信息安全維護服務協議(安全運維協議)信息安全維護服務協議(安全運維協議)信息安全維護服務協議(安全運維協議)V:1.0精細整理，僅供參考信息安全維護服務協議(安全運維協議)日期：20xx年X月信息系統安全年度服務協議合同編號：甲方：地址：聯系人：電話：傳真：郵政編碼：乙方：地址：聯系人：電話：傳真：郵政編碼：TOC\o"1-3"\h\z1.協議內容 3前期系統評估 3整理工作 4服務內容 4信息安全風險評估 4信息系統安全加固 4信息系統實時監測 4安全事件應急響應 5等級保護安全建設整改 5信息系統安全通告 5信息安全管理策略 6管理人員安全培訓 7信息系統安全測評 7咨詢服務 7呼叫中心服務 7安全服務所包括的設備范圍 8下屬情況不在乙方服務范圍之列 8其他服務約定 82.合同價格 83.合同有效期 94.付款條款 95.違約責任 96.技術支持服務項目組成員 97.優惠措施 98.服務保證 109.不可抗力 1010.仲裁條款 1011.保密條款 1112.合同變更、補充及終止 1113,合同效力 11甲方向乙方購買信息系統安全服務。甲乙雙方本著相互信任、真誠合作、共同發展的原則，在友好協商的基礎上達成如下協議。1.協議內容我們為您提供的專業安全服務包括：是否對網絡基礎平臺熟悉：熟悉。是否提供24小時技術支持：提供。是否提供365×7×24熱線支持：提供。是否提供工程師到廠安全巡檢：提供每月一次的網絡安全巡檢，并提交巡檢報告。是否提供服務器及網絡設置安全策略優化服務：提供。是否提供24小時熱線支持電話：提供。重大事件響應時間：12個小時內到達甲方現場。是否對現有信息安全進行風險評估：在甲方許可的情況下可提供風險評估，或每季度進行一次風險評估。是否對信息系統安全加固：可按照等級相關要求、標準進行安全加固是否對互聯網網站實時監測：提供實時監測服務。當發生安全事件后是否提供應急響應：提供是否提供等級保護測評服務：由專業測評師提供每年不少于一次的測評服務。是否提供等級保護安全建設整改：針對甲方現狀提供整改意見。是否第一時間提供重大信息系統安全通告：以郵件、短信、微信、傳真等方式提供。是否提供信息安全管理策略 ：提供是否提供管理人員安全培訓：提供前期系統評估在簽訂合同并且生效后，乙方需按甲方的要求在協商好的時間之內（一般在__個工作日內），對甲方的計算機網絡系統設備的安全狀況、運行狀況進行全面檢查，做出詳細的報告，記錄所有設備清單中關鍵設備的當前安全狀況，并且結合甲方網絡的實際運行情況對于可以進行安全優化的內容與甲方協商，確定安全的方案，在與甲方和乙方進行充分論證后，由甲方決定是否實施。整理工作在甲方確認乙方的安全建議后，雙方協商好實施的時間，由乙方完成優化工作，并記錄配置情況和運行情況。服務內容信息安全風險評估信息安全風險評估是從風險管理的角度，運用科學的方法和手段，結合信息安全全面檢測網絡和信息系統存在的脆弱性，系統分析和評估安全防護水平，從而有針對性地提出抵御威脅的防護對策和整改措施，將風險控制在可接受的水平，最大限度的保障網絡和信息安全。我公司提供的風險評估內容包括：物理環境安全檢查及建議、網絡設備風險評估、操作系統風險評估、應用系統風險評估、數據庫風險評估、計算機終端風險評估等。評估的主要手段包括：安全點檢查、漏洞掃描、滲透測試、配置檢查等多種方式。信息系統安全加固安全加固是指通過一定的技術手段，提高操作系統、應用系統、數據庫、網絡設備、安全設備等的安全性和抗攻擊能力，經過良好配置的系統或設備的抗攻擊性有極大的增強。在對系統作相應的安全配置后，結合定期的安全評估和維護服務就使得系統保持在一個較高的安全線之上。