小程序开发项目监理实施细则

小程序开发项目监理实施细则一、总则1.1编制目的为规范小程序开发项目监理工作，明确监理职责、程序和方法，确保项目质量、进度、投资三大目标受控，特制定本实施细则。1.2编制依据《信息系统工程监理规范》（GB/T19668）《软件工程产品质量》（GB/T16260）《信息技术软件生存周期过程》（GB/T8566）项目监理合同及补充协议经批准的项目建设方案、需求规格说明书、设计文件1.3适用范围本细则适用于政府、企事业单位以公开采购、竞争性谈判、单一来源等方式发包的小程序开发项目全过程监理，包括但不限于需求调研、原型设计、前后端开发、接口联调、第三方平台对接、测试验收、上线运维等阶段。1.4监理原则守法、诚信、公正、科学事前预控、事中检查、事后纠偏以合同为准绳、以事实为依据、以数据为支撑风险前置、问题闭环、持续改进二、监理组织架构与职责2.1监理机构设置岗位人数配置主要资质要求备注总监理工程师1人信息系统监理师（高级）+PMP/Prince2全面负责专业监理工程师（需求方向）≥1人信息系统监理师（中级）+业务分析师证书需求阶段主导专业监理工程师（开发方向）≥1人信息系统监理师（中级）+软件设计师开发阶段主导专业监理工程师（测试方向）≥1人信息系统监理师（中级）+ISTQB测试阶段主导监理员（文档/配置）≥1人信息系统监理员（初级）文档、配置、会议纪要的收集与归档2.2关键岗位职责2.2.1总监理工程师组织编制《监理规划》《监理实施细则》签发开工令、停工令、复工令、付款证书主持监理例会、专题会议、里程碑评审审核并签署项目变更、索赔、延期申请向建设单位提交月报、阶段报告、总结报告2.2.2专业监理工程师编制对应专业《监理实施细则》分册审查承建单位提交的《需求规格说明书》《概要设计说明书》《详细设计说明书》《测试方案》等技术文件实施旁站、巡视、平行检验，填写《监理日志》《旁站记录》对发现的不符合项签发《监理通知单》，跟踪闭环参与关键模块代码走查、接口联调、性能压测见证2.2.3监理员负责文档收发、编号、台账管理协助专业监理工程师收集度量数据（代码行数、缺陷密度、进度偏差率）整理会议纪要、监理月报素材管理监理工具账号权限、备份监理电子档案三、监理工作程序3.1全过程流程图启动阶段→需求阶段→设计阶段→开发阶段→测试阶段→上线阶段→运维阶段↓↓↓↓↓↓↓监理规划需求评审设计评审代码走查测试见证上线评审质保抽检3.2开工审批承建单位提交《开工申请表》及附件（项目计划、人员进场名单、保密协议、安全生产承诺书）监理机构2个工作日内完成形式审查，总监理工程师签发《开工令》开工令签发后3个工作日内召开首次工地会议，明确沟通机制、文档模板、缺陷级别定义、变更流程3.3日常监理每日：监理员收集项目日报，比对计划偏差每周：专业监理工程师组织周例会，输出《周例会纪要》每月：总监理工程师组织月度评审，输出《监理月报》（含进度、质量、风险、问题、变更、支付六张量化表）关键节点：需求评审、设计评审、代码走查、性能压测、渗透测试、上线评审、最终验收，必须提前3个工作日发出《评审通知单》3.4变更管理变更类型审批流程时限要求文件要求需求变更（金额≤合同额5%）监理工程师初审→总监审批→建设单位备案3个工作日《需求变更申请表》《影响分析表》需求变更（金额>合同额5%）监理机构组织专家论证→建设单位审批7个工作日上述+《专家论证意见》技术路线变更同上，且需原厂商授权书10个工作日《技术变更方案》《兼容性测试报告》人员变更（核心）总监审批→建设单位书面确认2个工作日《人员变更申请表》《新人员简历》3.5问