等級(jí)保護(hù)測(cè)評(píng)技術(shù)協(xié)議書(shū)?甲方（委托方）：名稱：______________________法定代表人：________________地址：____________________聯(lián)系方式：________________乙方（受托方）：名稱：______________________法定代表人：________________地址：____________________聯(lián)系方式：________________鑒于甲方需要對(duì)其信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，乙方具備提供該測(cè)評(píng)服務(wù)的專業(yè)能力和資質(zhì)，雙方經(jīng)友好協(xié)商，依據(jù)《中華人民共和國(guó)民法典》及相關(guān)法律法規(guī)的規(guī)定，就甲方委托乙方開(kāi)展等級(jí)保護(hù)測(cè)評(píng)技術(shù)服務(wù)事宜達(dá)成如下協(xié)議：一、標(biāo)的物或服務(wù)具體描述（一）測(cè)評(píng)對(duì)象甲方委托乙方對(duì)其[具體信息系統(tǒng)名稱]進(jìn)行等級(jí)保護(hù)測(cè)評(píng)。該信息系統(tǒng)涵蓋了[系統(tǒng)所涉及的主要業(yè)務(wù)功能簡(jiǎn)述]等業(yè)務(wù)功能，存儲(chǔ)了[系統(tǒng)所涉及的主要數(shù)據(jù)類型及范圍]等重要數(shù)據(jù)，通過(guò)[系統(tǒng)的網(wǎng)絡(luò)架構(gòu)簡(jiǎn)述，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備等]網(wǎng)絡(luò)架構(gòu)實(shí)現(xiàn)數(shù)據(jù)傳輸和業(yè)務(wù)處理。（二）測(cè)評(píng)依據(jù)乙方依據(jù)國(guó)家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范以及行業(yè)最佳實(shí)踐，包括但不限于《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239[具體版本號(hào)]）、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448[具體版本號(hào)]）、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》（GB/T28449[具體版本號(hào)]）等，對(duì)甲方信息系統(tǒng)進(jìn)行全面的等級(jí)保護(hù)測(cè)評(píng)。（三）測(cè)評(píng)內(nèi)容1.安全物理環(huán)境測(cè)評(píng)機(jī)房環(huán)境安全，包括機(jī)房場(chǎng)地選擇、防火、防水、防雷、防靜電等措施的落實(shí)情況。設(shè)備安全，對(duì)服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等硬件設(shè)施的安全防護(hù)、設(shè)備管理等方面進(jìn)行檢查。2.安全網(wǎng)絡(luò)環(huán)境測(cè)評(píng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)合理性檢查，確保網(wǎng)絡(luò)架構(gòu)符合安全設(shè)計(jì)原則。網(wǎng)絡(luò)訪問(wèn)控制，檢查防火墻、入侵檢測(cè)/防范系統(tǒng)（IDS/IPS）等網(wǎng)絡(luò)安全設(shè)備的配置及運(yùn)行情況，評(píng)估網(wǎng)絡(luò)邊界防護(hù)能力。網(wǎng)絡(luò)安全審計(jì)，查看網(wǎng)絡(luò)行為審計(jì)系統(tǒng)是否正常運(yùn)行，能否對(duì)網(wǎng)絡(luò)操作進(jìn)行有效記錄和追溯。3.安全主機(jī)系統(tǒng)測(cè)評(píng)操作系統(tǒng)安全配置檢查，包括用戶認(rèn)證、權(quán)限管理、安全補(bǔ)丁更新等方面。主機(jī)入侵防范，檢測(cè)主機(jī)系統(tǒng)是否存在惡意程序、后門等安全隱患。系統(tǒng)資源監(jiān)控，評(píng)估主機(jī)系統(tǒng)的性能指標(biāo)及資源使用情況，確保系統(tǒng)穩(wěn)定運(yùn)行。4.安全應(yīng)用系統(tǒng)測(cè)評(píng)應(yīng)用系統(tǒng)安全架構(gòu)審查，檢查應(yīng)用程序的設(shè)計(jì)是否遵循安全原則，防止出現(xiàn)安全漏洞。