信息系統(tǒng)部安全評估技術(shù)支撐服務(wù)技術(shù)規(guī)范書

信息系統(tǒng)部安全評估技術(shù)支撐服務(wù)技術(shù)規(guī)范書/r/n/r/nPAGE/r/n11/r/n//r/nNUMPAGES/r/n11/r/n信息系統(tǒng)部/r/n安全/r/n評估/r/n技術(shù)支撐/r/n服務(wù)技術(shù)規(guī)范書/r/n

/r/n一/r/n、/r/n總/r/n體要求/r/n1、/r/n總述/r/n1.1/r/n本規(guī)范書是中國移動通信集團黑龍江有限公司（以下簡稱買方）向為擬進(jìn)行黑龍江移動/r/n信息系統(tǒng)/r/n部/r/n安全/r/n評估技術(shù)支撐/r/n服務(wù)項目服務(wù)供貨商（以下簡稱賣方）提出的規(guī)范書。/r/n1.2賣方如不能滿足本規(guī)范書中所提到的各項技術(shù)要求及業(yè)務(wù)功能指標(biāo)，應(yīng)在建議書中明確提出，否則即認(rèn)為賣方能夠按本文件要求提供服務(wù)。/r/n1.3本規(guī)范書主要提供黑龍江移動/r/n信息系統(tǒng)/r/n部/r/n安全/r/n評估技術(shù)支撐服務(wù)/r/n的總體要求，供賣方編寫技術(shù)建議書。在滿足買方的總體技術(shù)要求的情況下，賣方可征得買方的同意，提出適當(dāng)?shù)男薷慕ㄗh，并陳述理由。若賣方認(rèn)為買方的技術(shù)要求尚不明確或有漏項的地方，請詳細(xì)加以說明并經(jīng)雙方商定。對規(guī)范書內(nèi)容的澄清及修改將由買方以電子郵件形式發(fā)送所有得到規(guī)范書的廠家。/r/n1.4中國移動通信集團公司頒發(fā)的有關(guān)技術(shù)規(guī)定和行業(yè)標(biāo)準(zhǔn)是本規(guī)范書不可分割的部分。本規(guī)范書未提到的部分應(yīng)遵從信息產(chǎn)業(yè)及工業(yè)化部相關(guān)文件之規(guī)定。/r/n1.5買方有權(quán)在簽訂合同前，根據(jù)需要修改本規(guī)范書，修改后的最終稿將作為合同附件。在技術(shù)談判的過程中，本文件的有關(guān)要求可能出現(xiàn)改動，買方保留對本規(guī)范書的解釋和修改權(quán)。本規(guī)范書的修改和解釋權(quán)屬于中國移動通信集團黑龍江有限公司。/r/n1.6本技術(shù)規(guī)范書的文檔按版本化管理。在技術(shù)談判過程中不斷充實內(nèi)容，進(jìn)行版本升級。/r/n1.7賣方如不能滿足本規(guī)范書中的要求，需要詳細(xì)說明原因。/r/n2、技術(shù)建議書的文件要求/r/n黑龍江省移動/r/n信息系統(tǒng)/r/n部/r/n安全/r/n評估技術(shù)支撐服務(wù)/r/n建議書至少要對維護(hù)服務(wù)工作有重要影響的方面做詳細(xì)說明，包括但不限于下述項目：/r/n（1/r/n）漏洞掃描服務(wù)/r/n（2/r/n）配置檢查服務(wù)/r/n（3/r/n）應(yīng)急響應(yīng)服務(wù)/r/n（/r/n4/r/n）人員配置情況/r/n(5)/r/n代碼安全與應(yīng)用安全/r/n(6)/r/n/r/n安全加固服務(wù)/r/n(7)/r/n木馬檢測/r/n(/r/n8)/r/n/r/n項目組織實施技術(shù)及管理/r/n(9)/r/n部分/r/n服務(wù)報告/r/n/r/n/r/n/r/n1)《XXXX安全評估實施方案》/r/n2)《XXXX安全評估報告》,。