题闭环不符合项分级：致命、严重、一般、建议监理通知单签发后，承建单位须在24小时内书面回复整改计划，3个自然日内提交整改结果证据监理机构对致命/严重项进行100%复查，一般项抽查比例≥30%所有问题须纳入《问题跟踪表》，状态未关闭不得进入下一阶段四、质量控制4.1质量目标功能性缺陷密度≤0.3个/功能点性能指标：首屏加载≤2秒，接口95分位响应≤500ms，并发用户≥合同峰值*1.2安全漏洞：高危0个，中危≤2个，低危≤5个（以第三方渗透测试报告为准）代码规范：ESLint/Stylelint通过率100%，代码重复率≤5%4.2评审控制点阶段评审对象评审方式通过准则需求需求规格说明书会议评审+原型走查需求覆盖率100%，无二义性，可追溯矩阵完整设计概要设计说明书、接口设计说明书会议评审+原型演示架构满足非功能需求，接口符合RESTful规范，风险列表完整开发核心模块代码走查+静态扫描致命/严重缺陷0个，圈复杂度≤10，安全扫描无高危测试测试计划、测试用例、测试报告会议评审+现场见证功能覆盖率100%，性能/安全/兼容性/易用性达标，缺陷关闭率100%4.3测试监理测试阶段划分：单元测试→集成测试→系统测试→第三方验收测试监理见证比例：单元测试：抽查20%用例现场演示集成测试：100%见证关键接口联调系统测试：100%见证性能压测、安全渗透、兼容性测试验收测试：100%见证用户UAT场景缺陷管理：使用禅道/Teambition统一跟踪，缺陷状态必须经历”新建→已确认→已修复→已验证→已关闭”五态，监理负责状态转换审核4.4上线前检查清单代码仓库主干分支已锁定，版本号命名规范（semver）灰度发布方案已评审，回滚时间≤10分钟小程序已通过微信/支付宝/字节/百度官方审核，截图存档生产域名已备案，HTTPS证书有效期≥90天运维监控（PV/UV/接口成功率/慢查询）已接入甲方运维平台数据备份策略（全量+增量）已验证，RPO≤15分钟灾备演练报告已提交，监理签字确认五、进度控制5.1进度计划体系一级计划：里程碑计划（需求冻结、设计冻结、开发完成、测试完成、上线）二级计划：月计划（WBS到功能模块级）三级计划：周计划（任务到人/日）四级计划：日计划（Scrum看板）5.2进度度量采用挣值管理（EVM）：PV（计划值）：以人日为单位，每月底重新基线化EV（挣值）：任务完成度由监理现场核实，拒绝”纸面100%”AC（实际成本）：承建单位填报，监理抽查考勤系统、Git提交记录阈值预警：SV（进度偏差）=(EV-PV)/PV，超过±5%黄色预警，±10%红色预警SPI（进度绩效指数）<0.9必须提交专项赶工方案5.3进度压缩措施快速跟进：将原型评审与UI设计并行，监理审查接口mock先行资源加班：每周工时≤60小时，监理核查加班审批单范围微调：砍掉优先级为”低”的需求须走变更流程，监理评估对合同额影响六、投资控制6.1支付节点阶段支付比例监理审核要点合同签订0%无需求评审通过20%需求文档签字版、原型验收单设计评审通过20%设计文档签字版、架构评审结论开发完成30%功能清单完成率100%，缺陷关闭率100%，源代码移交单上线稳定运行30天20%运维监控报告、用户反馈清单、性能报告最终验收10%验收报告、竣工资料、质保函6.2索赔与反索赔索赔时限：事件发生后14个自然日内提交《索赔意向书》，28个自然日内提交正式报告监理审核内容：索赔依据、因果关系、量化计算、证据链完整性反索赔：因承建单位原因导致里程碑延误，按合同每日千分之一扣款，监理出具《违约金扣款单》七、信息安全与合规监理7.1数据安全个人信息收