字或字母组成。配置修改(组件安装)2数据库系统身份鉴别应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。配置修改3据库系统身份鉴别当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。配置修改4数据库系统身份鉴别应为数据库系统的不同用户分配不同的用户名，禁止多人共用一个数据库管理员账号。配置修改5数据库系统访问控制应启用访问控制功能，依据安全策略控制用户对资源的访问。要求数据库系统的宿主操作系统除提供数据库服务外，不得提供其它网络服务，如：WWW>FTP、DNS等。限制数据库安装、数据文件、备份等目录的权限。关闭不必要的数据库系统服务。配置修改6数据库系统访问控制应在宿主操作系统中设置本地数据库专用账号，并赋予该账户除运配置修改行各种数据库服务外的最低权限。7数据库系统访问控制应用系统账户应按照最小权限的原则，严禁应用系统账户具有DBA权限。配置修改8数据库系统访问控制应限制默认账户的访问权限，修改默认账户的默认口令。配置修改9数据库系统访问控制应定期审查数据库账户，及时删除或禁用多余、过期的账户。配置修改10数据库系统安全审计应开启数据库审计功能，或通过第三方审计系统对数据库进行审计，审计范围应覆盖到数据库所有账户。配置修改11数据库系统安全审计应保护审计记录，避免受到未预期的删除、修改或覆盖等，审计记录要求保存2个月以上。配置修改12数据库系统安全审计应设定日志系统配置文件权限和日志文件权限。配置修改13数据库系统入侵防范数据库应遵循最小安装的原则，仅安装需要的组件，并定期更新数据库补丁。配置修改补丁安装14数据库系统入侵防范应加密保存数据库中的敏感字段，如：用户鉴别信息等。应用设计（代码）Web中间件系统序号测评对象测评单元测评项要求备注1Web中间件系统身份鉴别设置口令安全策略，口令长度至少为8位以上，口令必须从字符（a-z,A-Z）、数字（0-9）、符号（!配置修改（一般禁用）#$%八&*（）_<>）中至少选择两种进行组合，由非纯数字或字母组成。如中间件无法配置口令安全策略，应从管理上要求。2Web中间件系统身份鉴别中间件用户鉴别信息应加密存储。配置修改（一般禁用）3Web中间件系统身份鉴别应提供登录失败处理功能，限制账户非法登录次4数，设置账户失败尝试次数、账户锁定时间等。配置修改（一般禁用）4Web中间件系统访问控制中间件系统的宿主操作系统除运行中间件以及与信息系统运行相关的服务和功能外，不应提供多余的服务或功能，不应开放多余的关口。配置修改5Web中间件系统访问控制应在宿主操作系统中设置本地中间件专用账户，并赋予该账户除运行中间件服务外的最低权限。配置修改6Web中间件系统访问控制应对中间件的默认管理账户进行管控，修改默认用户名及默认口令。配置修改（一般禁用）7Web中间件系统安全审计应设置中间件的日志审计功能，并对审计进程进行保护。配置修改8Web中间件系统安全审计应设置审计日志容量的50M以上，日志必须保存超过2个月。配置修改9Web中间件系统安全审计应对安全审计的日志记录文件进行保护，设置记录文件的访问权限，windows操作系统everyone用户应没有写权限，其他操作系配置修改统用户权限应低于640o10Web中间件系统资源控制中间件应启用会话超时功能。配置修改11Web中间件系统入侵防范中间件应对错误页面进行了重定向处理。配置修改12Web中间件系统入侵防范中间应禁止目录遍历。配置修改13Web中间件系统入侵防范中间件应对版本信息进行隐藏。配置修改14Web中间件系统入侵防范中间件管理后台操作进行登录源限制。配置修改（一般禁用）应用系统序号测评对象测评单元测评项要求备注1应用系统身份鉴别应启用应用系统身份认证功能。应用设计（代码）2应用系统身份鉴别管理员账户口令长度至少为8位，口令必须从字符（a-z,A-Z）、数字（0-9）、符号（!#$%八&*（）_<>）中至少选择两种进行组合，普通账户口令至少为6位，由非纯数字或字母组成，密码验证在数据库存储过程中实现。应用设计（代码）3应用系统身份鉴别非单点登录的应用系统，登录时应附加随机码验证。应用设计（代码）4应用系统身份鉴别应提供应用系统登录失败处理功能，可采取结束会话、限制非法应用设计（代码）登录次数和自动退出等措施。