服务商用户协议
合同编号:
网 络 安 全 等 级 保 护
咨 询 服 务 合 同 书
甲 方:
乙 方:北京旗云天下科技有限公司
签订地点:北京
XX年XX月XX日
项目名称:XX 系统等级保护咨询
委托人(以下称甲方):
联系地址:
受托人(以下称乙方):北京旗云天下科技有限公司
联系地址:北京市大兴区春和路39号院3C座-1011室
甲方委托乙方就甲方的信息系统依据《 附件一服务内容 》提供网络安全等级保护咨询服务(以下简称“等级保护咨询”),为保证工作顺利进行,经协商一致,双方达成以下协议:
一. 工作依据及目的
依据有关信息安全管理的政策法规,按照《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2019),乙方对甲方拥有的XX系统提供等级保护咨询。
二. 甲方责任
1. 甲方应积极配合乙方进行等级保护咨询工作,保证提供的相关资料真实可靠。
2. 因甲方原因或不可抗力使乙方工作延期,经双方友好协商,可顺延工作期限,乙方不承担因延期产生的所有责任。
3. 如因乙方人员能力不足或无法按照甲方要求完成等级保护咨询工作,甲方有权利要求乙方更换项目成员,且新项目成员需在不影响本合同进度的前提下,于__3__个工作日内参加项目工作;由于乙方人员能力不足导致的项目延期, 乙方应承担延期后的责任。
4. 在等级保护咨询期间及结束后的任何时间,甲方应充分保护直接或间接获取的乙方的商业秘密、技术信息,如无乙方书面同意,甲方不得向任何第三方转让乙方的上述信息。若因甲方原因导致乙方的秘密信息泄漏,甲方依法向乙方承担责任。该条款不因合同的解除而失效。
5. 甲方如发现上述资料和信息被泄露或者自己过失泄露,应当采取有效措施防止事件进一步扩大,并及时向乙方通报。该条款不因合同的解除、终止而失效。
三. 乙方责任
1、乙方协助甲方准备等级保护咨询资料,并获得网络安全等级保护备案证明。
2. 乙方指定一名项目经理(刘博永 13401171067)做为与甲方的联络人,以便双方能方便沟通;
3. 乙方应提供足够的经验丰富的技术人员来履行本合同规定的义务。乙方应对其所雇的履行合同的技术人员负完全责任并使甲方免受其技术人员因执行合同所引起的一切损害。乙方应根据咨询服务的内容和进度安排,按时提交咨询材料。
4. 因乙方故意或过失导致甲方信息系统被破坏、数据丢失,乙方应及时采取补救措施进行系统和数据的恢复,并根据影响程度承担相应的赔偿责任。
5. 在项目期间及结束后的任何时间,乙方应将甲方提供的资料和信息限制在与本次工作有关的人员并妥善保管。若因乙方原因导致甲方资料和信息泄漏,导致甲方损失的乙方应向甲方承担赔偿责任。该条款不因合同的解除而失效。
6. 乙方获取的甲方的商业秘密、技术信息,如无甲方书面同意,乙方不得向任何第三方泄露,如发现上述资料和信息被泄露或者自己过失泄露,应当采取有效措施防止事件进一步扩大,并及时向甲方通报,导致甲方损失的乙方应向甲方承担赔偿责任,该条款不因合同的解除、终止而失效。
四. 等保咨询时间
乙方在合同签订后5个工作日内对甲方被测系统提供等级保护咨询服务,除不可抗力或甲方造成的原因外,乙方应在55个工作日内完成等级保护咨询工作。
五. 所需费用及支付方式:
1、本合同服务费金额共计人民币XX元整(XX元整)。
(1)在合同签订5个工作日内,甲方向乙方支付XX元,大写人民币:XX元整;
(2)在网安出具纸质版《信息系统等级保护备案证明》且测评机构出具《网络安全等级保护测评报告》后5个工作日,甲方向乙方支付剩余合同金额,,即¥XX元,大写人民币:XX元整;。
(3)甲方每次支付费用前,乙方需向甲方提供等额的增值税专用发票。
合同费用如采用电汇方式支付,甲方应在约定时间内将相应费用汇入乙方指定账户,具体信息如下:
公司名称:北京旗云天下科技有限公司
银行名称:招商银行股份有限公司北京长安街支行
银行账号:1109-1355-9310-901
六. 风险责任
1. 签约任何一方由于受到诸如战争、严重火灾、洪水、台风、地震、疾病流行、政府行为等不可抗力事件的影响而不能执行合同时,履行合同的期限应予以相应顺延,延长的期限应相当于不可抗力所影响的时间。不可抗力事件系指买卖双方在缔结合同时所不能预见的,并且它的发生及其后果是无法避免和无法克服的事件。
2. 受阻一方应在不可抗力事件发生后尽快通知对方,并于事件发生后7天内将有关当局出具的证明文件送交对方审阅确认。一旦不可抗力事件的影响持续30天以上,双方应通过友好协商在合理的时间内达成进一步履行合同的协议。
