招标技术需求
一、总体要求
针对徐汇区2023年区信息化项目建设过程中可能出现或者存在的系统功能不完善、性能有待优化、安全风险等问题,展开测评服务。通过系统功能/性能测试、安全测试工作的深入开展,评估系统软件质量、安全风险等方面的情况,提高系统运行效能,推进采购人信息化项目建设的质优、安全、可持续发展。
1.1测评依据
投标人需根据徐汇区2023年区信息化项目第三方测评服务项目测评范围内的信息化项目招/投标文件、系统设计说明书、软件需求说明书、操作手册、项目合同展开测评服务。
测评服务应遵循国家相关软件工程标准、信息安全工程标准及技术规范文件:GB/T25000.51—2016《系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》。
1.2测评原则
标准化:投标人应优先依据相关国家标准、行业标准开展测评工作。规范性:投标人需确保测评工作的安全和规范,确保被测系统的安全。
公平性:投标人应遵循面向应用、保证质量、客观公正、诚信守诺的原则开展综合测评工作。
保密性:对测评服务过程中接触到的各种信息,不得泄漏给任何单位和个人。
1.3项目目标
对采购人提出的软件测评范围内项目展开功能测评和非功能性测评,查找系统漏洞和缺陷,完成对目标系统的功能实现、性能水平、可能存在的非功能性瓶颈点等方面进行评估;根据采购人提出的安全测评范围内项目或相关建设内容,开展项目安全验收测评,确定信息安全需求,帮助分析发现信息安全风险点,提出信息安全管理体系改进建议。
1.4项目实施周期
测评服务工作周期自测评服务合同签订之日起开始计算,至本测评服务涉及的被测评项目相关软件测评、安全测评报告全部交付,且被测评项目全部通过验收截止。
二、测评项目范围及详细服务内容
徐汇区城运中心2023年度信息化项目(不含进度款项目)不超过230个,项目涉及资金规模不少于5个亿,需针对上述项目范围内所有建设类项目展开软件测评;需针对50万以上建设类项目和采购人特别指定的其他项目展开安全测评;需针对接入区城运中心移动端(汇治理)的轻应用展开安全测评,接入轻应用测评数量不少于60个。
徐汇区城运中心2023年度如有追加信息化建设类项目,亦纳入本次招标测评服务范围,本测评项目服务费保持不变。
所有测评服务费用均包含在本次采购中,采购人有权增加测评项目数,并不再增加测评费用。投标人须充分考虑此风险,中标后不得以此作为理由提出任何形式的索赔和报价调整。
2.1软件测评
按照采购人的具体要求,依据各项目招投标文件、建设合同、需求规格说明书、概要设计和详细设计等相关资料,进行软件功能及性能的测试,验证系统是否达到约定的要素,并提供项目验收的软件测试报告。
2.1.1技术要求
投标人应根据项目的整体管理要求和技术要求开展软件测试工作,含:所有功能和非功能性(如效率、性能、可靠性、易用性、安全性、兼容性、采购人文档集等)测试。
2.1.1.1功能性方向
要求依据被测评项目招标文件和投标文件中的技术要求,并结合采购人对系统建设的整体功能方向,对系统涉及到的所有业务逻辑、功能逻辑、功能项的全覆盖评测。包含但不限于以下内容:
适合性:系统为制定的任务和用户目标提供一组核实的功能的能力。准确性:系统提供具有所需精度的正确或相符的结果或效果的能力。互操作性:系统与一个或更多的规定系统进行交互的能力。
一致性:系统功能及数据实现与用户文档相互符合的能力。
2.1.1.2性能效率方向
提供负载测试、压力测试、疲劳测试,对系统CPU、内存、存储等处理情况、功能响应时间等进行验证。确认被测评内容是否符合招投标文件、建设合同(或已确定的需求文件、设计文件)中的性能指标要求;确认在正常情况下及高压情