應(yīng)用系統(tǒng)訪問(wèn)控制，對(duì)應(yīng)用系統(tǒng)的用戶認(rèn)證、授權(quán)機(jī)制進(jìn)行評(píng)估，確保只有合法用戶能夠訪問(wèn)相應(yīng)功能。應(yīng)用系統(tǒng)安全審計(jì)，查看應(yīng)用系統(tǒng)的日志記錄功能，能否對(duì)應(yīng)用操作進(jìn)行有效審計(jì)。5.安全數(shù)據(jù)及備份恢復(fù)測(cè)評(píng)數(shù)據(jù)分類分級(jí)管理，確定不同數(shù)據(jù)的敏感級(jí)別，并采取相應(yīng)的保護(hù)措施。數(shù)據(jù)訪問(wèn)控制，檢查數(shù)據(jù)的訪問(wèn)權(quán)限設(shè)置是否合理，防止數(shù)據(jù)泄露。數(shù)據(jù)備份與恢復(fù)策略評(píng)估，確保數(shù)據(jù)在遭受災(zāi)難或故障時(shí)能夠及時(shí)恢復(fù)，驗(yàn)證備份數(shù)據(jù)的完整性和可用性。（四）測(cè)評(píng)流程1.項(xiàng)目啟動(dòng)階段乙方組建專業(yè)測(cè)評(píng)團(tuán)隊(duì)，明確項(xiàng)目負(fù)責(zé)人及各成員職責(zé)。雙方召開(kāi)項(xiàng)目啟動(dòng)會(huì)議，乙方詳細(xì)了解甲方信息系統(tǒng)的基本情況、業(yè)務(wù)需求及安全現(xiàn)狀，甲方提供相關(guān)資料，包括系統(tǒng)拓?fù)鋱D、用戶手冊(cè)、操作流程、安全策略文檔等。2.現(xiàn)場(chǎng)測(cè)評(píng)階段乙方測(cè)評(píng)人員按照測(cè)評(píng)方案和測(cè)評(píng)內(nèi)容，對(duì)甲方信息系統(tǒng)進(jìn)行實(shí)地檢查、測(cè)試和評(píng)估。在測(cè)評(píng)過(guò)程中，乙方將采用多種技術(shù)手段，如漏洞掃描、滲透測(cè)試、安全配置核查等，獲取系統(tǒng)的安全狀況數(shù)據(jù)。甲方應(yīng)安排專人配合乙方工作，提供必要的協(xié)助和支持，確保測(cè)評(píng)工作順利進(jìn)行。3.報(bào)告編制階段乙方根據(jù)現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果，編寫等級(jí)保護(hù)測(cè)評(píng)報(bào)告。報(bào)告內(nèi)容應(yīng)包括測(cè)評(píng)概述、測(cè)評(píng)依據(jù)、測(cè)評(píng)方法、測(cè)評(píng)結(jié)果、安全建議等。測(cè)評(píng)報(bào)告應(yīng)客觀、準(zhǔn)確地反映甲方信息系統(tǒng)的安全狀況，并針對(duì)發(fā)現(xiàn)的問(wèn)題提出具體的整改建議。4.報(bào)告評(píng)審與交付階段乙方將測(cè)評(píng)報(bào)告提交給甲方，甲方對(duì)報(bào)告進(jìn)行評(píng)審。如甲方對(duì)報(bào)告內(nèi)容有異議，乙方應(yīng)及時(shí)進(jìn)行解釋和說(shuō)明，并根據(jù)甲方意見(jiàn)進(jìn)行必要的修改和完善。經(jīng)雙方確認(rèn)后，乙方將最終的測(cè)評(píng)報(bào)告正式交付給甲方。二、權(quán)利與義務(wù)（一）甲方權(quán)利與義務(wù)1.權(quán)利有權(quán)要求乙方按照本協(xié)議約定的內(nèi)容和標(biāo)準(zhǔn)開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作。有權(quán)對(duì)乙方的測(cè)評(píng)工作進(jìn)行監(jiān)督和檢查，提出合理的意見(jiàn)和建議。在收到乙方提交的測(cè)評(píng)報(bào)告后，有權(quán)要求乙方對(duì)報(bào)告內(nèi)容進(jìn)行解釋和說(shuō)明。2.義務(wù)向乙方提供開(kāi)展測(cè)評(píng)工作所需的全部資料和信息，包括但不限于信息系統(tǒng)的技術(shù)文檔、業(yè)務(wù)流程、用戶信息等，并確保所提供資料的真實(shí)性、完整性和準(zhǔn)確性。為乙方開(kāi)展測(cè)評(píng)工作提供必要的協(xié)助和支持，安排專人配合乙方工作，協(xié)調(diào)內(nèi)部相關(guān)部門和人員，確保乙方能夠順利獲取所需的數(shù)據(jù)和信息，進(jìn)入相關(guān)場(chǎng)所進(jìn)行檢查和測(cè)試。