CyberSecurity

常用資訊服務等級協議 (SLA) 參考項目

  1. 系統及服務可用性
    1. 環境面
    2. 服務面
    3. 永續維運與管理
    4. 資通安全品質
  2. 廠商之服務品質
    1. 設計與開發階段
    2. 測試驗證階段
    3. 上線前準備階段
    4. 建置及維運階段
    5. 其他
  3. 使用者體驗

彙整政府資訊服務採購作業指引 附件當中的常用資訊服務等級協議(SLA)之參考項目,在 RFP 的訂定上作為檢核與盤點用途。

logo

系統及服務可用性

環境面

  • 服務韌性:電力、水、網路、空調、濕度調節之備援與調節方式,確保系統正常運作於發生異常時有足夠之應變緩衝時間。
  • 對外網路環境:骨幹網路、交換器、路由器異常故障,造成連線與服務中斷,其累計時間每月不得超過__小時(約為__%可用率)。
每月中斷時數 可用率
0.72 99.9%
1 99.86%
3.6 99.5%
7.2 99% 
# 計算公式
服務可用性 = (本月總小時數 - 停機時間) / 本月總小時數 × 100%

服務面

  • 服務可用性(Service Availability):該指標衡量服務對用戶可用的時間百分比,其計算應考慮到其他須排除之因素,如計畫中維護和升級;例如,SLA可能規定該服務必須99.9%的時間可用。(計算公式: 服務可用性 = (本月總小時數-停機時間) / 本月總小時數 × 100%)
  • 正常運行時間百分比(Uptime percentage):正常運行時間通常按每個日曆月或結算週期進行追蹤及報告。
  • 平均故障間隔時間(Mean Time between Failure, MTBF):服務故障之間的平均時間。
  • 平均修復時間(Mean Time to Recovery, MTTR):恢復服務故障的平均時間。
  • 系統穩定度:每月每項服務中斷次數之累計不超過次數。
  • 反應時間:使用者在端末設備輸入應用系統所需資料,自按功能鍵至應用系統將處理結果傳回作業端止的時間,其作業量之__%系統反應時間應在__秒內。
  • 批次作業時間:自該批次作業工作啟動至作業完成之時間應於__小時內完成__筆資料。
  • 檔案傳輸時間:在工作天之作業時間(上午8時 ~下午5時)內,傳送__GB檔案應於__分鐘內完成。
  • 滿意度調查:定期對終端使用者就系統使用上,調查滿意度評分,每次調查應不低於__分。

永續維運與管理

  • 營運異地備份/備援:備份數、儲存媒體種類、異地備份數等,以及備份還原測試頻率、備援演練次數。
  • 系統備份/備援恢復作業時間 (RTO):每次操作系統備份/備援回復作業應於__(時間)內完成。
  • 資料回復可接受之時間點(RPO):可允許的最回溯落差__(時間)。
  • 最大可忍受中斷時間(MTPD):最大可忍受系統中斷服務__小時。
  • 備品供應:涉及硬體提供者,廠商應至少準備__(例如1/3)之備品,以利於故障時及時更換。
  • 網路、資安、資料庫或伺服器等設備若具備高可用性(HA)架構,需依合約規範的時間頻率,執行本地端的HA切換演練,確保設備切換可於時限內正常使用,每月至少切換測試一次,未能成功者計罰__元,且應於__日內再測試,直至成功為止。

資通安全品質

  • 風險評鑑與風險管理計畫:依照政府資安等級規定進行風險評鑑並依評鑑結果訂定風險管理計畫。
  • 實體及遠端登錄管制與稽核:避免帳號洩漏或破解致影響系統安全與正常運作,應有效管控並定期稽核有無不允許或異常的登錄情形。
  • 漏洞修補:避免因疏漏造成整體服務暴露於風險之中,廠商應就所提供服務涉及之軟硬體、作業系統及開發之程式,定期檢查更新並予掃描、測試及調整,確保整體運作穩定、高效及安全。當接獲弱點通報時,應即時完成修補;於完成修補前,應規劃緩解措施及管理作為,加強監控。
  • 資通安全政策執行品質:分別計算每月及每季未依機關或契約資通安全規定執行之次數。
  • 資安測試之改善:定期執行資安測試,包括安全通訊協定、系統弱點掃描、應用程式弱點掃描、App資安檢測等,其有需改善者而未能於契約約定期限內改善完成者,每月/不得超過__%。
  • 安全防護計畫執行:定期檢視監控資安日誌如防火牆、入侵偵測系統、應用程式防火牆、安全資訊與管理系統等並訂定防護計畫與措施,每季未能執行次數不得超過__次。
  • 資安事件之通報及應變:自知悉或接獲資通安全事件通知或即時警示後,應至遲於__分鐘內通報機關,並於__小時內提供資通安全事件等級評估、處理應變規劃及建議。
  • 調查及處理資安事件之時效:資安事件發生後需依照合約規範的時限內的完成損害控制或復原作業,並於__日內送交調查、處理及改善報告(或協助機關調查處理)。
  • 外部稽核:廠商需配合機關進行____(如:ISO 27001、ISO 20000,機關視需要載明)國際資安認證外部稽核驗證,其每次稽核所列缺失不得超過__項。

