一、採購內容:電子郵件系統提升專案(案號:HNB-109026)
華南商業銀行股份有限公司購置定製財物投標須知
一、採購內容:電子郵件系統提升專案(案號:HNB-109026)
(採購物資品名、規格、數量及條款詳如另附之規格說明。)
二、投標資格:凡廠商執有政府核發之公司執照或公司登記證明書,公會會員證暨投標比價證明書、最近一期納稅證明及本行資訊安全部發給之合格證明書者,均可參加投標,如另有規定者從其規定並由本行全權審查。以上各種證明文件請檢附影本各一份裝入證件封。
三、押標金:(一)投標金額之 5%以上。
(二)限金融業所簽發之本行支票或同業支票,抬頭:華南商業銀行股份有限公司,開標後未得標者,所交押標金依投標人所填「退還押標金申請書」選定方式,於 5 個銀行營業日內無息發還,得標廠商之押標金留作為履約保證金,履約保證金於交貨驗收合格後無息發還。
四、索取投標須知:凡合乎上列廠商資格者,請自 109 年 6 月 24 日至 109 年 6 月 30 日於銀
行辦公時間內駕臨xxxxxxxxx000 x00 x本行行政管理部事務科領取。
五、投標:參加投標廠商應將押標金、公司執照或公司登記證明書或經濟部商業司網站查詢之公司及分公司基本資料、公會會員證暨投標比價證明書及最近一期納稅證明文件等影本、退還押標金申請書、印章印模單、切結書、授權書、供應商承諾書各一份連同押標金裝入「證件封」,與「標單封」併裝入標封內。投標廠商應於 109
年 7 月 10 日下午 17 時前以掛號寄達台北市信義區松仁路 123 號,如有延誤,本行概不負責,經郵寄之標封,投標廠商不得以任何理由請求發還、更改或作廢。
六、開標時間及地點:109 年 7 月 13 日上午 10 時在xxxxxxxxx 000 x 00 x行政管理部會議室當眾開標。
七、開標:(一)開標時以標單中文大寫總價在底價以內之最低價為得標。兩家以上同為最低標價,應由最低標者當場以比價方式決定,投標廠商未在現場,視同自願放棄比價權利。
(二)投標廠商有下列情形之一者,其所投標單無效,但得退還已繳押標金。 1.標單未密封或未以掛號郵件交寄者。
2.標封內未附標單封或證件封或標單以鉛筆填寫或未依規定填齊者。
3.投標廠商未附全部證件影本或經審查不合格者。
4.標單所列財物名稱不符者。
5.標單未蓋與印模單相符之印章者。
6.標單未加蓋主辦單位戳章者。
7.證件封標單封未依第三條、第五條規定裝封者。
8.變更標單式樣或塗改字句者。
9.投標廠商或負責人名稱與登記執照不符者。
10.未依規定之票據、金額繳付押標金者。
11.未附切結書或切結書未經蓋章者。
12.未依規定格式填寫標單或塗改後未加蓋投標廠商(或負責人)印章、或字跡模糊不能辨認者。
13.標封或標單內另附條件者。
14.投標廠商對同一物品投有效標封二封以上者。
15.標單未以中文大寫填寫總價或金額文義不清者。
16.受停業處份或被停止投標者。
八、投標廠商或負責人,依金融控股公司暨本行規範為利害關係人或實質關係人者,於得標後仍須依規踐行相關程序後,始得訂立契約。
九、得標廠商或負責人若為本行「國內各單位辦理資恐防制及制裁作業須知」規定禁止承作對象,取消其得標資格。
十、決標後得標廠商應於接獲通知日起 2 個銀行營業日內將各項證件正本送主辦單位查驗,如影印本與正本不符,查係偽造或變造者,則取消得標資格,押標金不予發還;得標及違規者所繳證件影印本應由主辦單位保留存檔備查。
十一、得標廠商應於決標日起 7 個銀行營業日內攜帶與印模單相符之印章辦理簽訂契約手續;逾期無故不辦理簽約者,取消其得標資格,押標金不予退還。
十二、參加投標之合格廠商未達 3 家時或另有其他原因,本行得停止開標,其所投標封由廠商出據領回,並無息發還其押標金,押標金退還手續,依據第三條(二)之規定辦理,投標廠商不得異議。
十三、決標:(一)標價以總價為準,但投標廠商必須列出各項之單價,並以低於本行核定底價之最低標者得標,如最低標價超過本行底價時,得優先減價,以 1 次為限,減價後如標價仍未能達到本行底價以下時,應由在場投標廠商重新填單比價,至標價降至底價以內時決標。
(二)開標結果如 2 家之最低標價相同,而又低於本行底價時,得當場比價方式決定之,投標廠商不得異議。
(三)開標結果,各廠商所投標價均超過底價時,主辦單位為應緊急或其他需要,得當場要求最低標之廠商減價 1 次,如仍超過底價時,由各投標廠商重新比減價格,其最低價格仍超過底價者得予以決標或辦理保留手續。前項保留標,經報奉核准後,通知被保留廠商得標承辦,保留期限為自開標之日起 30 日,如逾越保留期限,始通知保留廠商承辦者,保留廠商得予拒絕,主辦單位無息退還押標金。
十四、交貨期限:依規格說明方式交貨。