七. 保证
1. 乙方保证
1) 其有权利、经验、技能签订和充分履行本合同,授予本合同项下所授予的权利;
2) 其将遵守在履行服务时所实行的一切适用的中国的法律与法规;
3) 其将按照附件一提供服务。
2. 甲方保证
甲方将把其所掌握的而且是乙方履行本合同范围内服务所需的一切信息提交给乙方。甲方应对提交给乙方的一切信息的准确性负责。甲方同意将所提交的信息中存在的任何问题或错误尽快通知乙方。
八. 违约金或者损失赔偿额的计算
违反本合同约定,违约方应当按照《中华人民共和国合同法》有关的规定承担违约责任。
1.违反本合同第三条、第七条约定,乙方应赔偿甲方因此所受的直接损失。
2.违反本合同第二条、第七条约定,甲方除应向乙方支付合同总额外,还应赔偿乙方因此所受的直接损失。
3.除法定条件外,任何一方如单方面提出解除合同的要求,须经对方签字确认并赔偿由此给对方造成的经济损失。
4.其他违约行为按照《合同法》有关规定,由违约方承担违约责任。
九. 解决合同纠纷的方式
1.本合同的未尽事宜,本着项目顺利实施的原则,由双方友好协商解决。
2. 本合同在履行过程中发生的争议,由甲乙双方友好协商解决,如协商不能达成一致,按下列第二种方式解决:
(一)、提交北京市仲裁委员会仲裁;
(二)、依法向原告方所在地人民法院起诉。
十. 其他条款
1. 本合同为中文文本,一式贰份,甲方执壹份,乙方执壹份。
2. 本合同经双方签字盖章后生效。
3. 本合同所有的修订、补充和更改都应采用书面形式,并经过双方授权代表签字、盖章后成为本合同的一部分,并与原合同具有同等效力。
【以下无正文】
甲方:(盖章)
签约日期: 年 月 日
乙方:(盖章)
签约日期: 年 月 日
附件一服务内容:
|
序号 |
项目内容 |
服务说明 |
系统等级 |
提交成果 |
|
1 |
定级备案咨询 |
《信息系统安全等级保护备案表》、《信息安全工作管理制度》、《网络拓扑图及说明》、《安全产品销售许可证》、《网络与信息安全承诺书》、《服务器托管协议》。 |
二级/三级 |
《定级报告及备案表》 |
|
2 |
技术咨询与管理咨询 |
1、信息安全技术体系咨询:提供等级保护技术建设方案,满足等保三级技术要求,包括:网络主机安全、应用数据安全要求。 2、信息安全管理体系:包括安全管理制度、组织体系及岗位职责、运维管理等内容。 |
二级/三级 |
《一套管理制度》 |
附件二管理制度清单:
一、制度文档
|
序号 |
文档要求 |
相关文档名称 |
备注 |
|
1 |
机构总体安全方针和政策方面的管理制度 |
信息安全工作总体方针 |
|
|
2 |
部门设置、岗位设置及工作职责定义方面的管理制度 |
管理部门职责及关键岗位职责 |
|
|
3 |
授权审批、审批流程等方面的管理制度 |
审批管理制度 |
|
|
4 |
安全审核和安全检查方面的管理制度 |
安全检查管理制度 |
|
|
5 |
管理制度、操作规程修订、维护、收发方面的管理制度 |
制度的制定与修改管理办法 |
|
|
6 |
人员配备、录用、离岗、考核等方面的管理制度 |
人员配备要求管理文档、岗位技能培训及考核管理程序 |
|
|
7 |
人员安全教育和培训方面的管理制度 |
安全教育及技能培训和考核管理文档 |
|
|
8 |
第三方人员访问控制方面的管理制度 |
外部人员访问管理文档 |
|
|
9 |
工程实施过程管理方面的管理制度 |
工程实施管理制度、项目实施管理制度 |
|
|
10 |
产品选型、采购方面的管理制度 |
IT项目采购流程及管理办法 |
|
|
11 |
软件外包开发或自我开发方面的管理制度 |
软件研发部管理制度 |
|
|
12 |
测试、验收方面的管理制度 |
系统测试与验收方案 |
|
|
13 |
机房安全管理方面的管理制度 |
安全检查管理制度、 数据中心日常运维规范 |
|
|
14 |
办公环境安全管理方面的管理制度 |
办公环境管理制度 |
|
|
15 |
资产、设备、介质安全管理方面的管理制度 |
介质管理制度 |
|
|
16 |
信息分类、标识、发布、使用方面的管理制度 |
保密信息等级分类及授权管理办法、信息发布审核、登记制度 |
|
|
17 |
配套设施、软硬件维护方面的管理制度 |
信息资产和软硬件管理制度 |
|
|
18 |
网络安全管理(网络配置、账号管理等)方面的管理制度 |
网络安全管理规定 |
|
|
19 |
系统安全管理(系统配置、账号管理等)方面的管理制度 |