/r/n3)《XXXX業(yè)務(wù)系統(tǒng)安全加固實施方案與加固手冊》/r/n4)《XX系統(tǒng)滲透測試報告》/r/n/r/n/r/n賣方應(yīng)至少提供下列內(nèi)容：/r/n（1）賣方的背景資料介紹：包括公司成立時間、成立地點、注冊資金、經(jīng)營范圍、企業(yè)類型、雇員總數(shù)、本地區(qū)雇員總數(shù)、本地辦事機構(gòu)類型、人員組成、相關(guān)資質(zhì)等，其他需要說明的情況等。/r/n（2）賣方成功實施的與本項目相關(guān)服務(wù)案例，賣方需提供項目合同或中標(biāo)通知書文件作為證明材料，并具體說/r/n明案例的項目名稱，項目周期，/r/n合同金額/r/n等詳細(xì)的項目信息/r/n。/r/n（3）賣方服務(wù)能力描述，賣方需提供主要技術(shù)人員的能力資質(zhì)證明材料、服務(wù)過程、質(zhì)量把控機制與流程。/r/n（4）賣方的各項服務(wù)工作方案詳細(xì)描述，包括服務(wù)方法、流程、交付等內(nèi)容。/r/n3、/r/n保密條款/r/n任何一方未經(jīng)另一方同意不得向任何第三方透露本文檔內(nèi)容，雙方一致同意任何一方在任何時候?qū)ζ涑钟械挠嘘P(guān)另一方的事務(wù)或其事務(wù)運轉(zhuǎn)操作方法等保密信息實行嚴(yán)格保密。除非有信息提供方書面許可，任何一方不得在任何時間向本協(xié)議以外的任何第三方披露或提供保密信息（包括但不限于：任何信息提供方不欲公開的觀點、發(fā)現(xiàn)、發(fā)明、公式、程序、計劃、圖表、模型、參數(shù)、數(shù)據(jù)、標(biāo)準(zhǔn)和專有技術(shù)秘密，和/或其中的任何知識產(chǎn)權(quán)）的任何內(nèi)容（本協(xié)議另有約定的除外）。除非有信息提供方的書面指示，任何一方不得對保密信息進(jìn)行拷貝或抄寫。/r/n二/r/n、技術(shù)規(guī)范書點對點應(yīng)答要求/r/n賣方的建議書中，要求對本規(guī)范書所提出各項要求進(jìn)行逐條逐項答復(fù)、說明和解釋。首先對實現(xiàn)或滿足程度明確做出“滿足”/r/n、/r/n“不滿足”/r/n、/r/n“部分滿足”應(yīng)答，/r/n對于答/r/n“滿足”/r/n項/r/n，/r/n均應(yīng)分項具體詳細(xì)描述/r/n；/r/n對于答/r/n“不滿足”、“部分滿足”內(nèi)容應(yīng)做出具體、詳細(xì)的/r/n原因/r/n說明/r/n，以及/r/n滿足技術(shù)規(guī)范書要求的時限/r/n等/r/n；不應(yīng)采用參見xx節(jié)或xx頁的方式作為應(yīng)答。否則，該條應(yīng)答將視為不能被滿足。/r/n三/r/n、服務(wù)基本要求/r/n服務(wù)的主要目的是通過對/r/n買方/r/n設(shè)備系統(tǒng)定期/r/n漏洞掃描與評估等預(yù)防性工作/r/n，/r/n了解系統(tǒng)的安全情況，/r/n提高設(shè)備系統(tǒng)的/r/n安全性/r/n。/r/n賣方公司及服務(wù)工程師要求如下:/r/n01.在中華人民共和國注冊的獨立法人且注冊資金在500萬元及以上；/r/n02.一般納稅人;/r/n03.應(yīng)答廠商具備ISO9001質(zhì)量管理體系認(rèn)證證書(原件);/r/n04.近三年（2014-2016年）具備息安全服務(wù)和代碼審計類服務(wù)案例；/r/n05.