十五、逾期罰款:每逾 1 日按承作總價千分之一計罰,若逾期 60 日仍未能交貨完畢,則視為無力履行合約,本行得不經催告解除合約,沒收保證金。
十六、交貨地點:依照本行指定地點。 十七、驗收方式:依規格說明方式驗收。
十八、付款方式:驗收合格後依規格說明方式付款。十九、保固期限:無。
二十、得標廠商一切投標手續,須依照本投標須知辦理之。本須知未盡事宜,依照本行於開標前提出補充或修正,或「開標紀錄」所載辦理,開標時投標廠商對規格或其他事項有爭議時,以本行解釋為準,投標廠商不得異議。
二十一、本投標須知為契約條件之一,其效力視同契約。
華南商業銀行
電子郵件系統提升專案採購規格書
設備名稱及數量:
項次 | 設 備 名 稱 | 數量 |
一 | 電子郵件系統提升 | 1 式 |
廠商申訴 Email 信箱: xxxxxxxx@xxxx.xxx.xx
壹、一般規格
一、投標廠商履約能力資格:
投標廠商必須於最近五年內(105 年迄今)主包國內大型金融業(30家分支單位以上)、財金資訊股份公司、台灣集中保管結算所或台灣證券交易所之Exchange 系統建置案,且系統已上線並驗收合格。
二、投標廠商保證:
(一) 投標廠商應於開標日 5 個營業日前提供建議書、過去類似投標項目實作經驗證明文件(如合約書影本)送本行審核。建議書之內容除應完全符合本規格書之規格外,建議書內並應含提供服務之人/日及實作經驗說明等,依規格所訂事項逐一測試、審核,合格後由本行資訊安全部發給合格證明書始得參與投標,否則投標無效。
(二) 投標廠商應視本行需要,配合提供書面保證,證明參與本次投標所提供之說明文件等均為合法持有且屬實,否則應承擔一切法律責任,若由於規格不合、不實、不法造成本行任何損害,並應負所有賠償責任。
(三) 本規格及上述各項之證明,投標廠商應於投標時連同標單一併提出,於承作後視為合約之一部份。
(四) 本投標案為整體決標,不得為分項決標。
(五) 投標廠商於得標後,應配合本案系統之建置,成立系統建置專案小組,並於簽訂合約後 7 日內將專案負責人與專案小組成員名單以書面通知本行。專案成員之專案經理(負責人)、系統分析及系統設計等人員異動時,應於 1 個月前以書面事先通知本行,而除上述成員外之人員異動,應於半個月前以書面事先通知本行。所有人員異動應取得本行書面同意後,始得更換。
三、技術移轉及諮詢服務:
(一) 得標廠商應免費提供與本案相關所需之技術移轉訓練及操作手冊。
(二) 得標廠商應依本行需求,免費提供技術移轉相關問題之諮詢服務。四、工作時程 :
自簽約日起十個月內,完成本案上線,並處理系統上線後所產生之各項後續相關事宜。
五、交貨、驗收:
得標廠商完成全案建置並處理完成所生之各項後續相關事宜且系統運作正常,經本行驗收合格後,本行支付總報酬。
六、履約保證金
為確保得標廠商履行本案之義務,本行得要求得標廠商應繳納履約保證金。該履約保證金於全案驗收合格後,可轉作保固保證金,保固期滿由本行發還(如屬現金無息發還)。
七、保固、維護:
(一) 得標廠商自本案全案驗收合格日起,應負責所有系統保固期間 1
年(銀行營業日,上午 9 時至下午 6 時止)。
(二) 得標廠商同意若違反前項約定,本行得沒收保固保證金。
(三) 依工作時程上線後驗收前或保固期間內,如因系統發生故障錯誤,本行得以傳真、電話、email 等方式於所約定維修時間內通知維修服務,得標廠商於接獲維修服務之需求通知時,應於下述所列約定期間內到達及完成維護,如有必要需配合本行約定作業時間(含營業外)到場服務。
嚴重程度 | 到達時間 | 完成維護時間 |
P1 | 2 小時內 | 4 小時內 |
P2 | 4 小時內 | 8 小時內 |
P3 | 1 個工作天內 | 2 個工作天內 |
備註: 1.依據系統之嚴重程度,分為以下等級: P1:系統無法運作。
P2:系統可運作,但嚴重影響系統功能。 P3:系統可運作,但不符合作業手冊所描述
或客戶使用上問題或作業手冊記載錯誤。 2.起算時間點依本行通知時點為計算基準,解決方案應由得標廠商提出,經由本行同意後
始得為之。
(四) 依工作時程上線後驗收前或保固期間內,若本行對於得標廠商所交付之系統仍有疑難時,應以書面詳細載明事實及理由通知得標廠商,得標廠商應於接到書面通知後 5 個工作天內回覆本行,必要時並應派員協助本行解決問題。
(五) 依工作時程上線後驗收前或保固期間內,得標廠商應負責提供系統之免費保養與維護、功能諮詢、除錯、弱點掃描修補及其他必要之維護。系統定期維護,應每季至少實施 1 次,得標廠商應提供系統必要之檢查、以及軟體系統 Log、參數之檢查調校等預防保養服務,以維持標的物之正常運作功能,且定期維護記錄應經本行簽章。本案於保固期滿時,得標廠商應檢附保固期間,每年
至少 4 次之系統保養與維護記錄,若每年少於 4 次,於保固期間