5应用系统访问控制由授权主体配置访问控制策略，并严格限制默认账户的访问权限。默认账号应不为admin>supadmin>root等常见管理员账号。配置修改6应用系统访问控制应对不同用户的访问权限进行严格的权限控制，特权账户权限分离，管理员账户不参与业务流程。应用设计（代码）配置修改7应用系统安全审计应启用应用系统日志审计功能，审计日志内容应至少包含以下项：用户登录、登出、失败登录日志；管理员授权操作日志；创建、删除（注销）用户操作日志；重要业务操作。应用设计（代码）配置修改8应用系统安全审计日志记录应包括：主体、客体、事件类型，日期时间、描述、结果等。应用设计（代码）9应用系统安全审计应对日志记录进行保护，禁止非授权删除或修改日志记录，日志记录应保存2个月以上。应用设计（代码）10应用系统通信完整性采用校验码技术保证通信过程中数据的完整性。应用设计（代码）或配置修改11应用系统通信保密性在通信双方建立连接之前，应用系统利用密码技术进行会话初始化验证。配置修改12应用系统通信保密敏感信息在传输前应采用加密机应用设计性制加密后传输。（代码）或配置修改13应用系统软件容错提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。应用设计（代码）14应用系统软件容错应具备文件上传白名单过滤功能，禁止上传asp、jsp、exe、vbs>com等类型文件。应用设计（代码）15应用系统资源控制应用系统应具备空闲超时自动结束会话功能。配置修改16应用系统资源控制应限制应用系统的最大并发会话连接数。配置修改17应用系统资源控制应限制应用系统对单个账户的多重并发会话数。应用设计（代码）数据安全及备份恢复策略序号测评对象测评单元测评项要求备注1数据安全及备份恢复策略数据完整性应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。配置修改2数据安全及备份恢复策略数据保密性应采用加密或其他保护措施实现鉴别信息的存储保密性。应用设计（代码）或配置修改3数据安全及备份恢复策略备份和恢复应能够对重要信息进行备份和恢复。备份策略4数据安全及备份恢复策略备份和恢复应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性。冗余策略通过测评要求：不存在高风险项，允许遗留少量中、低风险项。（2）漏洞扫描根据单位实际情况，主要针对网络/主机/应用系统漏洞扫描，采用综合最全面的漏洞库以及有效的扫描技术，准确发现网络中的资源系统设备,包括:操作系统,网络设备，数据库，网站及第三方或客户应用程序的漏洞，例如DRoWN漏洞、OPenSSLCCS注入漏洞、HeartBleed漏洞、SSLV3POODLE漏洞、TLSRobOt漏洞、CRlME漏洞等，检查系统补丁是否更新、帐号弱口令、数据库补丁是否更新、应用软件补丁是否更新等，确保系统漏洞能及时发现，及时处理，保障系统的安全运行。（3）恶意代码检查针对上线系统进行恶意代码检查，避免存在webshell等恶意文件。2 .测试要求（1）规范各系统文档资料，协调测试计划时间安排，编写测试方案计划，并组织实施测试。根据测试结果，编写并提交测试报告，保证测试内容与测试方案一致。（2）严格管理项目参加人员，把控方案、计划、实施工作，确保测试工作按时保质完成；根据各信息系统上线和部署要求，合理安排安全测试计划。（3）现场安全测评应该包括系统配置检查、漏洞扫描、恶意代码检查三大部分。（4）在测试过程中报告发现的安全漏洞、恶意代码提出整改建议；在承建方完成整改后进行回归测试，验证安全漏洞、恶意代码整改建议已得到正确处理且未引入新的安全风险。3 .安全要求安全测评本身也会引入安全风险，须加强测评过程中的风险控制。项目实施前，双方应充分讨论并明确测评对系统可能带来的风险和隐患，确定测评及评估对象、测评方法和工具，并制定应急恢复措施。(1)操作的申请和监护测评操作须遵守现场运行规章制度,确保系统安全稳定运行。如需在线测试,按照相关工作规程，事前申请，并在专责人员的指导和监护下进行。(2)人员与数据管理重视保密工作,加强测评过程中的保密管理,确保参与测评工作人员的可靠、稳定，防止敏感信息泄漏。