集须遵循最小必要原则，监理抽查《个人信息影响评估（PIA）报告》敏感接口须做鉴权+加密+脱敏，监理现场抓包验证日志留存≥6个月，审计轨迹不可篡改，监理使用ELK抽查日志完整性7.2第三方平台合规微信小程序：须符合《微信小程序平台运营规范》最新版，监理核查”用户隐私保护指引”已更新支付接口：须取得《支付业务许可证》或聚合支付备案，监理留存证书复印件地图接口：须使用自然资源部审核通过的地图服务商，监理核查《地图审图号》7.3渗透测试测试机构：须具备CNAS认可资质，提交《网络安全等级保护测评报告》测试范围：前端小程序包、后端API、管理后台、CDN、OSS、数据库复测要求：高危漏洞24小时内修复并提交复测报告，监理签字后方可上线八、合同与文档管理8.1文档清单类别文档名称承建单位提交份数监理留存份数电子格式需求需求规格说明书、原型源文件31Word、Axure/Rp设计概要设计说明书、详细设计说明书、数据库设计说明书、接口设计说明书31Word、PowerDesigner、Swagger开发源代码（含CI脚本、Dockerfile）、编译部署手册11Git仓库、PDF测试测试计划、测试用例、测试报告、缺陷清单、性能报告、安全报告31Excel、PDF运维运维手册、监控告警规则、灾备演练报告31PDF、YAML管理项目计划、周报、月报、会议纪要、变更单、问题跟踪表11Excel、PDF8.2版本控制文档版本号：V{主版本}.{次版本}.{修订版本}，主版本变更须重新评审代码版本：使用GitFlow模型，主干分支保护，MergeRequest须经过代码评审+自动化测试+监理抽查配置库权限：监理拥有只读权限，可拉取任意历史版本8.3归档要求纸质档案：签字盖章原件，统一A4幅面，左侧装订，页号连续电子档案：PDF/A格式，双层PDF（图像+文本），命名规则”项目编号_文档类别_版本_日期”保存期限：≥项目质保期结束后5年，监理机构负责移交建设单位档案室九、沟通协调9.1会议机制会议类型频次主持输出周例会每周总监理工程师《周例会纪要》里程碑评审按里程碑总监理工程师《评审结论》《缺陷清单》专题会议按需专业监理工程师《专题会议纪要》高层协调会月度或红色预警建设单位领导《高层会议纪要》《行动项》9.2报告制度监理月报：每月5日前提交，含红黄绿灯仪表盘专项报告：进度偏差>10%、重大安全漏洞、重大投诉24小时内提交总结报告：验收通过后15日内提交，含监理工作总结、项目后评价、改进建议9.3冲突解决技术争议：监理组织专家评审，专家库由建设单位、监理、承建三方共同推荐合同争议：先协商→监理调解→北京仲裁委员会仲裁（合同条款约定）现场冲突：立即停工→保护现场→8小时内书面报告建设单位十、风险与应急管理10.1风险识别清单风险类别风险描述概率影响应对措施监理角色需求蔓延业务方频繁新增需求高高严格执行变更流程，每月冻结需求审核变更接口延迟第三方平台接口未按时开放中高合同中设置接口交付里程碑违约金跟踪接口性能不达标高并发场景下响应超时中高提前进行性能压测，设置性能保证金现场见证安全漏洞渗透测试发现高危漏洞低高强制24小时内修复，否则暂停上线签发停工令人员离职核心开发/架构师离职中中设置人员备份，离职交接检查单审核交接10.2应急预案小程序审核被拒：启动备用包+申诉加急通道，监理监督24小时内完成整改上线后崩溃：启动灰度回滚，RTO≤10分钟，监理现场见证数据泄露：立即断网下架，启动应急响应小组，监理1小时内上报主管部门十一、监理工作制度11.1旁站制度旁站范围：需求评审、接口联调、性能压测、安全渗透、上线发布旁站记录：使