屆滿後,得標廠商仍應再補作,系統維護達 4 次,本行始同意退還得標廠商保固保證金。
(六) 依工作時程上線後驗收前或保固期間內,得標廠商應提供原廠軟體技術支援及更新服務,軟體如有新版本發表,並經本行同意更新時,得標廠商應無條件免費提供新版本軟體及其文件,並配合本行需求免費到場負責更新。
(七) 於本案工作時程上線後驗收前或保固及維護期間,得標廠商應於接獲本行通知後,依據「壹、七、(三)」系統之嚴重程度、區分等級到達時間,若得標廠商無法於「完成維護時間」內修復,應於
「完成維護時間」內免費提供同等規格及品質之系統設備,供本行使用至修復為止。
八、保密義務及賠償責任:
(一) 得標廠商應制訂嚴格之保密措施,要求得標廠商及得標廠商之代理人、受僱人、履行輔助人或得標廠商指定之人,對本行及本行客戶之資料、文書、消息、物品等負有保密義務,非經本行書面同意不得複製、洩露予第三人、植入不當軟硬體,或其他損害本行作業安全及其他不法之利用。保密義務於本行與得標廠商間之合約期間屆滿、終止或解除後仍持續有效。
(二) 得標廠商同意對得標廠商之代理人、受僱人、履行輔助人或得標廠商指定之人,於違反保密義務時,應與其負連帶賠償責任。
九、違約、遲延及終止
(一) 得標廠商未能依本採購規格「壹、四、工作時程」各階段完成系統之建置,每逾 1 日,按承作總報酬千分之一計付懲罰性違約金,其超逾 60 日者,本行並得終止合約。
(二) 得標廠商專案成員異動,若未事前以書面方式通知本行,且取得本行書面同意,得標廠商任意更換專案人員,自實際異動日期開始,按日依承作總報酬千分之一計付懲罰性違約金,至本行同意改善結果為止,其超逾 60 日者,本行並得終止合約。
(三) 得標廠商逾時未能到達、逾時未能修復完成或雖已修復惟因可歸責於得標廠商之事由,致該維護標的物所屬系統仍無法正常運作時,保固期間內,本行得自通知故障時起算,每日按該故障標的物及其他因之無法使用之標的物合約價金千分之一計算懲罰性違約金,並以不超過保固保證金為上限。
(四) 如因事變或不可抗力事由(如颱風、洪水、戰爭、暴亂、禁運、政府法令限制等),致一方發生遲延或不能履行合約之任一約定時,
不負遲延或違約責任,並應於該事由發生日起 10 日內以書面通知他方,雙方同意屆時將本於誠信,共同協商解決辦法或修改合約有關規定。得標廠商履約有遲延者,在遲延中,對於因事變或不可抗力而生之損害,仍應負責。
(五) 除合約另有約定外,任一方有違約情事,他方得以書面通知違約方於一定期間內改正(至少 10 日),逾期未改正者,他方得終止合約。如違約情形屬無法改正者,他方得不通知違約方改正,逕行終止合約。
(六) 得標廠商對本行及其使用單位承辦人員不得給予期約、賄賂、佣金、比例金、仲介費、後xx、回扣、餽贈、招待或其他不正利益。分包廠商亦同。違反規定者,本行得終止或解除合約,或將溢價及利益自承作總報酬中扣除。
(七) 如因得標廠商違約致本行受有損害、額外支出費用或受行政機關裁罰所繳付之罰鍰等一切損失,得標廠商均應賠償之;惟如非得標廠商之故意或重大過失所致者,則以合約總報酬為賠償之上限。
十、其他:
(一) 得標廠商就受託事項範圍,同意本行主管機關、中央銀行、中央存款保險股份有限公司或本行董事會稽核部、財務會計部人員得取得相關資料或報告,及進行金融檢查,或於要求期限內提供相關資料或報告。
(二) 得標廠商同意本規格內容均為可接受且無疑義,且不得於得標後以任何理由與本行發生爭議。得標廠商如違反合約約定或違反誠信原則,經本行處罰違約金在案者,日後本行得不再受理得標廠商或其關係企業相關產品之投標。
(三) 得標廠商開發或維護之程式碼及其相關系統文件,若使用電子郵件(Email)收送時應加密處理。
(四) 得標廠商之系統架構規劃應符合本行「系統架構標準檢核表」之規範及建議事項(本行另行提供)。
(五) 得標廠商及其人員應確實瞭解本行之「資訊安全聲明」(如附錄五)及「資訊服務聲明」(如附錄六)。
貳、系統環境與架構
一、作業現況
(一) 系統架構圖:
(二) 架構說明:
1. 現行電子郵件系統為信箱資料資料庫三份,一份為使用者連接的啟動資料庫,二份複寫到其他伺服器,作為備援之用。當任一台異常無法運作時,可由其他信箱伺服器承接所有使用者連線與信箱。當任一資訊中心無法運作時,可由異地資訊中心接手運作。
2. 郵件經由 Web 及 AP 伺服器連線至Exchange 信箱資料庫伺服器存取電子郵件。
3. 系統提供本行電子郵件收發、行事曆及全域通訊錄功能。
二、專案目標
x專案擬提升本行電子郵件系統至 Exchange 2016,以取得原廠之安全漏洞修補與技術支援,確保本行電子郵件系統安全。
三、專案範圍
電子郵件系統版本由 Microsoft Exchange 2010 提升至 Microsoft Exchange 2016,並轉移現有信箱至新郵件伺服器中。