原廠商需具備中國通信企業(yè)協(xié)會頒發(fā)的通信網(wǎng)絡(luò)安全服務(wù)能力評定證書;如為代理商還需具備針對本項目的唯一授權(quán)書；/r/n06./r/n原廠商/r/n中國信息安全認(rèn)證中心頒發(fā)“通信網(wǎng)絡(luò)安全服務(wù)能力評定證書（風(fēng)險評估類）二級”/r/n/r/n如為代理商還需具備針對本項目的唯一授權(quán)書；/r/n四/r/n、/r/n服務(wù)具體內(nèi)容/r/n1、/r/n服務(wù)內(nèi)容與頻率/r/n服務(wù)內(nèi)容/r/n周期與頻率/r/n檢查/r/n安全入侵情況/r/n周/r/n//r/n/r/n52/r/n次/r/n漏洞掃描/r/n月/r/n/12/r/n次/r/n配置檢查/r/n月/r/n/12/r/n次/r/n安全加固/r/n月/r/n/12/r/n次/r/n安全通告/r/n月/r/n/12/r/n次/r/n安全預(yù)警/r/n按需/r/n應(yīng)急響應(yīng)/r/n按需/r/n迎檢自查/r/n按需/r/n技術(shù)支持/r/n按需/r/n2、具體服務(wù)/r/n要求/r/n（1）/r/n漏洞/r/n掃描/r/n服務(wù)/r/n賣方/r/n需使用/r/n2/r/n種工具對客戶指定信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備/r/n、網(wǎng)站等/r/n進(jìn)行/r/n系統(tǒng)和/r/nWEB/r/n漏洞/r/n掃描，并提供/r/n漏洞掃描報告，以使管理員明確掌握信息系統(tǒng)資產(chǎn)所存在的安全漏洞情況，/r/n同時對掃描出的問題進(jìn)行分類歸納，并提供解決建議。/r/n賣方/r/n需/r/n在技術(shù)建議書中/r/n對漏洞掃描的工作流程、方法有詳細(xì)的說明，/r/n以及/r/n對于漏洞掃描過程中可能存在的風(fēng)險以及風(fēng)險的規(guī)避措施要有明確的說明。/r/n（2/r/n）配置檢查/r/n服務(wù)/r/n /r/n賣方/r/n通過采用統(tǒng)一的安全配置標(biāo)準(zhǔn)來規(guī)范技術(shù)人員在各類系統(tǒng)上的/r/n配置/r/n操作。基線配置核查以業(yè)務(wù)系統(tǒng)自身網(wǎng)元設(shè)備的安全功能的完善和改造為主，包括各類操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫和中間件的賬號、密碼、審計策略等安全配置要求，并對不符合標(biāo)準(zhǔn)的配置項提供操作建議。/r/n賣方/r/n參照的基線標(biāo)準(zhǔn)文件應(yīng)符合/r/n移動/r/n集團的要求。為降低配置檢查過程中人為的誤操作，/r/n賣方/r/n需采用市場主流的商業(yè)化工具提供/r/n該項/r/n服務(wù)。/r/n安全加固/r/n服務(wù)/r/n賣方/r/n需/r/n通過安全加固技術(shù)手段提高操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備的安全性和抗攻擊能力，增強/r/n黑龍江移動/r/n系統(tǒng)的抗攻擊性。定期的安全評估和安全加固服務(wù)使信息系統(tǒng)保持在一個較高的安全水平之上。安全加固工作要在安全評估工作完成后執(zhí)行。/r/n賣方/r/n技術(shù)專家根據(jù)前期/r/n漏洞掃描/r/n與配置檢查/r/n報告，針對高/r/n中風(fēng)險漏洞/r/n(根據(jù)CVE標(biāo)準(zhǔn)定義)/r/n和不符合配置項/r/n為/r/n買方/r/n提供可操作的安全加固操作方案以及安全優(yōu)化建議。