况下是否满足采购人的使用要求。如果发现问题或性能不能满足要求,将测评问题告知采购人及承建单位进行整改,并在承建单位修改完成后再进行回归测试,直至符合项目要求。包含但不限于以下内容:
可用性:系统对于最终用户的可用时间,即:系统在不出现故障的情况下可以运行的最长时间,系统必须在任何时候对最终用户都是可用的。
时间特性:在达到并发或吞吐量的指标后,系统还必须让最终用户能够及时完成他们的任务。响应时间为主要考核指标,响应时间=网络响应时间+应用处理时间。
资源利用性:在规定条件下,软件产品执行其功能时,使用合适数量和类别的资源的能力。
吞吐量:对于交互式应用来说,吞吐量指标反映的是服务器承受的压力。在容量规划的测试中,吞吐量是一个重要关注的指标,因为它能够说明系统级别的负载能力;另外在性能调优的过程中,吞吐量指标也是重要的价值。
2.1.1.3可靠性方向
可靠性不但是对系统能否提供长期稳定服务的要求,也是对能否提供可信任服务的要求。可靠性评测包含但不限于以下内容:
成熟性:系统为避免有软件中故障而导致失效的能力。
容错性:在系统出现故障或违反其制定接口的情况下,维持规定的性能级别的能力。
易恢复性:在失效发生的情况下,系统重建规定的性能级别并恢复受直接影响的数据的能力。
2.1.1.4易用性方向
通过站在使用者的角度对系统的安装、功能、用户界面、系统辅助等易用性因素进行测试,通过各因素的表现,整体评价系统易用性。包含但不限于以下内容:
可辨识性:用户能够辨识产品或系统是否适合他们的要求的程度。
易学性:在指定的使用周境中,产品或系统在有效性、效率、抗风险和满意度特性方面为了学习使用该产品或系统这一指定的目标司为指定用户使用的程度。
易操作性:产品或系统具有易于操作和控制的属性的程度。
用户差错防御性:系统预防用户犯错的程度。
用户界面舒适性:用户界面提供令人愉悦和满意的交互的程度。
易访问性:在指定的使用周境中,为了达到指定的目标,产品或系统被具有最广泛的特征和能力的个体所使用的程度。
2.1.1.5兼容性方向
在共享相同的硬件或软件环境的条件下,产品、系统或组件能够与其他产品、系统或组件交换信息,和/或执行其所需的功能的程度。包含但不限于以下内容:
共存性:在与其他产品共享通用的环境和资源的条件下,产品能够有效执行其所需的功能并且不会对其他产品造成负面影响的程度。
互操作性:两个或多个系统、产品或组件能够交换信息并使用己交换的信息的程度。
2.1.1.6维护性方向
产品或系统能够被预期的维护人员修改的有效性和效率的程度。包含但不限于以下内容:
模块化:由多个独立组件组成的系统或计算机程序,其中一个组件的变更对其他组件的影响最小的程度。
可重用性:资产能够被用于多个系统,或其他资产建设的程度。
易分析性:可以评估预期变更(变更产品或系统的一个或多个部分)对产品或系统的影响、诊断产品的缺陷或失效原因、识别待修改部分的有效性和效率的程度。
易修改性:产品或系统可以被有效地、有效率地修改,且不会引人缺陷或降低现有产品质量的程度。
易测试性:能够为系统、产品或组件建立测试准则,并通过测试执行来确定测试准则是否被满足的有效性和效率的程度。
2.1.1.7文档测试方向
本项测试主要针对“项目名称”配套的文档集开展测试,覆盖系统应用系统的所有用户文档。文档文件应包含使用系统的必须的信息,对系统实现功能和用户最终调用的功能有尽可能详细的语言描述或图示;文档文件对使用系统的限制条件和约束应有足够的说明;各文档文件内容信息正确无误,相互一致,没有歧
义,并且易理解和易学习。具体文档包括系统安装手册、操作手册、维护手册、使用指南等所有提交给用户的文档资料。核查、鉴定文档集的完备、正确、一致、易理解、可操作。
