2025年私有云安全評(píng)估協(xié)議甲方（委托方）名稱：________________________統(tǒng)一社會(huì)信用代碼/身份證號(hào)：________________________地址：________________________聯(lián)系方式：________________________私有云部署情況：□本地部署□混合部署（本地+邊緣節(jié)點(diǎn)）□其他：________________________（附私有云拓?fù)鋱D作為附件一）乙方（受托方/評(píng)估機(jī)構(gòu)）名稱：________________________統(tǒng)一社會(huì)信用代碼：________________________地址：________________________聯(lián)系方式：________________________資質(zhì)證明：________________________（如網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)資質(zhì)、CMA檢驗(yàn)檢測(cè)機(jī)構(gòu)資質(zhì)等，復(fù)印件作為附件二）鑒于條款甲方為保障其私有云平臺(tái)（以下簡(jiǎn)稱“目標(biāo)云平臺(tái)”）的安全穩(wěn)定運(yùn)行，防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，需乙方提供專業(yè)的私有云安全評(píng)估服務(wù)；乙方系依法成立的網(wǎng)絡(luò)安全評(píng)估機(jī)構(gòu)，具備《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法》（2025年修訂版）要求的評(píng)估資質(zhì)及專業(yè)技術(shù)能力；本合同簽訂遵循《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《云計(jì)算服務(wù)安全評(píng)估辦法》等法律法規(guī)及2025年最新網(wǎng)絡(luò)安全標(biāo)準(zhǔn)（如GB/T22239-2025《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》），確保評(píng)估行為合法合規(guī)。第一條評(píng)估服務(wù)范圍與內(nèi)容（一）評(píng)估對(duì)象甲方私有云平臺(tái)及相關(guān)配套設(shè)施，包括但不限于：云基礎(chǔ)設(shè)施：服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器、防火墻等）、虛擬化平臺(tái)（如VMware、KVM等）；云平臺(tái)軟件：操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件、云管理平臺(tái)（如OpenStack、阿里云專有版等）；數(shù)據(jù)資源：存儲(chǔ)于私有云的業(yè)務(wù)數(shù)據(jù)、用戶數(shù)據(jù)、配置數(shù)據(jù)等（含敏感數(shù)據(jù)分類分級(jí)情況）；安全防護(hù)體系：身份認(rèn)證系統(tǒng)、訪問控制系統(tǒng)、入侵檢測(cè)/防御系統(tǒng)（IDS/IPS）、數(shù)據(jù)加密設(shè)備、安全審計(jì)系統(tǒng)等。（二）評(píng)估核心內(nèi)容乙方按2025年網(wǎng)絡(luò)安全合規(guī)要求，開展以下評(píng)估工作：安全合規(guī)性評(píng)估：對(duì)照GB/T22239-2025等標(biāo)準(zhǔn)，評(píng)估目標(biāo)云平臺(tái)是否符合網(wǎng)絡(luò)安全等級(jí)保護(hù)______級(jí)要求（甲方自定等級(jí)：______級(jí)）；基礎(chǔ)設(shè)施安全評(píng)估：包括硬件設(shè)備漏洞檢測(cè)、虛擬化平臺(tái)安全配置核查、網(wǎng)絡(luò)拓?fù)浒踩苑治?