用《旁站监理记录表》，现场拍照、录像（需经对方同意）旁站问题：当场指出并记录，承建单位代表签字确认11.2巡视制度每日不少于1次现场或远程巡视，重点检查代码提交、构建状态、缺陷处理巡视记录：填写《巡视记录表》，截图GitLab、Jenkins、禅道数据巡视问题：一般性问题口头提醒，严重问题签发《监理通知单》11.3平行检验监理独立抽样：功能点抽查≥20%，接口抽查≥30%，性能场景100%复测检验工具：Postman、JMeter、SonarQube、ESLint、微信开发者工具真机调试检验报告：出具《平行检验报告》，作为付款、验收依据11.4见证取样源代码：每次版本发布，监理封存一份源代码光盘（SHA256校验）数据库备份：上线前全量备份，监理见证并签字证书文件：HTTPS证书、第三方SDK授权文件，监理核验原件并留存复印件十二、信息化手段12.1监理工具类别工具名称用途账号权限项目管理腾讯TAPD需求、任务、缺陷跟踪监理拥有只读+导出权限代码托管GitLabEnterprise代码版本、MergeRequest监理拥有Reporter权限CI/CDJenkins构建、测试、部署监理拥有只读权限文档协作腾讯文档在线评审、批注监理拥有编辑权限视频会议腾讯会议远程评审、见证监理录制权限12.2数据仪表盘进度仪表盘：燃尽图、里程碑达成率、任务逾期红色预警质量仪表盘：缺陷密度、代码覆盖率、SonarQube漏洞等级分布投资仪表盘：合同支付比例、变更金额、索赔金额风险仪表盘：TOP10风险、责任人、关闭状态12.3电子签章使用“e签宝”或“法大大”，满足《电子签名法》要求监理通知单、会议纪要、验收报告采用电子签章+时间戳，具备司法效力签章文件自动归档至区块链存证，防篡改十三、监理考核与奖惩13.1考核指标指标权重目标值考核主体里程碑按时达成率30%100%建设单位缺陷遗漏率（上线后）20%≤1%运维部门文档一次通过率15%≥90%档案室变更响应时效15%≤2工作日承建单位满意度调查20%≥85分三方问卷13.2奖励条款项目提前上线：每提前1周奖励监理费1%，上限5%质量卓越：上线后3个月无重大缺陷，奖励监理费2%创新建议：被采纳并节约投资≥10万元，按节约额5%奖励13.3惩罚条款监理原因导致里程碑延误：每延误1周扣减监理费1%，上限10%重大缺陷遗漏：每出现1个致命缺陷扣减监理费2%文档缺失：关键文档缺失每份扣减监理费0.5%十四、附表与模板14.1监理通知单（模板）监理通知单编号：XXXX-XX-XX-XXX致：XXX科技有限公司经监理检查，发现如下问题：1.…2.…要求贵司于XX年XX月XX日前整改完成，并提交书面证据。监理机构（章）总监理工程师：______日期：______14.2开工令（模板）开工令编号：XXXX-KG-XXX致：XXX科技有限公司经审核，贵司提交的资料满足开工条件，同意于XX年XX月XX日正式开工。请严格按照合同、规范及监理实施细则组织施工。监理机构（章）总监理工程师：______日期：______14.3平行检验报告（模板）平行检验报告项目名称：XXX小程序开发项目检验对象：用户下单接口检验依据：API文档V2.1、性能需求规格检验工具：JMeter5.4检验结论：并发1000TPS条件下，平均响应时间420ms，满足≤500ms要求。检验人：______（监理工程师）日期：______14.4缺陷跟踪表（模板）缺陷编号描述严重程度责任人计划关闭日期实际关闭日期状态监理确认BUG-1001首页白屏致命张三2024-06-102024-06-09关闭已确认14.5