同時需要/r/n賣方/r/n技術(shù)人員協(xié)助并指導(dǎo)/r/n買方/r/n及/r/n系統(tǒng)/r/n集成廠商人員對網(wǎng)絡(luò)設(shè)備、服務(wù)器及WEB應(yīng)用進(jìn)行安全加固操作。對于由業(yè)務(wù)環(huán)境原因無法進(jìn)行修補的漏洞，提出相應(yīng)的規(guī)避建議，同時登記在遺留問題記錄中，以備后續(xù)查找和參考。/r/n（/r/n4/r/n）/r/n安全通告服務(wù)/r/n服務(wù)周期內(nèi)賣方/r/n須/r/n每月/r/n為買方/r/n提供最新的安全信息/r/n，/r/n內(nèi)容包括但不局限以下內(nèi)容/r/n：/r/n1/r/n）/r/n最新的安全漏洞信息/r/n2/r/n）/r/n行業(yè)安全事件動態(tài)信息/r/n3/r/n）/r/n0/r/nday系統(tǒng)漏洞、網(wǎng)絡(luò)攻擊等事件信息及解決辦法/r/n（/r/n5/r/n）/r/n安全預(yù)警/r/n服務(wù)/r/n在互聯(lián)網(wǎng)出現(xiàn)影響范圍大、破壞力強、可利用程度高的安全漏洞時，賣方需在12小時內(nèi)通過郵件、電話或形式通知買方。通知的內(nèi)容至少應(yīng)包括漏洞的形成原因、影響范圍、檢測方法、處理措施等并結(jié)合實際情況協(xié)助買方在買方得到通知后24小時內(nèi)制定IT系統(tǒng)評估計方案、漏洞檢查方案及漏洞修復(fù)方案。/r/n應(yīng)急響應(yīng)/r/n服務(wù)/r/n服務(wù)期內(nèi)/r/n賣方/r/n安排相對固定的技術(shù)專家和具備運營商行/r/n業(yè)運維經(jīng)驗/r/n的技術(shù)人員，為黑龍江省電信提供應(yīng)急響應(yīng)支持服務(wù)，包括并不限于提供遠(yuǎn)程安全支持和現(xiàn)場安全支持，判斷事件類型，協(xié)助技術(shù)人員及業(yè)務(wù)廠商人員進(jìn)行安全事件分析處理，對發(fā)現(xiàn)的問題提出解決方案并及時處理降低影響。/r/n賣方/r/n需對事件的分級/r/n、/r/n響應(yīng)的事件/r/n、/r/n處理時間/r/n、應(yīng)急響應(yīng)/r/n的流程/r/n、/r/n方法有詳細(xì)的說明/r/n。響應(yīng)時間在兩個小時以內(nèi)，/r/n并在應(yīng)急響應(yīng)處理結(jié)束后/r/n24小時內(nèi)提供應(yīng)急響應(yīng)報告，報告內(nèi)詳細(xì)描述事件的原因和處理過程。/r/n（/r/n7/r/n）/r/n迎檢自查/r/n針對移動/r/n集團及工信部等上級管理部門開展的安全檢查工作，提前為黑龍江/r/n移動/r/n提供檢查前的部門內(nèi)部安全自查服務(wù)，提供專業(yè)評估設(shè)備以及專業(yè)的安/r/n全技術(shù)人員，配合進(jìn)行內(nèi)部檢查及安全整改，滿足應(yīng)對上級部門的安全檢查要求。/r/n木馬檢測/r/n、肉雞/r/n檢測/r/n檢查/r/n信息/r/n系統(tǒng)/r/n部維護(hù)/r/n的網(wǎng)站，/r/nWEB頁面是否已經(jīng)存在網(wǎng)頁掛馬，提供檢查方案。包括：/r/nIframe/r/n框架掛馬、JS文件掛馬、JS變形掛馬、body掛馬、/r/ncss/r/n掛/r/n馬、/r/nJavascript/r/n掛馬、/r/nWebShell/r/n。/r/n代碼安全與應(yīng)用安全/r/n現(xiàn)在互聯(lián)網(wǎng)安全越來越往非網(wǎng)絡(luò)層往應(yīng)用層偏移，其中90%漏洞都是存在于非網(wǎng)絡(luò)層，而是在應(yīng)用層。