、?zāi)備體系有效性評(píng)估；數(shù)據(jù)安全評(píng)估：敏感數(shù)據(jù)識(shí)別與分類分級(jí)核查、數(shù)據(jù)傳輸/存儲(chǔ)/使用環(huán)節(jié)加密防護(hù)檢測(cè)、數(shù)據(jù)備份與恢復(fù)能力測(cè)試；訪問控制評(píng)估：身份認(rèn)證機(jī)制安全性（如多因素認(rèn)證部署情況）、權(quán)限分配合理性核查、操作審計(jì)日志完整性檢測(cè)；威脅防護(hù)評(píng)估：防火墻/IDS/IPS等安全設(shè)備策略有效性、惡意代碼防護(hù)能力、入侵攻擊模擬測(cè)試（需甲方書面授權(quán)）；應(yīng)急響應(yīng)能力評(píng)估：安全事件應(yīng)急預(yù)案完整性、應(yīng)急演練記錄核查、應(yīng)急處置流程有效性測(cè)試；安全管理體系評(píng)估：安全管理制度建設(shè)情況、人員安全培訓(xùn)記錄、供應(yīng)商安全管理流程等。（三）評(píng)估方法□文檔核查□配置檢查□漏洞掃描□滲透測(cè)試（有限范圍）□訪談?wù){(diào)研□技術(shù)檢測(cè)□其他：________________________（滲透測(cè)試需明確測(cè)試范圍，不得影響業(yè)務(wù)正常運(yùn)行）第二條評(píng)估服務(wù)周期與流程（一）服務(wù)周期自______年____月____日起至______年____月____日止，總周期______個(gè)工作日，具體節(jié)點(diǎn)如下：準(zhǔn)備階段（______個(gè)工作日）：乙方收集目標(biāo)云平臺(tái)相關(guān)資料，制定評(píng)估方案，甲方配合提供必要文檔；實(shí)施階段（______個(gè)工作日）：乙方開展現(xiàn)場(chǎng)/遠(yuǎn)程評(píng)估（評(píng)估方式：□現(xiàn)場(chǎng)□遠(yuǎn)程），甲方提供技術(shù)支持；報(bào)告編制階段（______個(gè)工作日）：乙方整理評(píng)估數(shù)據(jù)，識(shí)別安全風(fēng)險(xiǎn)，編制評(píng)估報(bào)告及整改建議；交付與溝通階段（______個(gè)工作日）：乙方提交評(píng)估報(bào)告，向甲方解讀報(bào)告內(nèi)容，解答疑問。（二）評(píng)估流程甲方提交評(píng)估需求及目標(biāo)云平臺(tái)相關(guān)資料（如拓?fù)鋱D、配置文檔、安全管理制度等）；乙方制定《私有云安全評(píng)估方案》（含評(píng)估范圍、方法、進(jìn)度計(jì)劃），經(jīng)甲方確認(rèn)后實(shí)施；乙方按方案開展評(píng)估工作，過程中發(fā)現(xiàn)重大安全隱患需立即書面告知甲方；評(píng)估完成后，乙方出具正式《私有云安全評(píng)估報(bào)告》（含風(fēng)險(xiǎn)等級(jí)劃分、整改建議優(yōu)先級(jí)）；雙方就評(píng)估報(bào)告進(jìn)行溝通，乙方提供必要的整改咨詢指導(dǎo)（不含整改實(shí)施服務(wù)）。第三條雙方權(quán)利與義務(wù)（一）甲方權(quán)利與義務(wù)權(quán)利：（1）有權(quán)要求乙方按約定范圍和周期提供評(píng)估服務(wù)，查閱評(píng)估過程記錄；（2）有權(quán)獲取乙方出具的正式評(píng)估報(bào)告及整改建議，要求乙方對(duì)報(bào)告內(nèi)容進(jìn)行解釋；（3）若評(píng)估結(jié)果存在明顯偏差或遺漏，有權(quán)要求乙方補(bǔ)充評(píng)估（限1次，不額外收費(fèi)）。義務(wù)：（1）如實(shí)向乙方提供目標(biāo)云平臺(tái)的相關(guān)資料、配置信息及技術(shù)支持，不得隱瞞或提供虛假信息；（2）配合乙方開展評(píng)估工作，提供必要的場(chǎng)地、設(shè)備訪問權(quán)限（評(píng)估結(jié)束后立即收回），協(xié)調(diào)內(nèi)部相關(guān)部門配合；（3）明確告知乙方目標(biāo)云平臺(tái)的業(yè)務(wù)高峰期及關(guān)鍵業(yè)務(wù)時(shí)段，避免評(píng)估工作影響業(yè)務(wù)正常運(yùn)行；（4）對(duì)乙方在評(píng)估過程中接觸的商業(yè)秘密、敏感數(shù)據(jù)等承擔(dān)保密義務(wù)，不得泄露給第三方。