系统安全管理制度 |
|
|
20 |
系统监控、风险评估、漏洞扫描方面的管理制度 |
网络安全管理规定、 数据中心日常运维规范 |
|
|
21 |
病毒防范方面的管理制度 |
防范恶意代码制度 |
|
|
22 |
系统变更控制方面的管理制度 |
变更管理制度 |
|
|
23 |
密码管理方面的管理制度 |
密码使用管理制度 |
|
|
24 |
备份和恢复方面的管理制度 |
备份和恢复管理制度、数据备份和恢复策略 |
|
|
25 |
安全事件报告和处置方面的管理制度 |
备份和恢复管理制度、数据备份和恢复策略 |
|
|
26 |
应急响应方法、应急响应计划等方面的文件 |
安全事件报告和处置管理制度 |
|
|
27 |
其他文档 |
信息系统应急预案管理办法、安全应急预案 |
|
二、记录类文档
|
序号 |
记录文档要求 |
相关文档名称 |
备注 |
|
1 |
机房出入登记记录(包括第三方人员) |
《外来人员机房进入申请单》 |
|
|
2 |
机房基础设施维护记录 |
数据中心巡检记录 |
|
|
3 |
各类会议纪要或记录(部门内、部门间协调会、领导小组) |
会议纪要 |
|
|
4 |
各类评审和修订记录(安全管理制度评审和修订记录、体系评审记录等) |
管理体系评审记录 |
|
|
5 |
人员考核、审查、培训记录(人员录用、人员定期考核)、离岗手续 |
保密承诺书、员工离职保密协议书、安全教育和培训计划 |
|
|
6 |
各项审批和批准执行记录(来访人员进入机房审批、介质/设备外带审批、系统外联审批等) |
《外来人员机房进入申请单》
|
|
|
7 |
安全管理制度收发登记记录 |
管理体系文件发放回收登记表 |
|
|
8 |
产品选型测试结果记录 |
|
|
|
9 |
系统验收测试记录、报告 |
系统测试与验收方案 |
|
|
10 |
介质归档、查询等的登记记录 |
介质使用管理记录 |
|
|
11 |
主机系统、网络、安全设备等的操作日志和维护记录 |
《操作系统日志季度审核表》 《操作系统用户日志检查表》 《数据库日志季度检查表》 《业务系统用户日志检查表》 |
|
|
12 |
机房日常巡检记录 |
《机房巡检表》 |
|
|
13 |
对主机、网络设备和应用软件等的监控记录和分析报告 |
《操作系统日志季度审核表》 《操作系统用户日志检查表》 《数据库日志季度检查表》 《业务系统用户日志检查表》 |
|
|
14 |
恶意代码检测、升级记录和分析报告 |
恶意代码总结汇报 |
|
|
15 |
备份过程记录 |
《备份恢复测试记录表》 《备份恢复测试报告》 |
|
|
16 |
变更方案评审记录和变更过程记录 |
《变更定期检查表》 |
|
|
17 |
安全事件处理过程记录 |
安全事件记录分析文档. |
|
|
18 |
应急预案培训、演练、审查记录 |
应急预案培训记录表、应急预案演练记录、应急预案演练记录 |
|
三、证据类文档
|
序号 |
证据类文档要求 |
文档名称 |
备注 |
|
|
1 |
资产清单 |
设备信息登记表 |
|
|
|
2 |
机构安全管理人员岗位名单 |
安全管理各岗位人员信息表 |
|
|
|
3 |
外联单位联系列表 |
外联单位联系列表 |
|
|
|
4 |
人员保密协议 |
保密承诺书 |
|
|
|
5 |
关键岗位安全协议 |
岗位安全协议书 |
|
|
|
|
离岗人员保密协议书 |
员工离职保密协议书 |
|
|
|
6 |
信息系统定级报告或定级建议书 |
安全事件定级规范 |
|
|
|
7 |
近期和远期安全建设工作计划、总体建设规划书 |
系统安全建设 |
|
|
|
8 |
详细设计方案 |
信息安全工作总体方针 |
|
|
|
9 |
系统建设项目 |
工程实施方案 |
系统集成施工方案 |
|
|
10 |
系统验收测试方案 |
系统测试与验收方案 |
|
|
|
11 |
系统交付清单 |
交付清单 |
|
|
|
12 |
变更申请书 |
软件变更申请单 |
|
|
|
13 |
信息系统定期安全检查的检查表和安全检查报告 |
恶意代码检测记录 |
|
|
|
14 |
主要设备漏洞扫描报告 |
网络漏洞扫描、系统漏洞扫描 |
|
|
|
15 |
与安全服务商或外包开发商签订的服务合同和安全协议 |
服务协议 |
|
|
|
16 |
软件开发设计和用户指南等相关文档(目录体系框架或交换原形系统)、软件测试报告 |
软件开发文档 |
|
|