投标人须充分考虑被测评项目中关键应用测试的复杂性和特殊性,验证关键软件测试方案的可行性,并给出专业建议和方案。测试方案主要内容应包括但不限于:测试环境要求、测试计划安排、测试通过标准等。
2.2安全测评服务
2.2.1安全测评范围及要求
针对采购人2023年度预算范围内50万以上信息化建设类项目和采购人指定的其他项目展开安全测评:按照相关检测标准及规范对采购人被测评项目的物理安全、网络安全、主机安全、应用安全、数据安全等在正式上线前进行测评;针对项目中的应用系统进行渗透性测试,以验证所测试应用的信息安全性是否满足采购人建设及使用要求。各被测评项目测试周期(测试工作开始到出具《信息安全测试报告》的时间不得超过45个工作日(不包含测评过程中的系统整改时间)。
针对接入采购人移动端(汇治理)的轻应用的安全测评:按照相关检测标准及规范对所有接入采购人移动端的轻应用的安全机制及安全漏洞进行检测;每周提供采购人移动端的整体安全扫描1次,以验证所测试的应用信息安全性是否满足采购人的管理要求。测评结束,需针对每个接入汇治理的轻应用分别提供测评报告。
针对安全测评中发现的安全漏洞、安全薄弱环节,提供安全建设相关咨询服务,包含但不限于解决方案、整改建议。
配合采购人督促项目问题的整改及整改进度,在承建单位完成整改后,再进行回归测试复核测评,以保证项目上线后在安全方面满足项目建设和相关安全标准的要求。
系统本身对信息安全性的要求即为最高,会有很多信息安全性的顾虑,对于本系统的承建方同样会有很多顾虑,并且本系统涉及到的敏感信息又过于密集,所以本次评测最关键的方向即为信息安全性评测,不但要保障信息安全性也要保障网络通信、数据、主机、应用的信息安全性。所以本次评测将针对前段及后台的信息安全性进行整体评测,进一步发现其中的安全风险,提高整体的安全等级。
包含但不限于以下内容:
保密性:产品或系统确保数据只有在被授权时才能被访问的程度。
完整性:系统、产品或组件防止未授权访问、篡改计算机程序或数据的程度。抗抵赖性:活动或事件发生后可以被证实且不可被否认的程度。
可核查性:实体的活动可以被唯一地追溯到该实体的程度。
真实性:对象或资源的身份标识能够被证实符合其声明的程度。
本项目中对于信息安全评估,参考GB/T22239-2019《信息安全技术网络安全等级保护基本要求》,共分为3类要求:
1)核心业务系统:(参考GB/T22239-2019《信息安全技术网络安全等级保护基本要求》中的3级系统相关的安全要求)
2)重要业务系统:(参考GB/T22239-2019《信息安全技术网络安全等级保护基本要求》中的2级系统相关的安全要求)
3)一般业务系统:(参考GB/T22239-2019《信息安全技术网络安全等级保护基本要求》中的应用安全要求)
实际测试指标以各个项目具体测试要求为准。
三、项目实施要求
本测评服务的功能点、非功能性点等内容不一一列出,项目测评实施需根据招投标文件及实际测评需求对测评内容进行测试,要求测试需求100%被测试用例覆盖;测试用例100%被实施;对被测评项目软件需求规格说明书中明确的所有测评指标(性能、安全性、可靠性、兼容性等)进行测试,测试要满足规格说明书中的各项指标。
为确保测评服务的有效进行,投标人应在投标文件中详细阐述项目管理内容,包括但不限于以下内容:项目系统测评服务实施方案,项目实施计划,确保整个项目正常有序实施的质量管理措施和办法,项目过程管理控制文档,项目文档管理办法,项目风险管理方案。