(3)测评对象选择优先选择备用设备(系统)或临时搭建的模拟环境进行测评，避免影响在线系统运行。(4)制定应急预案根据被测系统情况，在测评实施前制定应急预案，加强系统在线应急处置能力。4 .测试工具要求需具备1、软件应用层安全扫描工具；2、软件源代码安全扫描工具；3、测试文档辅助工具；4、开源组件依赖检测系统、5、数据库安全扫描系统。(二)验收测评服务1 .测试内容服务内容包括且不局限于项目信息网络系统验收测试、信息应用系统验收测试、信息资源共享测试、公共信息平台测试、视频类平台测试等信息化项目建设内容。序号项目测试项子项目测试项具体测试项目1信息网络系统测试机房工程测试接地电阻测试2电能质量测试3防静电测试4机房环境监控系统测试5综合布线测试光纤特性测试6设备安装检测7缆线铺设和标识检测8网络安全和管理平台检测网络安全和管理功能复核测试9网络基础平台检测网络性能测试（包括但不限于网络吞吐量测试、网络时延测试）10信息应用系统测试功能测试11安全性测试12可靠性测试13性能测试14可维护性测试15可移植性测试16易用性测试17适应性测试18接口测试19用户文档测试20信息资源共享测试完整性、一致性、准确性检查21内部数据库整合检查22数据格式规范性检查23信息资源目录注册完整性检查24共享信息资源提供检查25共享信息资源应用检查26公共信息平台测试信息门户测试27公共云平台测试28应用支撑平台测试29服务接口测试30视频类平台测试视频类平台软件测试31视频类平台功能测试32视频类平台性能测试33视频存储测试34接入城市视频专网平台的互联互通测试35视频类平台安全性测试36视频监控平台运行和维护要求测试2 .测试要求服务商按照GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和验收测评细则及项目文档（含立项方案、招标文件、投标文件、合同文件、项目需求、概要设计、详细设计、数据库设计、操作手册等）编制第三方验收测评方案，内容须包括但不限于测评目标、测评依据、测评环境、测评工具、测评方法、测评内容、测评进度安排、测评结论判定标准等。验收测评实施流程的基本要求:（1）验收测评准备阶段：验收测评准备阶段服务要求包括第三方验收测评方案制定、验收测评环境准备、验收测评数据准备等3方面。1）第三方验收测评方案制定：服务商接收到项目验收测评任务，收集项目资料（包含但不仅限于立项方案、招标文件、投标文件、合同文件、需求规格说明书、概要设计说明书、详细设计说明书、数据库设计说明书、操作手册、安装部署手册、三方测试报告等），由验收测评项目经理组织编制第三方验收测评方案，并提交采购人进行评审。2）验收测评环境准备：服务商确认验收测评环境的网络环境、硬件环境、软件环境满足项目验收测评需求。3）验收测评数据准备：服务商确认待测软件的数据量满足项目验收测评需要。（2）验收测评设计阶段：服务商编制用例，明确验收测评内容的具体执行方法，包括输入及操作、对应功能的输出或期望结果等。（3）验收测评实施阶段：服务商项目经理组织验收测评团队执行项目验收测评计划和第三方验收测评方案中规定的验收测评项目和验收测评内容。在执行过程中，验收测评工程师应认真观察并如实记录验收测评过程、验收测评结果和发现的缺陷，认真填写验收测评记录。（4）验收测评分析阶段：当所有用例都执行完毕后，服务商应分析验收测评工作是否充分，是否需要增加新的验收测评。当验收测评过程正常终止时，如果发现验收测评工作不足，应对软件系统进行补充验收测评，直到验收测评达到预期要求，如果验收测评过程异常终止时，应记录导致终止的原因、未完成的验收测评内容。完成首轮验收测评后服务商应出具完整的验收测评问题报告集，一般包括下面几项内容：1）总结验收测评计划和验收测评内容的变化情况及其原因。2）对验收测评异常终止情况进行分析，确定未能被验收测评活动充分覆盖的范围。3）确定未能解决的软件验收测评事件以及不能解决的理由。4）确定开发的软件系统与需方的立项方案、招标文件和合同文件要求之间的差异。（5）回归测评阶段：服务商应针对验收测评问题报告集中的问题进行免费的回归测评直至验收测评通过为止。（6）验收测评总结阶段：服务商针对验收测评结果进行客观评价，并出具公平公正的第三方验收测评报告。