廠商之服務品質

設計與開發階段

  • 未依機關同意之流程或設計準則開發之比率:除屬機關需求變更者外,廠商疏漏或未依機關確認之內容進行開發之比率,可依展示次數逐步降低,提升系統完善及整體性。
  • 未依限回應問題之次數:可依不同階段及態樣規範機關所詢問題之回應時間。

測試驗證階段

  • 單元測試流程通過比率:在單元測試(驗證程式碼的每個獨立部分是否正常運作)中,通過測試的數量與總測試數量的比率應達__%以上。
  • 整合測試通過比率:在整合測試(驗證程式碼的各個部分是否能夠正確地協同工作)中,通過測試的數量與總測試數量的比率應達__%以上。
  • 效能調教次數:廠商應於__次內調教效能,達成契約約定之具體的績效基準(Specific performance benchmarks)。

上線前準備階段

  • 壓力測試:系統能同時、瞬時支援使用人數的上限,系統上線前應模擬正式使用(尖離峰、歷史事件等)環境進行壓力測試。
  • 資料移轉時間及正確率:可分階段訂定,移轉時間應每次縮短;資料漏失或錯誤率應逐次下降,且同一資料錯誤情形不得超過__次。
  • 上線演練作業之次數與所需時間:可分次訂定,切換所需時間應每次縮短;超過機關指定之時間應紀錄為失敗(可分模組或功能計算),上線前成功比率應逐步提升。
  • 客服準備情形:依機關同意之問答內容進行抽測與實作,抽測通過比率應達__%以上。
  • 人員之教育訓練:經協助受訓人員完成機關指定之測試項目應達__%;受訓人員滿意度應達__%(前開比率可分階段調高)。未能達成前開比率者,廠商應再辦理一次,仍未達成者,按差距部分每__%計罰__元。

建置及維運階段

  • 事故發生通報時間:異常事件發生時,廠商應於__(時間)內通知機關聯絡窗口。
  • 廠商反應時間(Service provider response time):廠商應於__(時間)內回應使用者問題或請求。
  • 解決時間(Resolution time):場商記錄問題後應於__(時間)內解決問題。
  • 錯誤率(Error rate):在__(時間)內,資訊系統服務中出現錯誤的次數與總次數的比率。錯誤可以是系統錯誤、應用程式錯誤、網路錯誤等。
  • 軟硬體設備修復時限:軟硬體設備發生異常時,廠商於知悉或機關通知後應於__(時間)內到達現場,於__(時間)內內修復;若無法於時限內修復,應無償提供同等(含)以上替代品供使用。
  • 舊系統資料儲存:新系統上線後,舊系統資料應儲存於可存取環境並保留__月/年。
  • 軟硬體設備維修妥善率:任一設備於一定期間內連續發生__次異常問題至需更換或維修者,視為未達妥善率要求。

其他

  • 交付文件及品質:廠商按照契約規範交付非屬履約成果之文件者(如工作日誌、每周報告),因內容缺漏、不足及錯誤至退件之次數,每件不得超過__次。
  • 召開履約關理相關會議:未依契約約定召開會議者,每季不得超過__次。契約約定之廠商人員未出席會議次數,每季不得超過__次。
  • 服務團隊成員要求:廠商提供服務團隊成員資格、證照與人數要求,每季更新統計,若低於契約要求之__%者(如95%),依差異之每__%計罰__元。

使用者體驗

  • 跨瀏覽器支援:使用者端網頁介面須支援之瀏覽器類型,如:Microsoft Edge、Google Chrome、Firefox、Apple Safari。
  • 行動裝置支援:使用者端網頁介面須支援之跨平台行動裝置,如:適用Android、iOS作業系統。
  • 響應式網頁設計(Responsive Web Design;RWD):讓使用者能夠在各種不同尺寸或解析度的裝置上都能夠輕鬆地瀏覽、使用網站,而不需要因為裝置不同而產生閱讀體驗上的問題。
  • 通過無障礙標章認證。
  • 使用者填寫資料:使用者建立資料時,每頁面填寫平均時間應在__分鐘內。
  • 提供友善列印、字體大小調整、暗色等模式供使用者選擇。