包含且/r/n不限于/r/n以下/r/n大媽安全/r/n跨站腳本；/r/n/r/nSQL/r/n注入；/r/n/r/n系統(tǒng)信息泄露；/r/n/r/n程序中存在密碼硬編碼；/r/n/r/n拒絕服務(wù)攻擊；/r/n/r/n/r/n系統(tǒng)資源無法釋放；/r/n/r/n信任邊界模糊；/r/n/r/n工具支持的其他測試內(nèi)容/r/n（/r/n9/r/n）/r/n現(xiàn)場技術(shù)支持服務(wù)/r/n賣方應(yīng)提供本地化服務(wù)和技術(shù)支持，/r/n且/r/n具備完善的服務(wù)支撐流程管理體系/r/n。主要工作包括：/r/n1/r/n）/r/n買方技術(shù)性咨詢/r/n，/r/n賣方/r/n工程師至少應(yīng)在24小時內(nèi)給予答復(fù)/r/n，最終答復(fù)不應(yīng)/r/n多/r/n于5個/r/n自然日/r/n。/r/n2/r/n）/r/n安全設(shè)備故障/r/n及/r/n安全策略失效的/r/n一般性安全事件/r/n，賣方/r/n工程師應(yīng)在10分鐘內(nèi)給予/r/n買方/r/n確認(rèn)并進(jìn)入受理環(huán)節(jié)。/r/n五、網(wǎng)絡(luò)及網(wǎng)絡(luò)信息安全保障/r/n現(xiàn)場服務(wù)人員需遵守買方制定的各項信息安全保密制度，人員入場前需與賣方簽署保密協(xié)議并提交買方備案，現(xiàn)場服務(wù)人員各項工作需依據(jù)《黑龍江移動業(yè)務(wù)支撐系統(tǒng)網(wǎng)絡(luò)與信息安全管理辦法》中“合作伙伴安全管理”章節(jié)中的相關(guān)規(guī)定開展。/r/n在/r/n本服務(wù)/r/n項目實施過程中，必須要保證網(wǎng)絡(luò)的安全與穩(wěn)定，買方內(nèi)部機密信息完整，網(wǎng)絡(luò)安全保障是其它服務(wù)要求的前提，需詳細(xì)描述在維護(hù)服務(wù)過程中，對網(wǎng)絡(luò)安全方面采取的保障措施及方法。/r/n六/r/n、培訓(xùn)/r/n為提交/r/n信息系統(tǒng)部的/r/n安全/r/n技術(shù)/r/n水平/r/n，為/r/n信息/r/n系統(tǒng)部/r/n提供/r/n1/r/n0/r/n人天/r/n的技術(shù)培訓(xùn)/r/n，提供/r/nCISP、CISSP/r/n等專業(yè)/r/n安全課程/r/n或/r/n相關(guān)網(wǎng)絡(luò)安全培訓(xùn)/r/n。/r/n七/r/n、/r/n維護(hù)質(zhì)量考核/r/n維護(hù)服務(wù)考核周期分為季度考核和年度考核。季度/r/n考核/r/n是維護(hù)/r/n服務(wù)考核/r/n的/r/n基礎(chǔ)周期，/r/n是及時/r/n發(fā)現(xiàn)維護(hù)服務(wù)/r/n工作/r/n中存在問題和隱患/r/n、/r/n進(jìn)行整改的基礎(chǔ)/r/n。/r/n季度/r/n考/r/n核/r/n作為衡量/r/n各/r/n維護(hù)/r/n廠商/r/n每季度維護(hù)/r/n服務(wù)質(zhì)量/r/n的/r/n依據(jù)/r/n。年度/r/n考核/r/n是/r/n對維護(hù)/r/n廠商/r/n年度服務(wù)結(jié)果/r/n的/r/n總體考核/r/n，/r/n年度考核成績/r/n取/r/n各季度考核成績的平均值。