采购人应组织对服务商输出的第三方验收测评报告进行评审，评审是否达到了测评目的、测评文档是否符合要求，评审验收测评执行的有效性、验收测评结果的正确性和合理性。1）验收测评调研：对项目进行调研，包括梳理项目文档、与项目相关单位（用户部门、承建单位、监理单位）沟通及现场调研等。2）验收测评准备：测评计划、测评方案、测评用例集、测评脚本等的编制和准备。项目的测评方案必须包括且不限于以下内容：测试依据、测试内容、针对每项测试内容的测试方法、测试过程及每阶段工作内容及提交物、人员组织等。3）测评方案评审：测评方案需经项目采购人确认。4）测试执行：完成测评方案中要求的所有内容，并填写详细测试记录。5）测试问题报告集提交：提交完整的问题报告集。6）回归测试：对测试中发现的故障及影响范围进行回归测试。7）测试报告编制并由服务商内部审核。8）测试报告提交：提交正式验收测试报告。9）验收测评报告内容及数据应准确、完整、客观、公正；10）验收测评服务质量应符合政府信息化主管部门颁发的项目验收规范中的相关要求，且技术评测结果及报告必须提交最终用户确认。3 .安全要求对于被测试的业务系统应确保系统运行和数据安全，不得产生因测试带来的系统破坏和数据损失，并不因测试而产生其它非业务数据，如确实因测试需要而产生非业务数据，则须经过采购人同意方可开展测试。4 .测试工具要求需具备：1、软件性能测试工具（至少满足500用户数）；2、自动测试软件；3、BUG跟踪管理工具或软件测试缺陷跟踪系统；4、测评项目进度管理工具；5、软件测试用例设计系统。5 .能力验证1、具有软件功能性与易用性测试能力验证结果满意证书；2、具有软件效率测试能力验证结果满意证书；3、具有可靠性及兼容性测试能力验证结果满意证书。（三）符合性检查服务内容包括但不限于：项目工作内容完成情况检查、项目实施情况检查、项目配置项审计及检查、管理服务等，对购置项、开发产品等进行现场检查，检查结果应明确是否一致，对不符合要求项目与不符合要求部分应逐项列出，并说明理由。序号服务类别服务内容要求1项目建设目标完成情况检查项目建设内容完成情况检查对项目的建设内容进行检查确认2对项目的采购内容进行检查确认3对项目的验收内容进行检查确认4对项目建设内容与建设单位业务职能的关联性进行检查确认5公共平台应用验收与公共平台互通性检查（如果对本项目有要求）6视频类平台测试验收与相关联平台互通性检查确认（如果对本项目有要求）7视频类产品符合性抽样测试验收对视频类产品进行符合性检查确认（如果对本项目有要求）8项目实施情况检查项目资金使用情况对项目实施过程中的资金使用情况进行检查确认9项目试运行情况对项目的试运行情况进行检查确认10项目配置项审计及检项目文档对项目的过程文档进行检查确认11项目报告对项目的信息安全及验收测评报告进行检查确认查12管理服务项目验收管理规范服务针对项目验收管理提出合理化建议，优化项目验收管理流程13项目评价服务提供项目评价服务四、项目人员要求实行项目经理负责制，全面负责项目测评合同的履行、负责项目的测评全过程管理工作。项目经理应具有软考的信息系统项目管理师、软件设计师、软件评测师证书、信息安全工程师、网络工程师证书证书等资质证书，本项目负责人需要一名软信行业以软测能力为基础的复合型人才，需要全面清楚了解软件设计框架、网络系统规划运行等信息系统工程能力，证书与测试业务及对项目负责人的综合能力相关。有丰富财政投资信息化项目测试经验，熟悉政府工作方式、办事流程，优秀的沟通能力和口头、文字表达能力，协调处理能力强。本项目需安排一名具有验收测评、安全测评、符合性检查相关技术及经验的技术专家，负责贯彻执行国家颁布的施工验收规范、质量验收标准、组织实施项目质量管理制度，负责技术交底，审定技术测评方案并组织实施，技术专家需具有计算机相关专业本科或以上学历、具有软考的软件评测师、系统分析师证书、信息系统项目管理师证书等资格证书。测评工作技术专家在项目测评深度和广度上有要求，譬如能对系统进行分析，对信息系统项目有全面的了解和认知，且符合性检查需要对项目过程文档通盘审查，需要有项目管理相关能力。测评工作必须由具有相应资质和职称的人员来担任。项目团队成员，不少于6名，要求具有信息系统工程项目的测试工作经验，具本科或以上学历且具有软考的软件评测师证书。