（二）乙方權(quán)利與義務(wù)權(quán)利：（1）有權(quán)要求甲方提供評(píng)估所需的必要資料和技術(shù)支持，若甲方未配合導(dǎo)致評(píng)估無法開展，有權(quán)順延服務(wù)周期；（2）有權(quán)按本合同約定收取評(píng)估服務(wù)費(fèi)用；（3）在評(píng)估過程中發(fā)現(xiàn)重大安全風(fēng)險(xiǎn)時(shí)，有權(quán)建議甲方暫停相關(guān)業(yè)務(wù)或采取應(yīng)急措施。義務(wù)：（1）指派具備相應(yīng)資質(zhì)和經(jīng)驗(yàn)的技術(shù)團(tuán)隊(duì)開展評(píng)估工作，恪守職業(yè)道德，嚴(yán)格按評(píng)估方案及相關(guān)標(biāo)準(zhǔn)實(shí)施；（2）遵守甲方的安全管理規(guī)定，不得擅自訪問與評(píng)估無關(guān)的系統(tǒng)或數(shù)據(jù)，不得留存甲方敏感數(shù)據(jù)（評(píng)估必需的測(cè)試數(shù)據(jù)需經(jīng)甲方書面同意，評(píng)估結(jié)束后立即刪除）；（3）對(duì)評(píng)估過程中知悉的甲方商業(yè)秘密、私有云配置信息、敏感數(shù)據(jù)等承擔(dān)嚴(yán)格保密義務(wù)（保密義務(wù)按本合同第四條約定執(zhí)行）；（4）按時(shí)出具客觀、真實(shí)、準(zhǔn)確的評(píng)估報(bào)告，確保報(bào)告符合2025年網(wǎng)絡(luò)安全合規(guī)要求，整改建議具備可操作性；（5）評(píng)估過程中若因乙方操作失誤導(dǎo)致甲方系統(tǒng)故障或數(shù)據(jù)泄露，需承擔(dān)相應(yīng)賠償責(zé)任。第四條保密義務(wù)雙方對(duì)在合同履行過程中知悉的對(duì)方保密信息（包括但不限于甲方私有云配置、敏感數(shù)據(jù)、商業(yè)秘密，乙方評(píng)估方法、技術(shù)工具等）承擔(dān)保密義務(wù)；乙方不得向任何第三方披露、傳播甲方保密信息，不得將甲方數(shù)據(jù)用于與本合同約定無關(guān)的任何用途；乙方內(nèi)部?jī)H允許參與本次評(píng)估的必要人員接觸保密信息，且需與該等人員簽訂單獨(dú)保密協(xié)議，乙方對(duì)其內(nèi)部人員的泄密行為承擔(dān)連帶責(zé)任；評(píng)估結(jié)束后，乙方應(yīng)返還甲方提供的全部資料原件，刪除存儲(chǔ)在乙方設(shè)備中的甲方保密信息（包括備份），并出具書面保密承諾函；保密期限為自乙方知悉保密信息之日起______年，若該信息為商業(yè)秘密或敏感數(shù)據(jù)，保密義務(wù)持續(xù)至信息公開之日止。第五條服務(wù)費(fèi)用及支付方式評(píng)估服務(wù)費(fèi)用：人民幣_(tái)_______________元（大寫：________________________），此費(fèi)用為評(píng)估服務(wù)全部對(duì)價(jià)，包含評(píng)估方案制定、現(xiàn)場(chǎng)/遠(yuǎn)程檢測(cè)、報(bào)告編制、咨詢解讀等費(fèi)用，不包含甲方系統(tǒng)整改實(shí)施費(fèi)用；支付方式：（1）預(yù)付款：合同簽訂生效后______日內(nèi)，甲方支付總費(fèi)用的______%（即人民幣_(tái)_____元）；（2）尾款：乙方提交正式評(píng)估報(bào)告并經(jīng)甲方確認(rèn)后______日內(nèi)，甲方支付剩余______%（即人民幣_(tái)_____元）；支付方式：□銀行轉(zhuǎn)賬□其他合規(guī)方式：________________________；乙方收款賬戶信息：開戶名：________________________開戶行：________________________賬號(hào)：________________________乙方應(yīng)在收到款項(xiàng)后______日內(nèi)，向甲方開具合法有效的增值稅發(fā)票。