/r/n維護(hù)/r/n服務(wù)/r/n季度/r/n考核內(nèi)容/r/n包括基礎(chǔ)管理/r/n考核、/r/n維護(hù)/r/n質(zhì)量考核/r/n，維護(hù)/r/n服務(wù)年度考核內(nèi)容/r/n在季度/r/n考核/r/n內(nèi)容/r/n基礎(chǔ)上增加扣分項和加分項。/r/n1/r/n）/r/n基礎(chǔ)管理考核/r/n內(nèi)容/r/n包括/r/n維護(hù)/r/n廠商/r/n資質(zhì)/r/n管理、/r/n文檔/r/n管理、設(shè)備軟件管理、/r/n應(yīng)急/r/n通信保障管理/r/n、人員/r/n管理/r/n等/r/n方面。/r/n/r/n=1\*GB3/r/n/r/n①/r/n資質(zhì)/r/n管理：/r/n維護(hù)廠商資質(zhì)管理是維護(hù)服務(wù)工作開展的前提，應(yīng)包括維護(hù)廠商資質(zhì)、人員數(shù)量、人員資質(zhì)和技術(shù)支持服務(wù)體系資質(zhì)等。人員變更需提前一個月通知/r/n信息系統(tǒng)部/r/n，并提供至少同等技術(shù)水平的替代人員，新增人員需經(jīng)過/r/n信息系統(tǒng)部/r/n組織的考試認(rèn)證后方可納入維護(hù)人員隊伍。維護(hù)廠商必須做好維護(hù)人員穩(wěn)定工作，/r/n信息系統(tǒng)部/r/n應(yīng)對維護(hù)人員流失率進(jìn)行考核。/r/n/r/n=2\*GB3/r/n/r/n②/r/n/r/n文檔管理：維護(hù)/r/n廠商/r/n應(yīng)做好技術(shù)資料和維護(hù)原始記錄數(shù)據(jù)的收集管理，并做好歸類存檔，定期做好各類報表和報告的編制和上報工作。/r/n/r/n=3\*GB3/r/n/r/n③/r/n/r/n設(shè)備軟件/r/n管理：/r/n維護(hù)/r/n廠商/r/n應(yīng)/r/n提供/r/n維護(hù)/r/n設(shè)備/r/n軟件/r/n，并/r/n做好設(shè)備軟件更新管理工作。/r/n/r/n=4\*GB3/r/n/r/n④/r/n/r/n應(yīng)急/r/n通信保障管理：/r/n維護(hù)廠商應(yīng)提供應(yīng)急保障團隊聯(lián)系方式，制定應(yīng)急保障預(yù)案，重大節(jié)假日和重大活動前提供應(yīng)急團隊值班表。按應(yīng)急預(yù)案配備相關(guān)資源，應(yīng)急保障隊伍要服從/r/n信息系統(tǒng)部/r/n的統(tǒng)一指揮和調(diào)度。/r/n⑤/r/n/r/n人員管理：維護(hù)廠商駐場人員需遵照/r/n信息系統(tǒng)部/r/n工作時間要求，確保出勤率。駐場人員應(yīng)具備相關(guān)資質(zhì)認(rèn)證，具備獨立維護(hù)和現(xiàn)場處理故障能力，每年需通過/r/n信息系統(tǒng)部/r/n技術(shù)水平考核。/r/n2/r/n）/r/n維護(hù)質(zhì)量考核/r/n內(nèi)容/r/n包括日常/r/n服務(wù)/r/n質(zhì)量、/r/n故障處理/r/n服務(wù)質(zhì)量/r/n等/r/n。/r/n/r/n=1\*GB3/r/n/r/n①/r/n日常服務(wù)：巡檢服務(wù)是IT設(shè)備穩(wěn)定運行的基本保障手段，維護(hù)廠商應(yīng)編制定期維護(hù)作業(yè)計劃，提交/r/n信息系統(tǒng)部/r/n審核通過后嚴(yán)格執(zhí)行；/r/n每月提交/r/n標(biāo)準(zhǔn)格式的巡檢報告和檢測分析報告；遇到故障事件時應(yīng)及時向/r/n信息系統(tǒng)部/r/n提交故障修復(fù)申請。