按照本協(xié)議約定的時(shí)間和方式向乙方支付測(cè)評(píng)費(fèi)用。根據(jù)乙方提出的安全建議，及時(shí)組織整改，消除信息系統(tǒng)存在的安全隱患，并將整改情況及時(shí)反饋給乙方。（二）乙方權(quán)利與義務(wù)1.權(quán)利有權(quán)要求甲方按照本協(xié)議約定提供開(kāi)展測(cè)評(píng)工作所需的資料和信息。在測(cè)評(píng)過(guò)程中，有權(quán)根據(jù)實(shí)際情況調(diào)整測(cè)評(píng)方案和方法，但應(yīng)提前通知甲方，并說(shuō)明調(diào)整的原因和對(duì)測(cè)評(píng)結(jié)果的影響。按照本協(xié)議約定收取測(cè)評(píng)費(fèi)用。2.義務(wù)組建專業(yè)的測(cè)評(píng)團(tuán)隊(duì)，確保測(cè)評(píng)人員具備相應(yīng)的資質(zhì)和經(jīng)驗(yàn)，熟悉等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)和流程。按照國(guó)家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范以及本協(xié)議約定的內(nèi)容和標(biāo)準(zhǔn)，為甲方提供高質(zhì)量的等級(jí)保護(hù)測(cè)評(píng)服務(wù)。在測(cè)評(píng)過(guò)程中，嚴(yán)格遵守保密規(guī)定，對(duì)甲方提供的資料和信息以及測(cè)評(píng)過(guò)程中獲取的信息予以保密，不得向任何第三方泄露。測(cè)評(píng)工作結(jié)束后，及時(shí)編寫測(cè)評(píng)報(bào)告，并保證報(bào)告內(nèi)容客觀、準(zhǔn)確、完整。報(bào)告應(yīng)明確指出信息系統(tǒng)存在的安全問(wèn)題，并提出具體的整改建議。在甲方對(duì)測(cè)評(píng)報(bào)告進(jìn)行評(píng)審期間，積極配合甲方，對(duì)甲方提出的疑問(wèn)進(jìn)行解答和說(shuō)明。為甲方提供必要的技術(shù)支持和培訓(xùn)，幫助甲方理解測(cè)評(píng)結(jié)果和整改建議，指導(dǎo)甲方進(jìn)行信息系統(tǒng)的安全整改工作。三、測(cè)評(píng)費(fèi)用及支付方式（一）測(cè)評(píng)費(fèi)用本項(xiàng)目測(cè)評(píng)費(fèi)用總計(jì)為人民幣[X]元（大寫：[大寫金額]）。此費(fèi)用為固定總價(jià)，包含乙方開(kāi)展測(cè)評(píng)工作所需的全部費(fèi)用，除因甲方原因?qū)е聹y(cè)評(píng)工作范圍發(fā)生重大變更外，不再另行收取其他費(fèi)用。（二）支付方式1.合同簽訂后[X]個(gè)工作日內(nèi)，甲方向乙方支付測(cè)評(píng)費(fèi)用的[X]%作為預(yù)付款，即人民幣[X]元（大寫：[大寫金額]）。2.乙方完成現(xiàn)場(chǎng)測(cè)評(píng)工作，并向甲方提交測(cè)評(píng)報(bào)告初稿后[X]個(gè)工作日內(nèi)，甲方向乙方支付測(cè)評(píng)費(fèi)用的[X]%，即人民幣[X]元（大寫：[大寫金額]）。3.經(jīng)雙方對(duì)測(cè)評(píng)報(bào)告評(píng)審?fù)ㄟ^(guò)，乙方將最終測(cè)評(píng)報(bào)告正式交付給甲方后[X]個(gè)工作日內(nèi)，甲方向乙方支付剩余測(cè)評(píng)費(fèi)用，即人民幣[X]元（大寫：[大寫金額]）。乙方應(yīng)在每次收款前向甲方提供合法有效的發(fā)票，否則甲方有權(quán)拒絕付款且不承擔(dān)任何違約責(zé)任。四、保密條款（一）保密范圍雙方應(yīng)對(duì)在本協(xié)議履行過(guò)程中知悉的對(duì)方商業(yè)秘密、技術(shù)秘密、業(yè)務(wù)信息以及其他任何未公開(kāi)的信息予以保密。保密范圍包括但不限于：1.甲方提供的信息系統(tǒng)相關(guān)資料，如系統(tǒng)架構(gòu)圖、源代碼、用戶數(shù)據(jù)、業(yè)務(wù)流程等。2.乙方在測(cè)評(píng)過(guò)程中獲取的甲方信息系統(tǒng)的安全狀況數(shù)據(jù)、漏洞信息、測(cè)評(píng)結(jié)果等。3.雙方在協(xié)商和履行本協(xié)議過(guò)程中涉及的其他機(jī)密信息。（二）保密期限雙方的保密義務(wù)自本協(xié)議生效之日起至本協(xié)議終止后[X]年內(nèi)持續(xù)有效。（三）保密措施1.雙方應(yīng)采取合理的保密措施，防止對(duì)方機(jī)密信息的泄露。