四、專案系統環境說明
說明:
1. 新建之電子郵件系統使用Exchange 2016 且安裝於現有虛擬伺服器環境,採台北與中壢雙中心營運架構,系統備援架構與原系統相同。
2. 為強化系統備援架構,擬擴充三台信箱伺服器。
參、系統功能及特性需求
x專案得標廠商應提供或滿足下列服務和品質要求。一、系統及設備需求
(一) 電子郵件系統提升服務
1. 需求訪談及架構規劃
(1) Exchange 2016 架構規劃及升級方式確認
(2) 現有網域、DNS、郵件配置、憑證、使用者分流等功能確認
(3) 現有用戶端設定檔、通訊協定與操作環境進行功能確認
(4) 前後端高可用性、信箱轉移、資料庫與使用者配置設計
(5) 使用者申請信箱網頁功能移轉需求訪談
2. 相關環境部署前準備
(1) 現行郵件系統版本及相容性確認(網域、Exchange、用戶端版本、DNS、憑證、xx系統)
(2) 作業系統及網路環境部署前準備(伺服器名稱、IP、連線網址、防火牆規則、使用者分流設定)
(3) Exchange 系統設定準備(伺服器設定、信件流向、傳送接收連接器、憑證、虛擬目錄、DAG(Database Availability Group))
(4) Exchange 2010 升級至 Exchange 2016 相容性準備
3. 伺服器安裝與部署
(1) 作業系統安裝及安全性更新及強化等環境設定(網域、IP、伺服器)
(2) 安裝 13 台 Exchange 伺服器
(3) 伺服器設定,包含憑證、虛擬目錄,用戶端連線及連接器設定
(4) 網路服務、使用者分流設定、調整與測試
(5) 郵件系統部署調整
(6) 郵件系統傳送功能測試
(7) 郵件系統高可用性功能及資料庫設定與測試
(8) 設定及確認信箱資料庫備援轉移(failover)功能正常
(9) 使用者端支援多樣性存取功能測試
(10) 伺服器參數細項設定
(11) 介接系統轉移 (SMTP Relay)設定與測試
(12) 帳號轉移測試及用戶端連線問題處理
4. Exchange 2010 信箱轉移至 Exchange 2016
(1) 用戶端存取網址切換至 Exchange 2016
(2) 郵件入口切換至 Exchange 2016
(3) 提供轉移設定標準程序(SOP)及搬移信箱批次程序
(4) 資訊安全部使用者端移轉協助
(5) 分批信箱轉移(用戶端為 outlook 2010 含以上)
(6) 信箱轉移至 Exchange 2016 問題處理
(7) 使用者申請信箱網頁功能移轉
5. 移除Exchange 2010 與驗收
(1) 確認 Exchange 2010 所有功能皆已轉至 Exchange 2016
(2) 確認信件與郵件協定(SMTP)指向已調整
(3) Exchange 2010 伺服器下線
6. 教育訓練及教材準備
(1) 使用者操作訓練課程 4 梯次(含 1 梯次本行易學網線上課程)
(2) 系統維護管理訓練(技術移轉)課程 3 梯次
7. 專案管理及文件產出
(1) 專案管理
(2) 安裝設定部署、系統備份、功能驗證、系統測試報告、信箱搬移文件
(3) 使用者操作文件
(4) 教育訓練文件
(5) 本專案升級作業程序手冊
(6) 使用者端設定檔(Profile)建立程序
二、資訊安全需求
(一) 權限控管作業
1. 簽入時需透過本行 AD 進行密碼認證。
2. 本系統應保留使用者之登入/(強制)登出紀錄,其登入記錄至少應包含登入帳號、角色、單位、登入時間、登入 IP、登入結果。(強制)登出紀錄至少應包含帳號、登出時間、IP。
3. 本系統應建立登入逾時控制(TimeOut),對於登入後超過一定時間未動作之使用者將自動登出,且逾時時間應以參數設定。
4. 本系統應提供系統管理人員使用者帳號管理、使用者權限管理、使用者群組管理及使用者操作記錄查詢等使用者管理功能。
5. 本系統應連結本行相關系統自動刪除調離職人員之使用者授權。
(二) 系統之 LOG 設定
1. 應配合本行需求對於交易之執行建立執行紀錄,例如系統參數異動、授權異動、基本資料異動、帳務或變更交易等。
2. 須提供郵件傳輸紀錄的查找功能。
3. 應建置定期清檔功能並排定時間執行,刪除應用系統執行過程產生之 Log 或相關暫存檔(如文件檔、上傳檔等)。
(三) 資訊安全管理需求
應符合本行資訊安全相關規定,檢核項目重點,說明如後:
1. 一般資通安全規範
(1) 應用系統禁止將使用者或資料庫之帳號及密碼,寫入程式模組中或儲存於端末 PC。
(2) 應用系統應不需使用系統最高權限帳號(administrator 或 root)即可執行。
2. 應用系統帳號設計原則
應設帳號清查功能,供主管或稽核人員不定期檢查。
3. 網頁應用系統(黑箱)安全性檢測及系統弱點掃描)