/r/n/r/n=2\*GB3/r/n/r/n②/r/n/r/n故障處理服務(wù)是指當(dāng)/r/n信息系統(tǒng)部/r/n系統(tǒng)出現(xiàn)故障時，相應(yīng)維護(hù)廠商根據(jù)實際情況采取合適高效的措施快速恢復(fù)業(yè)務(wù)，包括必要時的現(xiàn)場操作，并在此之后盡快制定和實施相應(yīng)方案消除相關(guān)故障隱患。/r/n/r/n=3\*GB3/r/n/r/n③/r/n業(yè)務(wù)/r/n恢復(fù)/r/n時限/r/n定義/r/n：從接到故障通知，到通過實施解決方案/替代方法/r/n將現(xiàn)網(wǎng)業(yè)務(wù)/r/n恢復(fù)到發(fā)生故障前的狀態(tài)。如果故障必須現(xiàn)場解決，在相關(guān)業(yè)務(wù)恢復(fù)時限基礎(chǔ)上增加雙方協(xié)商認(rèn)可的路途時間。/r/n/r/n=4\*GB3/r/n/r/n④/r/n清除/r/n故障/r/n問題/r/n時限定義：/r/n從接到故障處理服務(wù)請求，到通過實施解決方案將此系統(tǒng)故障清除的時間。對于平臺軟件故障，維護(hù)廠商需要同/r/n信息系統(tǒng)/r/n部/r/n維護(hù)/r/n人員確認(rèn)，并明確提供軟件補丁所需時間；對于平臺硬件故障，維護(hù)廠商需要同/r/n信息系統(tǒng)/r/n部/r/n維護(hù)/r/n人員確認(rèn)，并明確硬件到貨及更換所需時間。/r/n3/r/n）扣分項：/r/n主要包括安全生產(chǎn)事故和其它影響到中國移動的事件?？鄯謼l件包括但不限于下述情況：維護(hù)廠商在維護(hù)過程中未遵照安全生產(chǎn)條例規(guī)范操作，發(fā)生安全生產(chǎn)事故的扣/r/n2/r/n分；發(fā)生人員傷亡安全責(zé)任事故的扣/r/n5/r/n分；發(fā)生嚴(yán)重違約行為的扣/r/n10/r/n分；因維護(hù)廠商原因?qū)е轮卮驣T系統(tǒng)故障的扣/r/n5/r/n分；因維護(hù)廠商維護(hù)不當(dāng)導(dǎo)致的大面積投訴扣/r/n5/r/n分；因維護(hù)廠商原因發(fā)生媒體曝光事件、影響到我公司的勞資糾紛的扣/r/n10/r/n分；發(fā)生代/r/n維人員/r/n偷盜通信設(shè)備的扣/r/n10/r/n分；維護(hù)廠商人為阻撓考核人員進(jìn)行現(xiàn)場檢查或者采取欺騙、作弊等手段誤導(dǎo)考核結(jié)果致使維護(hù)考核工作無法正常開展的扣/r/n10/r/n分。/r/n廠商服務(wù)人員未遵照或履行《黑龍江移動/r/n信息系統(tǒng)部/r/n網(wǎng)絡(luò)與信息安全管理辦法》中“合作伙伴安全管理”章節(jié)中的各項規(guī)定和義務(wù)的，視情節(jié)嚴(yán)重扣除5至20分，其中未引發(fā)安全事件的每發(fā)生一次扣5分，引發(fā)安全事件未造成嚴(yán)重后果的每發(fā)生一次扣10分，引發(fā)安全事件造成業(yè)務(wù)中斷、信息泄露等嚴(yán)重后果的每發(fā)生一次扣20分。/r/n4/r/n）/r/n加分項/r/n：/r/n對于積極開展創(chuàng)新工作，技術(shù)創(chuàng)新、合理化建議取得顯著效果；在應(yīng)急通信保障方面做出重要貢獻(xiàn)的，受到省公司通報表揚的；參加集團或省公司組織的技術(shù)競賽，獲得名次的；承擔(dān)省市公司專項工作和課題，成績突出以及工作配合表現(xiàn)突出的，酌情給予加分。