這些措施應(yīng)包括但不限于物理安全措施、訪問(wèn)控制、加密技術(shù)等，確保機(jī)密信息在存儲(chǔ)、傳輸和使用過(guò)程中的安全性。2.未經(jīng)對(duì)方書(shū)面同意，任何一方不得將對(duì)方機(jī)密信息用于本協(xié)議以外的其他目的。3.雙方應(yīng)要求各自的員工、代理人、合作伙伴等遵守保密義務(wù)，并對(duì)其違反保密義務(wù)的行為承擔(dān)連帶責(zé)任。五、違約責(zé)任（一）甲方違約責(zé)任1.若甲方未按照本協(xié)議約定向乙方提供開(kāi)展測(cè)評(píng)工作所需的資料和信息，導(dǎo)致測(cè)評(píng)工作無(wú)法按時(shí)完成或影響測(cè)評(píng)結(jié)果的，甲方應(yīng)承擔(dān)相應(yīng)的責(zé)任，并賠償乙方因此遭受的損失。2.若甲方未按照本協(xié)議約定的時(shí)間和方式支付測(cè)評(píng)費(fèi)用，每逾期一日，應(yīng)按照未支付金額的[X]%向乙方支付違約金。逾期超過(guò)[X]日的，乙方有權(quán)暫停測(cè)評(píng)工作，并要求甲方支付已完成工作對(duì)應(yīng)的費(fèi)用及違約金。3.若甲方擅自使用乙方提交的測(cè)評(píng)報(bào)告，或因甲方原因?qū)е聹y(cè)評(píng)報(bào)告被泄露、篡改等，甲方應(yīng)承擔(dān)由此產(chǎn)生的一切法律責(zé)任，并賠償乙方因此遭受的損失。（二）乙方違約責(zé)任1.若乙方未按照國(guó)家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范以及本協(xié)議約定的內(nèi)容和標(biāo)準(zhǔn)開(kāi)展測(cè)評(píng)工作，導(dǎo)致測(cè)評(píng)結(jié)果不準(zhǔn)確或不完整的，乙方應(yīng)負(fù)責(zé)重新進(jìn)行測(cè)評(píng)，并承擔(dān)由此產(chǎn)生的費(fèi)用。如給甲方造成損失的，乙方應(yīng)予以賠償。2.若乙方未按照本協(xié)議約定的時(shí)間提交測(cè)評(píng)報(bào)告，每逾期一日，應(yīng)按照測(cè)評(píng)費(fèi)用的[X]%向甲方支付違約金。逾期超過(guò)[X]日的，甲方有權(quán)解除本協(xié)議，并要求乙方返還已支付的測(cè)評(píng)費(fèi)用，同時(shí)乙方應(yīng)按照測(cè)評(píng)費(fèi)用的[X]%向甲方支付違約金。3.若乙方違反保密義務(wù)，將甲方機(jī)密信息泄露給第三方，乙方應(yīng)立即采取措施防止損失擴(kuò)大，并賠償甲方因此遭受的全部損失。同時(shí)，甲方有權(quán)解除本協(xié)議，并要求乙方返還已支付的測(cè)評(píng)費(fèi)用。情節(jié)嚴(yán)重的，乙方應(yīng)承擔(dān)相應(yīng)的法律責(zé)任。六、爭(zhēng)議解決本協(xié)議的簽訂、履行、解釋及爭(zhēng)議解決均適用中華人民共和國(guó)法律。雙方在履行本協(xié)議過(guò)程中如發(fā)生爭(zhēng)議，應(yīng)首先通過(guò)友好協(xié)商解決；協(xié)商不成的，任何一方均有權(quán)向有管轄權(quán)的人民法院提起訴訟。七、其他條款（一）協(xié)議變更與解除1.本協(xié)議的任何變更或補(bǔ)充需經(jīng)雙方書(shū)面協(xié)商一致，并簽訂書(shū)面協(xié)議。變更或補(bǔ)充協(xié)議作為本協(xié)議的組成部分，與本協(xié)議具有同等法律效力。2.在履行本協(xié)議過(guò)程中，若一方提出解除協(xié)議，需提前[X]日書(shū)面通知對(duì)方，并經(jīng)對(duì)方書(shū)面同意。因解除協(xié)議給對(duì)方造成損失的，提出解除協(xié)議方應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任。（二）不可抗力1.本協(xié)議所稱不可抗力是指不能預(yù)見(jiàn)、不能避免并不能克服的客觀情況，包括但不限于自然災(zāi)害、政府行為、社會(huì)異常事件等。2.因不可抗力事件導(dǎo)致一方無(wú)法履行本協(xié)議約定的義務(wù)，該方不承擔(dān)違約責(zé)任，但應(yīng)在不可抗力事件發(fā)生后及時(shí)通知對(duì)方，并提供相關(guān)證明文件。在不可抗力事件影響消除后，雙方應(yīng)協(xié)商決定是否繼續(xù)履行本協(xié)議或調(diào)整協(xié)議內(nèi)容。（三）協(xié)議生效與終止1.本協(xié)議自雙方簽