测试执行过程中,至少包括如下关键过程:1)测试计划制订:中标人应根据项目建设方案、招标文件、委托书、合同、技术文档等其他有效文件(以下简称测评依据),对被测对象、测试范围、测试级别、测试类型、测评内容、测评进度、测评质量控制、结束条件、测评资料、风险等进行分析。2)测评的测试级别、测试类型一般由委托方决定,在没有明确指出的情况下,中标人应本着对软件质量负责的态度尽量选择全面、合理的测试级别和测试类型。3)根据采购人的要求,确定测试项目的测试内容,同时,确定测试策略和本次测评采用的软件问题分类方法。根据项目招标文件、委托书、合同或其他等效文件的要求,确定被测软件通过第三方测评的标准。4)明确测评工作正常结束和中止的条件。投标人须对整个项目过程进行科学、有效的项目管理,以确保项目质量和进度,从技术、管理、资源等方面对完成的测评任务的风险进行分析,并提出相应的应对措施,避免扰乱采购人正常工作秩序和流程,并节省采购人各类资源。
测评服务设施过程中,应确保项目测评人员严格按照测评流程的要求实施操作,以避免在测试过程中对采购人系统造成损害。应提交详细的实施方案及工作计划,并随时汇报项目情况,并根据要求及本项目建设进度情况,调整下一步工作计划和要求。
项目服务周期内,针对采购人提出的本项目范围内的各测评任务,中标单位的测评响应及测评启动周期不得超过3个工作日。
当被测试项目某一轮测试结束后,中标人应组织对该轮测试的评审,评审内容包括:本轮测试执行的测试用例是否充分,测试用例的评判结果是否正确,测试变更是否合理,测试记录单、软件问题报告单是否都填写准确等。
中标人应及时进行每个被测试项目测试结果的分析总结,应编制测评报告、并对测评工作进行分析总结。并及时向采购人对测评工作进行汇报。
中标人应配合采购人督促项目软件测评整改,在承建单位完成整改后,进行回归测试复核测评,以保证项目软件功能及性能充分满足采购人项目建设的要求。第三方测试服务商应免费提供至少两次回归测试。根据实际需要,应继续免费增加回归测试次数。
中标人应配合采购人督促项目信息安全问题整改,在承建单位完成整改后,进行回归测试复核测评,以保证项目上线后在安全方面满足项目建设和相关安全标准的要求。第三方测试服务商应免费提供至少两次回归测试。根据实际需要,应继续免费增加回归测试次数。
测评质量要求:需对整个测试过程进行标准化、流程化管理,逐步完成测试的各个步骤。测试报告内容及数据应准确、完整、客观、公正;测试服务质量应符合评测规范中的相关要求,且技术评测结果及报告必须提交采购人确认。
要求在测试过程中对测试相关的文档进行有效管理,包括各种文档提交、评审、版本控制等,并将测试文档及时向采购人提供。
在项目实施过程中要求向采购人提交周、月工作报告,报送项目各项测试工作的推进情况,对项目问题及进度延迟原因进行说明,并制定合理的解决措施并有效执行。
在项目实施过程中要求重视问题管理,特别对采购人提出的问题应在约定的时间内及时解决,并提交书面报告,否则由此导致的进度延迟责任由中标人承担。
需配合采购人完成对项目系统测评的整体质量保证、安全保障、服务实施及检测规范提供咨询服务,提供安全加固咨询建议。
项目投标、实施、验收符合采购人信息化项目管理要求;中标单位须接受指定的第三方对测评服务质量和进度的跟踪、监督管理。
需充分考虑本测评服务实施因工期延长、需求变更等原因带来的风险、责任及不确定性,中标后不得以此作为理由提出任何形式的索赔和调整服务费用。
四、服务团队要求
投标人提交投标文件中的服务人员,须为公司的正式职员,投标文件中应体现项目人员的履历表、相关资格证明材料、主要参与服务项目。投标人应详细说明项目团队成员在测评服务实施过程中的工作职责及内容;详细说明项目团队成员在服务实施过程中投入的预计工作时间。
投标人应为本测评项目建立一支专门的人员配置完备且人数不少于8人的测评服务小组,并提供不少于2人的驻场服务,且应保证驻场的工程师全职服务于本项目,且接受采购人对驻场人员的考勤管理。如项目服务人员数量、驻场服务人员数量不满足招标要求的,作无效投标处理。