/r/n5/r/n）/r/n季度考核流程/r/n：/r/n由/r/n信息系統(tǒng)部/r/n在/r/n每季度末/r/n，和各/r/n維護(hù)/r/n廠商共同完成考核。/r/n考核結(jié)果由買方進(jìn)行備案/r/n。/r/n /r/n6/r/n）/r/n年度考核流程/r/n：/r/n由/r/n信息系統(tǒng)部/r/n在合同期最后一個月內(nèi)，和各/r/n維護(hù)/r/n廠商共同完成考核。由/r/n信息系統(tǒng)部/r/n維護(hù)/r/n負(fù)責(zé)人召集相關(guān)維護(hù)人員和使用人員，成立/r/n維護(hù)/r/n服務(wù)考核小組（人員為奇數(shù)，且不少于5人），對本合同期內(nèi)，/r/n維護(hù)/r/n廠商服務(wù)質(zhì)量進(jìn)行考核?？己私Y(jié)果形成會議紀(jì)要，由考核小組集體確認(rèn)備案（紙質(zhì)簽字或/r/n電子存檔），作為付款依據(jù)/r/n。/r/n /r/n7/r/n）/r/n維護(hù)/r/n服務(wù)考核結(jié)果管理/r/n維護(hù)/r/n服務(wù)考核周期分為季度考核和年度考核。季度考核是/r/n維護(hù)/r/n服務(wù)考核的基礎(chǔ)周期，是及時發(fā)現(xiàn)/r/n維護(hù)/r/n服務(wù)工作中存在問題和隱患、進(jìn)行整改的基礎(chǔ)。季度考核作為衡量/r/n各/r/n維護(hù)/r/n廠商每季度/r/n維護(hù)/r/n服務(wù)質(zhì)量的依據(jù)，年度考核是對/r/n維護(hù)/r/n廠商年度服務(wù)結(jié)果的總體考核。/r/n維護(hù)/r/n服務(wù)季度考核內(nèi)容包括基礎(chǔ)管理考核、維護(hù)質(zhì)量考核。/r/n維護(hù)/r/n服務(wù)年度考核成績?nèi)〖径瓤己顺煽兤骄?，并增加扣分項和加分項?r/n買方/r/n與/r/n賣方/r/n對考核結(jié)果進(jìn)行合同約定，把考核結(jié)果與/r/n維護(hù)/r/n費用結(jié)算、年度準(zhǔn)入資格相掛鉤。年度考核成績低于90分，扣除合同額的/r/n2/r/n0%作為考核款；年度考核分?jǐn)?shù)低于80分時，扣除合同額的20%作為考核款，經(jīng)/r/n買方省/r/n公司/r/n總經(jīng)理辦公會決策，取消該/r/n維護(hù)/r/n廠商兩年內(nèi)（由合同終止日起）在當(dāng)?shù)爻袚?dān)/r/n維護(hù)/r/n工作的資格。同時另行組織新的/r/n維護(hù)/r/n廠商予以替代，對情節(jié)惡劣的/r/n維護(hù)/r/n廠商將向/r/n買方/r/n集團公司備案/r/n。/r/n/r/n=1\*GB3/r/n/r/n①/r/n季度紅黃牌機制/r/n維護(hù)廠商季度考核成績低于80分，給予維護(hù)廠商紅牌警示，經(jīng)過1個季度，季度考核成績應(yīng)達(dá)到90分（含90分）以上。如未達(dá)到，經(jīng)省公司總經(jīng)理辦公會決策，立即終止該維護(hù)廠商在該項目的維護(hù)服務(wù)協(xié)議，并取消該維護(hù)廠商兩年內(nèi)（由合同終止日起）在當(dāng)?shù)爻袚?dān)維護(hù)工作的資格，同時另行組織新的維護(hù)廠商予以替代，對情節(jié)惡劣的維護(hù)廠商將向集團公司備案。/r/n維護(hù)廠商季度考核成績低于90分，給予維護(hù)廠商黃牌警示，經(jīng)過1個季度，季度考核成績應(yīng)達(dá)到90分（含90分）以上，如未達(dá)到，經(jīng)省公司總經(jīng)理辦公會決策，合同到期后終止該維護(hù)廠商在該項