(1) 針對維護之系統進行安全性檢核及修補,以確保系統之安全 (如:弱點掃描報告)。
(2) 黑箱之檢測應由本行檢測工具進行,如非使用本行之工具軟體,應先經本行同意,得標廠商應出具修補前後之檢測報告。
(3) 於系統上線、驗收前另應再進行網頁應用程式黑箱檢測,以上檢測之結果應全面進行檢視,並依據本行規範之修補原則進行修補後始可上線、驗收。
三、應用系統操作需求
使用者端應可支援Outlook 2010 以上及配合本行需要於本專案驗收前已發佈之WINDOWS 作業系統平台。
四、資料移轉需求
得標廠商應配合本行需要依使用者個人電腦作業系統及 Outlook 版本,提供帳號與信箱移轉及其驗證批次程序,並完成每個版本十套以上之移轉驗證作業。
五、系統維護管理需求
(一) 得標廠商應依本行伺服器弱點掃描軟體執行之結果,配合設定及安裝修正性軟體,並依本行開放環境伺服器作業安全標準,完成相關程序及文件,以保障本行伺服器之安全。
(二) 得標廠商應提供本案之系統之安裝,及相關之資訊基礎架構建置服務。
(三) 得標廠商應配合本行現有電腦防毒機制,對本案之系統為完整且相容的安裝及設定。
(四) 得標廠商應對於系統內各種類之序時記錄檔(LOG)或緩衝檔與暫存檔(BUFFER)、資料庫等,明列清單;並將上列檔案,排程於批次作業,自動定期清檔。
(五) 得標廠商應配合本行硬體設備、作業系統、資料庫系統之備援及備份機制,提供本專案應用系統所屬資料、程式、檔案等自動排程及手動設定備份及回復程序,並製作災害復原作業手冊、訂定災害復原演練計畫及依據計畫實施演練。
六、處理「個人資料保護」需求
為保護客戶個人資料(以下稱個資),除考量特殊限制(如套裝軟體)並經本行同意外,開發之應用系統應符合下列規範。
(一) 權限管理:應用系統之使用人員調離職時,系統應連結相關人事異動資料檔案自動刪除原有授權。
(二) 個資遮蔽:應用系統開發應與本行業管單位確認是否遮蔽個資相關欄位。
(三) 電子檔案加密:提供客戶含有個資之電子檔案應予加密處理。
(四) 檔案集中管理:除下列項目可放置 EDW FTP Server 供本行業管單位下載外,與個資有關之電子檔案應集中管理,禁止複製、下載及列印。
1. 報送外部監理機關資料
2. 行銷活動資料
3. 抽獎活動資料
4. 提供本行副總經理以上高階長官之檔案
(五) 交易紀錄:處理與個資有關之交易應留存交易紀錄(AP LOG)檔案,並提供本行 AP LOG 查詢系統以供調閱。
(六) 當事人權利行使:應用系統應依本行帳務主機系統提供之當事人行使「停止蒐集、處理或利用」或「刪除」權利之註記資料,於其系統執行查詢類交易應顯示錯誤訊息、去識別化或不顯示,執行其他類交易應顯示相關錯誤訊息。
肆、專案交付項目與驗收
一、交付方法與數量
(一) 所有交付文件應包含 2 份實體書面文件(視本行需要交付)及 2 份光碟。
(二) 所有交付文件應於系統驗收階段燒錄於光碟媒體交付本行。二、專案交付項目
廠商應於建議書中載明下表項次 3~7 之實際交付時程。
項次 | 開發階段 | 交付項目 | 交付時程 |
1 | 專案前置階段 | 專案執行計畫書 | 簽約日起7 日內完成交付 |
2 | 專案啟動階段 | 啟動會議簡報 需求訪談計畫 | 簽約日起10 日內完成交付 |
3 | 需求分析階段 | 需求分析報告書 | |
4 | 系統測試階段 | 系統建置(上線)計畫書災害、復原演練計畫 上線變更檢核表(附錄三) | |
5 | 技術移轉訓練 | 使用者技術移轉訓練教材 系統維運技術移轉訓練教材 | |
6 | 系統上線階段 | 系統安裝及環境設定手冊 | |
7 | 系統驗收 | 交付清冊(附錄四) |
三、驗證審查要求項目 (一) 文件驗證要求
1. 得標廠商交付之專案執行計畫書、需求分析報告書、系統建置
(上線)計畫書等文件,應檢附文件驗證審查紀錄及文件品質度量分析資料。
2. 得標廠商交付之文件品質度量分析資料,應包含加權缺失密度,本行將透過此項度量值,與本行所驗證之加權缺失密度進行文件品質檢出率計算,公式如下。
檢出率(DR,Detect Rate)= VD:得標廠商文件品質度量加權缺失密度
HD:本行審查得標廠商文件品質度量加權缺失密度
3. 得標廠商之文件品質檢出率應達 70%以上,如得標廠商於全案驗收時,整體文件品質平均檢出率低於 70%,本行得依下列罰則標準要求得標廠商免費提供延長系統保固時程:
檢出率(DR) 罰則 | 70%>DR>60% | 60%>DR>50% | 50%>DR |
延長系統保固時程 | 2 個月 | 6 個月 | 12 個月 |
(二) 文件驗收要求
得標廠商所交付之文件,經本行審查後,所有缺失均矯正完畢並經本行確認無誤後,始得辦理驗收程序。