信息系統實時監測信息系統實時監測服務全面覆蓋網站代碼安全檢測、網頁內容安全監測、網站服務質量監測，為網站提供全方位、全天候的安全監測服務；通過主動發現網站漏洞、實時監測網頁內容、及時發現網站服務可用性問題三大維度保障網站持續穩定提供服務，主要提供以下服務：網站漏洞檢測網頁木馬檢測網頁惡意鏈接檢測網頁敏感內容監測網頁篡改監測網頁壞鏈檢測網站DNS監測網站可用性監測安全事件應急響應針對用戶信息系統可能發生的信息安全事件，通過引入專業的安全事件應急相應服務：在接到用戶應急響應服務請求后，由專業安全公司的安全專家提供遠程安全支持和現場安全支持，判斷事件類型，協助客戶降低影響，并提供分析建議。對攻擊進行抑制，降低損失。應急響應服務完成后服務人員會整理詳細的事故處理報告，內容包括事故原因分析、已造成的影響、處理辦法、處理結果、預防和改進建議等提交給用戶相關人員。等級保護安全建設整改按照國家有關規定和標準規范的要求，對現有信息系統開展信息安全等級保護安全建設整改工作。通過落實安全責任制，開展管理制度建設、技術措施建設，落實等級保護制度的各項要求，使現有信息系統安全管理水平明顯提高，安全保護能力明顯增強，安全隱患和安全事故明顯減少。并堅持管理和技術并重的原則，將技術措施和管理措施有機結合，建立信息系統綜合防護體系，提高信息系統整體安全保護能力。同時依據《信息系統安全等級保護基本要求》建立并落實各類安全管理制度，開展人員安全管理、系統建設管理和系統運維管理等工作，落實物理安全、網絡安全、主機安全、應用安全和數據安全等安全保護技術措施。信息系統安全通告信息安全是動態發展的。面對日益演變的安全攻擊手段和系統安全漏洞的不斷發現和利用，信息系統所面臨的風險也在不斷變化。基于此，建議客戶實時關注安全動態，了解最新的安全技術和安全理念。我們建議安全公告服務主要包括：系統漏洞信息將一段時期內，各操作系統、應用系統、網絡設備等的最新安全漏洞進行通告，包括漏洞威脅、影響平臺及修補方法等。病毒信息將一段時期內，最具威脅性的病毒信息進行通告，包括病毒危害、感染原理及防護措施等。安全預警一旦出現將可能造成大規模網絡攻擊事件的安全漏洞或病毒木馬，進行及時的安全預警，積極進行補丁修復和安全防護。信息安全事件將一段時期內，相關信息安全事件進行通告，避免客戶信息系統遭遇同樣安全攻擊事件，造成嚴重損失。安全技術研究專業信息安全團隊對最新安全技術進行深入研究，包括信息系統漏洞挖掘、風險分析以及安全防護技術。信息安全管理策略信息安全管理策略是信息系統生命周期的重要環節，管理策略制定服務是根據應用系統面臨的安全威脅分析或評估結果，對客戶授權的信息系統進行安全策略設計、部署，并對已經制定實施的系統安全管理策略效果進行驗證、調整和改進，我們建議系統安全策略涉及到的主要內容為：WEB應用安全管理制度日志管理與審核制度賬號口令管理制度防病毒服務器日常維護制度補丁加載管理制度風險評估實施細則安全事件應急響應流程管理人員安全培訓通過信息安全培訓服務，加強廣大員工的信息安全意識，提高客戶應對信息安全風險的能力，同時提高系統管理員的安全運維水平，為企業創造一個良好的信息安全氛圍。我們建議安全培訓服務主要包括：信息系統安全威脅常見信息系統入侵技術信息系統防護體系風險評估與等級保護信息系統安全測評針對甲方現有信息系統進行等級測評，測評內容包括：測評包括安全技術測評和安全管理測評兩大部分，其中安全技術測評包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復等五個技術層面，安全管理測評包括安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等五個安全管理方面的內容。