项目经理和开展测评的工程师要求投标文件方案中给出具体的名单、资质等证明材料。投标人应保证参与该项目的测评的工程师必须全职，原则上不允许中途更换测评工程师，因不可抗力因素导致服务商人员发生变更的，服务商必须在5个工作日内书面通知采购人，替代人员必须具有与原人员相当或更高的资质和能力。五、进度要求1、服务商接受到测评服务委托书及相关项目资料后的5个工作日内提交测评方案，包含测评工作计划。2、服务商开展服务测评工作，初次测评完毕3个工作日内，提交完整的问题清单。3、进行回归测试，确认提交的问题全部整改完毕后，7个工作日内提交第三方测评报告。六、组织实施要求本项目组织实施要求是服务商需对本项目测评工作做出具体安排，严格管理流程，制定出详细的安全测评和验收测评方案和时间计划，并就建立规范的测评流程、科学的测评方法、全面的测评内容、完善的测评工具、完备的测评指标体系和测评结果、有效的安全保密控制措施做出说明。严格落实人员安排，控制实施进度和项目质量，并能根据采购人的要求合理调整实施安排。七、文档管理要求服务商应在合同规定时间内，按采购人需求提供相应资料及服务报告，包括：服务商应在测评现场按相关要求完成现场测评并及时编制测评问题报告集，其中测评问题报告集的格式与采购人协商制定，内容应包括问题存在的系统、问题分类、问题详细描述、风险等级、问题整改方法等。服务商应在项目完成时，将本项目所有测评方案、测评问题报告集、第三方测评报告汇集成册交付给采购人，所有文件要求用中文书写或有完整的中文注释。验收后，服务商按国家、省以及采购人档案管理要求，向采购人提供装订成册的纸质文档至少1套，电子文档1套。八、质量保证要求服务商应建立完善的实验室管理体系，测评过程中，应通过各类评审和质量监督措施,保证测评过程、测评工作成果的质量。在完善的测试过程管理基础上，服务商应配套提供完善的支撑过程，包括但不限于：(1)保密管理：服务商依据相关要求，建立完善的保密管理制度，确保采购人知识产权、专利权、技术秘密和商业秘密不受损害。(2)配置管理：服务商应配备配置管理员，使用配置管理软件完成测试各项接收件和中间过程产品、测试记录以及各类交互文件等文件配置项，使测评过程中涉及的各配置项处于受控状态。九、方案要求(1)对XX区政府投资信息化项目的管理办法和流程的理解和认识：提供对XX区政府投资信息化项目的管理办法和流程的理解和认识(包括：对国内政务信息化的整体理解和认识、数字XX方案的理解和认识、XX区政务信息化的整体理解和认识)，需对项目理解到位、把握程度高、清晰度、准确度强及对相关服务方案的理解透彻(2)验收测评需求的响应方案、安全测评需求的响应方案、符合性审查需求的响应方案：要求测试需求的响应方案阐述详细、科学合理，可行性高。十、交付物要求为XX区政务信息化项目提供第三方测评服务后出具项目的安全测评报告、验收测评报告及符合性检查报告。十一、付款方式本项目合同是费率合同，根据每一个子项目的支付标准、服务商报价的中标折扣及考核结果进行结算和支付，子项目实际支付金额=支付标准X服务商的中标折扣。1 .首期款：采购包合同签订后15个工作日内，服务商向采购人提供与支付金额相等的发票，采购人在收到发票后5个工作日内办理支付手续向服务商支付合同金额的30%。2 .过程款：每年的5月和10月为集中支付节点，服务商可在集中支付节点根据第三方测评服务进度并汇总支付情况确认表后，提请一次集中支付过程款,采购人也可根据财政资金使用情况追加支付次数；2.1 各第三方测评服务子项目服务金额中的10%为服务考核款，服务考核等级对应的支付比例具体如下：1）考核评价等次属于A级，服务考核款支付比例为100%；2）考核评价等次属于B级，服务考核款支付比例为80%；3）考核评价等次属于C级，服务考核款支付比例为50%；4）考核评价等次属于D级，服务考核款支付比例为20%；5）考核评价等次属于E级，服务考核款支付比例为0。2.2 首次过程款：如各采购包第三方测评服务子项目累计服务金额超过首期款，在集中支付节点前，按各采购包第三方测评服务子项目累计服务金额X90%一首期款，在收到发票后5个工作日内办理支付手续向服务商支付首次过程款,如各采购包第三方测评服务子项目累计服务金额未超过首期款，则不予支付。