伍、專案規劃、實作與管理需求
一、專案規劃與管理 (一) 專案時程規劃
廠商之時程規劃應包含查核點(里程碑)規劃、細部時程規劃,並
應規劃本行應參與或負責之活動。 (二) 專案進度管理
廠商應於建議書中說明如何規劃本專案執行進度和查核點之管理方法。
(三) 專案溝通管理
廠商應於建議書中說明如何規劃本專案之溝通管理方法。 (四) 專案風險管理
廠商應於建議書中說明如何識別本專案之風險、風險分類、風險應對處理、風險狀態監控方法等。
(五) 專案問題管理
廠商應於建議書中說明問題管理方法以管理本專案執行過程中衍生之問題,包括進度、品質、資源、變更、爭議、人員技能、服務態度等問題之處理。
二、工作報告
(一) 專案狀態報告
自專案啟動會議日之次日起每雙週一前(如遇假日順延)交付前兩週之專案狀態報告,可參考本行提供之範本,報告內容至少應包括:
1. 執行進度報告
2. 品質控制報告
3. 風險管理紀錄
4. 問題矯正狀態及進度
5. 建構狀態報告
6. 專案成員投入狀況維持率
7. 上述所提交之工作報告,應包含度量資料。 (二) 專案規模估算
在本專案之專案啟動會議階段、需求分析階段及系統驗收階段執行專案規模重估算,並將重新估算的結果,合併到當期專案狀態報告,提交本行確認。
三、需求及系統分析
投標廠商應在建議書中提供需求訪談計畫及變更管理程序範本,本專簽約後,得標廠商應依據其投標文件所說明的需求訪談計畫及變更管理程序,執行變更管理作業。
陸、支援活動規劃與管理需求
一、文件交付格式要求
得標廠商應提供執行本專案預定交付之需求分析報告書、系統功能驗證報告書、災害復原演練計畫、系統建置(上線計畫書)等之樣本 (Template)或範本(Sample),經本行審查同意後,作為本專案交付文件撰寫之依據。
二、人力資源異動管理
(一) 投標廠商應在建議書中說明本專案規劃之工作團隊(含分包廠商人力),負責執行本案相關工作,其成員應包含專案經理(負責人)、系統分析及設計、系統測試等人員,並提出專案組織架構與職責分工、人員資歷說明(包含學經歷、專長、專業認證或實務經驗等)。
(二) 投標廠商在建議書文件中應說明如何管理專案人員異動及因應人員異動衝擊之方法。
(三) 得標廠商專案成員之專案經理(負責人)、系統分析及系統設計等人員異動時,應於 1 個月前以書面事先通知本行。前 2 週由得標
廠商內部培訓依本案範圍需要之技能;後 2 週至本行端施予訓練或向本行提出說明該成員已具備本案之熟悉程度。
(四) 得標廠商專案成員除上述成員外之人員異動,應於半個月前以書面事先通知本行。前 1 週由得標廠商內部培訓依本案範圍需要之
技能;後 1 週至本行端施予訓練或向本行提出說明該成員已具備本案之熟悉程度。
三、建構管理(Configuration Management)投標廠商應在建議書文件中說明:
(一) 專案文件管理與維護
說明如何管理本專案發展過程中所產出之各項計畫、規格、報告、紀錄、資料等,包括電子和實體文件管理、文件存取權限管理和文件備份管理,不同版本間之有效識別與存取,並對建構項目之變更進行追蹤管制。
四、技術移轉訓練
(一)使用者操作訓練課程
1. 訓練對象:電子郵件系統使用者。
2. 訓練內容:包含各項電子郵件存取方式之系統架構、環境設
定、操作及使用說明等,至少包含 Outlook、網頁電子郵件以及行動裝置。
1. 訓練時數:至少 3 梯次,每梯次至少 1 小時。
2. 訓練地點:本行資訊大樓訓練教室。
3. 課程須於本專案系統上線啟用前辦理完畢。
4. 提供教育訓練教材包含中英文版本。
(二)系統維護管理訓練(技術移轉)課程
1. 訓練對象:資訊人員。
2. 訓練內容:應包括系統架構及維護、本專案帳號移轉、所有本專案使用之軟體工具等說明與實作課程。
3. 訓練時數:至少 3 梯次,每梯次各 12 小時。
4. 訓練地點:本行資訊大樓。
5. 課程須於本專案全案上線前至少須辦理一梯次,其餘驗收前辦理完畢。
(三)得標廠商須提供師資及教材,並準備訓練事宜,所使用之技術移轉訓練教材,應於訓練前交付本行審查同意後使用。
(四)得標廠商辦理技術移轉訓練前須提出技術移轉訓練計畫,內容應包含課程名稱、時數、師資、教材等,送交本行審核認可。
(五)得標廠商應提供本行易學網(eLearning)線上教材(含英文版本)供行員上網學習。
柒、附錄
一、投標建議書內容 (一) 編輯格式
1. 建議書之章節編號格式依次為壹、一、(一)、1、(1)。
2. 相關功能說明頁數:請填列相關系統功能說明之頁數(例: P50~P55)。
3. 備註:所列功能如優於本專案所需功能需求,請於備註欄註明。 (二) 投標建議書大綱
目錄
壹、專案目標與範圍
說明專案所要達到的目標與範圍。貳、系統架構說明
一、依本專案之目標與範圍,就所建議規劃之系統架構,將系統及網路配置以架構圖表示並說明。