咨詢服務乙方還為甲方提供如下一些免費的咨詢服務：安全產品采購咨詢服務最新網絡安全技術服務應用系統安全相關的技術咨詢服務呼叫中心服務甲方的維護范圍內的設備出現問題，乙方提供12個月*7天工作日*24小時呼叫中心服務，專人專線接受維修請求，負責聯系相應生產商、供應商的售后服務部門、人員通知、和維護落實工作。工作服務熱線：安全服務所包括的設備范圍每年的常規服務費用包括的設備范圍在附件的設備清單。下屬情況不在乙方服務范圍之列電信線路故障。合同在任一方由于不可抗力的原因，及該方不能控制的事件發生如戰爭、暴亂、罷工、禁運、自然力或政府干涉的條件下無法正常履行合同，則合同應延期執行，延期的時間應與時間的持續時間相等，合同雙方不必承擔延誤責任。其他服務約定甲方應該配合乙方真實地列出需要維護的設備清單。在現場維護時，甲方應及時向乙方提供一個有效運行的系統環境、必要的系統技術和相關信息和數據，并保證乙方的網絡工程師能夠接觸到所需維護的軟硬件。并在維護工作結束后，在乙方的維護記錄單上簽字確認本次維護工作，并提出相應的意見。如果甲方對乙方工程師的服務不滿意時，有權要求乙方更換工程師。當乙方為甲方提供了備件時，如果甲方設備確實已經損壞無法修復時，甲方需要購買新的替代設備或將備件買下，不能無故不歸還乙方的備件設備。乙方員工嚴格按照相關的中國數據保護法律，保證對在甲方所接觸到的一切企業數據，不泄露給其他個人和公司，更不作為商業的目的而出售，如果違反則乙方須承擔相應的法律責任。2.合同價格合同設備的價格（以下稱為：合同總價）為：￥元（大寫：元整）。開始提供服務的時間為，收到甲方合同款開始的2天內開始。3.合同有效期本合同的有效期為從合同簽訂起的一年時間，但本合同僅在乙方收到第一次服務款后對乙方具有約束力。合同到期后，本維護服務合同可根據當時的情況自動延長一年，合同雙方中的任何一方也可以提前一個月書面通知對方解除合同。4.付款條款甲方每年支付給乙方的服務費用為人民幣：元整（元）。付款方式：在本合同簽訂后一周內支付全部合同金額。5.違約責任無論甲乙雙方任何一方違約，都需要對方支付一定的違約賠款，每次違約賠款的多少由雙方友好協商確定，但是每次違約賠款不應該超過本期合同總金額的%，合同期內的賠償總額不超過合同總額的5%甲方有責任更具合同按期支付服務費用。若甲方未能按期支付服務費用，則應向乙方支付合同金額5%的違約金，一方有權決定解除合同，停止對甲方提供維修服務。6.技術支持服務項目組成員甲方指定為項目負責人，來同乙方共同確定每次的服務內容、服務結果和服務時間，并代表甲方與乙方聯系。乙方定期向該負責人匯報網絡現狀。7.優惠措施乙方在舉行各項安全技術推廣和安全培訓活動時，會優先邀請甲方參加。如果是收費培訓時，甲方享有最低折扣優惠，具體優惠折扣根據培訓相關事宜確定。充分利用一方的培訓中心，為甲方提供認證的專業工程師培訓和資格考試，同時定期向甲方提供培訓信息。8.服務保證針對行業的特殊性，乙方為甲方提供高優先級服務（12個月*7天*24小時），乙方的工程師在接到甲方的電話后，常規事件時間４小時之內，重大事件時間2小時之內趕到現場，并在最短的時間內對產生的安全問題做出診斷并排除。若乙方派出的工程師未能及時有效地解決問題，則由乙方在當天之內召集技術總監和專家顧問現場解決。9.不可抗力如果雙方中的任何一方因為不可抗力,如:戰爭、火災、臺風、洪水、地震或其他雙方共認為屬于不可抗力的原因而被迫停止或推遲合同的執行,則合同執行相應延遲，延遲的時間等于不可抗力發生作用的時間。受影響的一方應將不可抗力的發生盡快通過電報、電傳或傳真通知另一方。受影響的一方應在不可抗力終止或被排除后盡快通過電報、電