测评服务小组应分工明确,保证提供服务的团队人员的数量和素质满足履行该项目评测的要求。以确保该项目顺利完成。项目技术人员必须是投标单位的人员,应该具有相关专业学历、专业证书,并提供担任过本项目的类似业绩证明材料、测评相关资格证书复印件。
项目负责人应具有测评业务的专业能力,能够根据测评的实际情况及时地分析并预见影响项目质量、安全、进度的隐患和问题,并提出切实可行的解决方案和办法。专业技术要求如下:
-具备信息系统测评高级工程师和信息安全测评师资质;
-具有五年以上以项目负责人(或项目经理)身份参与的测评项目经验,能够提供证明项目经验的相关材料。
-具有应用技术或计算机或电子信息类相关专业本科及以上学历。
项目技术人员专业技术要求:
-具备信息系统测评工程师、软件测评工程师或信息安全测评师资质;
-具备应用技术、计算机科学与技术或电子信息类相关专业学历;
-具备一年以上信息化测评工作经验。
五、测评环境及测评工具
采购人为测评工作提供所需的软硬件测评环境,投标人应合理提出使用检测环境的时间要求并接受采购人和监理方的协调,测评所需专用检测设备由测评单位提供。
投标人需在投标文件中详细说明拟提供和选用的测量仪器、检测设施工具,测试平台和测试工具清单,并明确在本项目中的使用计划。投标人应保证软硬件检测设备的安全性,避免因检测工具使用不当致使被检测系统瘫痪或崩溃,由此而引发的技术、商务责任由投标人承担。
六、项目验收条件
(1)项目全部测评服务内容,已按合同约定全部完成;
(2)提交全部测评报告及相关过程文档,包含但不限于测试计划、测试用例、缺陷报告、测试报告等;
(3)项目各相关文件资料齐全,并符合相关规定。
七、保密要求
测评单位承担本项目范围内的所有技术情报和资料的保密义务,要求严格按照《中华人民共和国保守国家秘密法》《中华人民共和国保守国家秘密法实施办法》及《国家秘密载体保密管理制度》等相关要求,制定本项目保密安全管理制度,确定保密责任人,管理、监督、落实项目安全保密工作,按照有关法规文件规定,履行保密责任,并与采购人签订保密协议测评单位在合同期内或合同终止后,未征得采购人书面同意,不得向第三方泄露本项目及本合同业务有关的一切资料。否则造成泄密的,测评单位需承担采购人由此引起的损失,若后果严重且触犯法律的,采购人依法追究其法律责任。
八、项目服务报价及其他要求
(1)报价依据:本项目采购需求明确的工作内容、工作范围和要求。
(2)项目报价要求:投标人必须对以上全部采购内容及相关服务进行报价。根据相关收费标准以及市场行情并结合自身实力报出本单位能够承受的唯一闭口报价,请各投标人充分考虑今后工作中所包含风险、责任后进行报价,报价必须是唯一的、闭口包干,中标后不再调整。
(3)投标人提供的测评服务,应当符合国家有关法律、法规和标准规范,满足招标文件约定的服务内容和质量等要求。投标人不得违反标准规范规定或招标文件约定,通过降低服务质量、减少服务内容等手段进行恶性低价竞争,扰乱正常市场秩序。
(4)中标单位与采购人应当在中标通知书发出之日起三十日内,按照招标文件确定的事项签订政府采购合同,采购人应当按照《徐汇区政府采购货物、服务项目合同履约验收管理办法》相关规定进行验收管理和支付相应合同价款,中标单位有义务参加并协助采购人验收,提供相关技术资料、合格证明等文件或材料,并对自己生产或销售的货物质量或提供的服务负责。验收书要求见附件。
(5)如中标供应商实际提供服务与投标承诺服务不一致,项目实施服务承诺无法完成,服务被使用方有效投诉,经查实中标供应商要承担相应违约责任,并将按《徐汇区政府采购供应商诚信档案管理办法》规定进行相应记载和处理,同时保留向市、区政府采购管理机构通报的权利。