2.3 其余过程款：在集中支付节点前，按各采购包第三方测评服务子项目累计服务金额X90%,在收到发票后5个工作日内办理支付手续向服务商支付过程款。3 .尾款：本项目通过整体验收后，采购人向成交供应商支付该项目尾款，服务商向采购人提供与支付金额相等的发票，采购人在收到发票后5个工作日内办理支付手续向服务商支付合同金额的10%o4 .由于采购人使用的是财政拨付资金，需财政部门拨付预算和审批。因此,上述付款时间为采购人向政府采购支付部门提出支付申请的时间，而非款项实际支付时间，财政部门安排预算后再申请支付，即采购人向政府采购支付部门提出申请视为采购人已履行应尽义务，不视为采购人违约。实际支付时间以财政部门安排的时间为准，实际支付金额以财政部门拨付预算为准，如因政府财政支付流程导致的支付延期或财政部门当年未安排足额预算，采购人不承担逾期支付责任,同时也不能作为服务商延迟履行或者不履行合同义务的抗辩理由。十二、考核方式（I）服务商提供的服务人员、服务内容、服务成果不符合本次招标需求或者合同规定的，采购人有权拒收，并且服务商须向采购人支付合同总价10%的违约金。（2）服务商未能按本次招标需求或者合同规定的服务时间提供服务，从逾期之日起每日按合同总价3%。的数额向采购人支付违约金；逾期半个月以上的,由此造成的采购人的经济损失由服务商承担。（3）服务商的合同支付与绩效考核挂钩，测评服务费的10%为测评服务考核款，绩效考核内容见“绩效考核表L绩效考核评价以项目为单位，一般在项目测评工作完成的7个工作日内进行，服务使用科室对所测评项目进行综合的考核评分，整体规则如下：绩效考核表建设单位名称：评价人员：联系电话：项目名称：测试时间：测试机构名称：测试负责人：联系电话：序号项目阶段考核内容项目分数考核得分考核标准1入场测评、乙刖服务商的响应时间5在项目任务下达后3个工作日内与业主单位就被测项目进行即时沟通、交流，初步了解被测项目情况。优（5分）、良（3分）、一般（1分）入场测评前的准备工作5及时将测评所需的项目资料清单与入场测评需配合事宜发业主方，方便业主做好入场测评前的准备工作。优（5分）、良（3分）、一般（1分）测评方案的确认5将测试方案发业主审核、确认，测试方案内容完整、测试方法规范、测试计划合理。优（5分）、良（3分）、一般（1分）测评工作的安全性10对于被测试的业务系统应确保系统运行和数据安全，不得产生因测试带来的系统破坏和数据损失，并不因测试而产生其它非业务数据。优（IO分）、良（8分）、一般（5分）测评工作的完成度5依据测评方案，完成测评方案中要求的所有内容。优（5分）、良（3分）、一般（1分）测评问题报告集的提交10对于现场测评发现的问题，准确记录问题类型、问题描述，必要时，提供问题截图，及时整理成测评问题报告集提交给业主。优（IO分）、良（8分）、一般（5分）合理化建议5项目整改阶段，就项目存在的问题，依据项目经验及管理办法，提供合理化的建议。优（5分）、良（3分）、一般（1分）回归测试5定期追踪测评存在的问题的整改进度，在问题整改完成后及时进行回归测试，并将回归测试结果反馈给业主，推进项目验收测评进度。优（5分）、良（3分）、一般（1分）测评工作的完成时间5现场测评工作的完成时间是否达到预期并满足业主方的需求（非服务商原因除外）。优（5分）、良（3分）、一般（1分）3报告出具测评报告的确认5出具纸质版报告前，是否及时将电子版报告发业主方审核、确认。优（5分）、良（3分）、一般（1分）测评报告的提交5是否在测评工作完成后的7个工作日内提交纸质版测评报告给业主。优（5分）、良（3分）、一般（1分）测评报告的质量10验收测评报告内容及数据准确、完整、客观、公正，编写格式规范，无错别字，语句畅通，符合政府信息化主管部门颁发的项目验收规范中的相关要求。优（10分）、良（8分）、一般（5分）4测评全过程考核法律法规、行业标准应用能力5准确掌握项目现状，运用有关法律法规、行业标准规定的要求制定测试方案，建立有效的测试环境和测试方法测试或验证项目的技术参数、质量、安全、可靠性等指标。优（5分）、良（3分）、一般（1分）重大错误10验收测评过程是否存在弄虚作假，提供第三方验收测评报告，无（10分），有（0分）沟通协调能力5建立畅顺高效的沟通平台或沟通机制，开展与各干系人的沟通工作，保障各类信息、问题、解决方法在各干系人和相关方的沟