二、投標廠商應就所提建議方案、未來擴充性、最佳效能、歷史資料、資料庫備份及回復策略等因素,完整規劃系統架構並應列表詳細說明用途、數量及容量。
叁、系統功能與特性說明
說明專案各項系統功能需求之順序,分節或分段、以圖文方式,詳細說明投標廠商所提供之系統功能與特性。
肆、專案交付項目
投標廠商應詳細說明專案各階段查核點之交付項目、交付時程、交付方法與數量等,並說明如何配合本行文件之驗證與驗收要求。
伍、專案規劃、實作與管理
一、投標廠商應詳細說明專案規劃與管理事項,包括:
1.時程規劃,含查核點(里程碑)規劃、細部時程規劃,並應規劃本行應參與或負責之活動。
2.專案之溝通、問題、進度、風險等專案管理與監控的程序、工具與方法。專案人員參與、專案成員訓練規劃與方法。
3.需求收集、分析、確認及管理方法。
4.系統測試方法、程序等。
二、投標廠商如果持有 ISO 或 CMMI 國際認證或評鑑證書,應檢附證書影本,並說明過去在哪些和本專案相類似的環境、客戶或系統中實際遵循 ISO 或 CMMI 要求,管理與執行專案活動,且提
供專案實際執行績效參考資料。陸、支援活動規劃與管理
投標廠商應詳細說明確保本專案各項規劃活動能夠順利執行之各項支援活動、資源與管理方法。
一、管理交付文件並符合本行格式要求之方法。二、管理本專案人力資源異動的程序與方法。 三、專案各項產出的管理方法。
四、收集、儲存及分析專案度量資料的方法。五、專案流程及產品品質保證的方法。
六、系統建置及驗收規劃。
七、技術移轉訓練規劃與管理。八、系統保固維護服務規劃。
柒、專案組織:
一、說明參與本專案之組織結構。二、說明專案人力估算及配置。
三、工作人員履歷表,至少一位需具備(Windows Server 2016 以上微軟原廠認證、Exchange 2010 以上微軟原廠認證)。
四、公司簡介。
五、公司參考實績。捌、附件:
一、機器型錄。
二、實作經驗證明文件(如合約書影本)。
三、系統設備原廠經銷授權證明、軟體原廠之授權計算說明文件。四、書面保證證明參與投標所提供之系統設備及型錄、規格、說明
文件等均為合法持有且屬實。五、其他。
二、建議書裝訂及交付
(一) 投標廠商應製作並交付紙本建議書文件 3 份,同將建議書電子檔文件以 pdf 檔案格式燒錄 1 份光碟交付本行評估使用。
三、上線變更檢核表文件清單
編號 | 項目 | 備註 |
1 | 程式清單 | 本案無 |
2 | 資料庫 Table 清單 | 本案無 |
3 | 應用系統操作手冊 | 本案無 |
4 | 應用程式版本控管機制與變更標準作業程序 | 本案無 |
5 | 測試報告(整合測試、使用者測試、壓力測試) | 本案無 |
6 | 上線程序 | |
7 | 系統架構圖 | |
8 | 資料流向圖 | |
9 | 清檔作業說明 | 本案無 |
10 | 批次流程圖與批次作業手冊 | 本案無 |
11 | 系統權限控管表 | |
12 | 應用系統權限控管手冊 | |
13 | 弱點掃描與強化程序文件 | |
14 | 叫修流程窗口與問題通報流程 | |
15 | 系統安裝與開關機手冊 | |
16 | 系統備份及回復程序 | |
17 | 系統備援切換程序 | |
18 | 緊急應變程序 | |
19 | 開放系統應用程式碼安全性評估 | (源碼檢測) 本案 無 |
註.以上文件可提供投標廠商於本行內翻閱,不得複製或照相,如投標廠商有需要可與本行連絡。
四、系統交付清冊文件清單
編號 | 項目 | 備註 |
1 | 附件一_專案工作說明書/建議書電子檔 | |
2 | 附件二_Windows/UNIX 作業系統安裝與參數指引 | |
3 | 附件三_開放式系統MSSQL 資料庫安裝與參數設定指引/ 附件三_開放式系統 DB2 資料庫安裝與參數指引 | 本案無 |
4 | 附件四_合約影本或掃描電子檔 | |
5 | 附件五_硬體設備機房變更申請單 | 本案無 |
6 | 附件六_開放系統備份建置/變更申請單 | 申請單 |
7 | 附件七_儲域網路 SAN Storage 建置變更申請單 | 申請單 |
8 | 附件八_專案分價表 | |
9 | 附件十_開放系統_監控建置變更申請單 | 申請單 |
10 | 附件十一_網路連線架構圖 | |
11 | 附件十二_作業系統強化程序 A.附件十二 資料庫基本安全設定及檢查表 B.附件十二_Windows 基本安全設定及檢查表 C.附件十二_AIX&Unix 基本安全設定及檢查表 | |
12 | 附件十三_伺服器弱點掃描工作檢核表(弱點掃描) | |
13 | 附件十四_防火牆設定建置申請單 | 申請單 |
14 | 附件十六~十九_XXX 專案系統權限控管表_日期 | |
15 | 附件二十_資料庫 Table 權限控管表 | 本案無 |
16 | 附件二十二_應用系統帳號/權限操作手冊、程序及架構 | |
17 | 附件二十四_變更流程圖及變更標準作業程序 | 本案無 |
18 | 附件二十五_應用系統自動編譯自動部署導入程序 | 本案無 |
19 | 附件二十六_程式碼(Source code)交付 | 本案無 |
20 | 附件二十七_變更控管系統 Agent 安裝 | 本案無 |
21 | 附件二十八_管理程式 | 本案無 |
22 | 附件二十九_系統測試報告書(以壓力測試報告為主) | 本案無 |
23 | 附件三十_備援演練及系統還原記錄 | |
24 | 附件三十一_教育訓練簽名表 | |
25 | 附件三十二_系統維運手冊 | |
26 | 附件三十三_開放式系統資料庫備份/還原作業指引 | 本案無 |
填寫「系統專案交付清冊」(107/09/20 版本)內容,並依清冊要求交付相關附件如下:
註.以上文件可提供投標廠商於本行內翻閱,不得複製或照相,如投標廠商有需要可與本行連絡。
五、資訊安全聲明
華南商業銀行資訊安全聲明(SR-001-001_資訊安全聲明-1040721_v1.1)
華南商業銀行(以下簡稱為本行)秉持維護客戶交易作業環境之資訊安全理念,對於本行資訊系統暨所儲存、處理、傳遞或揭露之資料作周全保護與防範,以杜絕毀損、失竊、洩漏、竄改、濫用與侵權等事故,特訂定本資訊安全聲明,相關資訊安全聲明如下:
1. 本行資訊安全組織,負責督導資訊安全管理制度之運作,提供必要之資源,鑑識資訊安全管理制度之各項議題與利害相關團體對本行資訊安全之需求及期望。
2. 本行管理階層應宣示支持資訊安全之決心,持續改善資訊安全體質,降低資訊安全事故可能帶來之衝擊,以保障客戶之權益。
3. 本行資訊安全管理制度文件及紀錄應有明確之管理機制,以確保資訊安全管理制度文件之適時更新及作業紀錄之保護。
4. 本行應進行資訊資產分類與風險評鑑,並採行適當之管控機制,以降低或控制資訊風險。
5. 本行所有員工皆有責任及義務保護所擁有、保管或使用之資訊資產,以防止遭未經授權之存取、竄改、破壞或不當揭露。
6. 本行所有員工工作分派應考量職能分工,職務責任範圍應予區分,以避免資訊或服務遭未經授權修改或誤用。
7. 與本行有業務往來之廠商及其員工應進行必要之審核及參與資訊安全教育訓練,其所擁有、保管或使用本行之資訊資產皆負保護之責任。
8. 本行定期檢測資訊安全指標,以改進資訊安全管理制度及管控程序實施之有效性。
9. 本行應使用適當的資訊加密保護,以確保資訊之機密性、鑑別性及完整性。
10. 本行應確保工作區域的實體安全,防範資訊資產遭意外或蓄意之竊取或毀損。
11. 本行應落實資訊通訊安全管理,以確保交易處理與日常作業之資料傳輸及通訊安全。
12. 本行所有資訊安全控制或程序之開發、修改及建置,皆須符合並遵循資訊安全管理之規定。
13. 本行應確保所有委託他人處理內部資訊作業符合本行之資訊安全要求。
14. 本行所有人員對於有發生安全事件、安全弱點及違反安全政策與規範之虞者,應隨時保持警戒,並依程序進行通報。
15. 本行應遵循內外部相關法令規定,建立應有之管控程序,定期執行資訊安全查核作業,以確保資訊安全管理制度之持續有效運作。
本聲明之頒布,明確宣示維護資訊安全的重要性,本行全體人員、與本行有業務往來之廠商及其員工或臨時雇員等應確實瞭解資訊安全聲明,以維護本行所有業務之資訊安全與永續經營。
六、資訊服務聲明
華南商業銀行資訊服務聲明(SR-042-003_資訊服務聲明-1060405_v1.0)
華南商業銀行資訊科技管理群為提供良好之資訊服務,落實資訊服務管理制度之相關規定,特訂定本資訊服務聲明,相關資訊服務聲明如下:
一、資訊服務管理目標係指:
(一) 建立標準化、制度化、具效率之資訊服務管理流程。
(二) 達成與業管單位議定之服務內容與服務水準,並提供業管單位良好之資訊服務。
(三) 強化服務品質、持續改善服務績效。
二、資訊服務聲明係參考最新版國際資訊服務管理標準ISO 20000所建立與運作。
三、建立資訊服務組織、分配協調資訊服務管理權責及實施各項資訊服務控制措施。
四、識別業管單位或合作廠商之資訊服務流程,確保該流程之有效性。五、持續監控及審查資訊服務管理運作之績效及可用性。
六、擬定具體之資訊服務水準協議,並訂定客觀之量測方式。七、依據簽署之資訊服務水準協議,定期產出服務報告。
八、本行應遵循內外部相關法令規定,建立應有之管控程序,定期執行資訊服務查核作業,以確保資訊服務管理制度之持續有效運作。
本聲明之頒布,明確宣示資訊服務之重要性,本行資訊科技管理群全體人員、業管單位、與本行有業務往來之合作廠商及其人員,應確實瞭解資訊服務聲明,以維護資訊服務之水準。