第六條評(píng)估報(bào)告與整改咨詢乙方出具的《私有云安全評(píng)估報(bào)告》應(yīng)包含以下內(nèi)容：評(píng)估概況、評(píng)估依據(jù)、風(fēng)險(xiǎn)識(shí)別結(jié)果（按高/中/低風(fēng)險(xiǎn)等級(jí)劃分）、合規(guī)性分析、整改建議（含優(yōu)先級(jí)）、附錄（測(cè)試數(shù)據(jù)、配置截圖等）；報(bào)告份數(shù)：紙質(zhì)版______份，電子版1份（加密發(fā)送至甲方指定郵箱：________________________）；乙方免費(fèi)提供______次整改咨詢服務(wù)（包括電話咨詢、書面指導(dǎo)），協(xié)助甲方理解整改要求，咨詢服務(wù)期限為報(bào)告交付后______個(gè)月。第七條違約責(zé)任甲方逾期支付服務(wù)費(fèi)用的，每逾期一日，應(yīng)按逾期金額的______‰向乙方支付違約金；逾期超過______日的，乙方有權(quán)中止服務(wù)，由此造成的損失由甲方承擔(dān)；甲方提供虛假信息或未配合評(píng)估工作，導(dǎo)致評(píng)估結(jié)果無效的，乙方不承擔(dān)責(zé)任，已收取的服務(wù)費(fèi)用不予退還；乙方未按約定周期交付評(píng)估報(bào)告的，每逾期一日，應(yīng)按總費(fèi)用的______‰向甲方支付違約金；逾期超過______日的，甲方有權(quán)解除合同，乙方應(yīng)退還已收取的費(fèi)用；乙方違反保密義務(wù)泄露甲方信息的，應(yīng)向甲方支付違約金人民幣_(tái)_______________元，若違約金不足以彌補(bǔ)甲方損失（含直接損失、間接損失、維權(quán)費(fèi)用）的，乙方應(yīng)另行賠償；乙方評(píng)估報(bào)告存在嚴(yán)重錯(cuò)誤或遺漏，導(dǎo)致甲方遭受網(wǎng)絡(luò)安全事件的，乙方應(yīng)根據(jù)過錯(cuò)程度承擔(dān)相應(yīng)賠償責(zé)任，并免費(fèi)提供補(bǔ)充評(píng)估服務(wù)。第八條不可抗力與免責(zé)條款不可抗力：因地震、臺(tái)風(fēng)、洪水等自然災(zāi)害及戰(zhàn)爭(zhēng)、政策重大調(diào)整、網(wǎng)絡(luò)攻擊等不可預(yù)見、不可避免的因素導(dǎo)致合同無法履行的，雙方互不承擔(dān)違約責(zé)任，已支付的費(fèi)用按實(shí)際服務(wù)進(jìn)度結(jié)算；免責(zé)情形：（1）甲方未按評(píng)估報(bào)告整改建議采取措施，導(dǎo)致后續(xù)發(fā)生安全事件的，乙方不承擔(dān)責(zé)任；（2）乙方僅對(duì)評(píng)估范圍內(nèi)的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別，不保證發(fā)現(xiàn)所有潛在風(fēng)險(xiǎn)，評(píng)估報(bào)告僅作為安全整改參考，不構(gòu)成對(duì)甲方系統(tǒng)安全的擔(dān)保；（3）因甲方系統(tǒng)本身存在設(shè)計(jì)缺陷或第三方惡意攻擊導(dǎo)致評(píng)估工作中斷的，乙方不承擔(dān)責(zé)任。第九條爭(zhēng)議解決本合同的簽訂、履行、解釋及爭(zhēng)議解決均適用中華人民共和國法律；雙方因本合同產(chǎn)生的爭(zhēng)議，應(yīng)首先通過友好協(xié)商解決；協(xié)商不成的，任何一方有權(quán)向______（甲方所在地/乙方所在地/合同簽訂地）人民法院提起訴訟（或約定提交______仲裁委員會(huì)仲裁）。第十條其他本合同自雙方簽字蓋章之日起生效，一式______份，甲乙雙方各執(zhí)______份，具有同等法律效力；對(duì)本合同的修改、補(bǔ)充，需雙方協(xié)商一致并簽訂書面補(bǔ)充協(xié)議，補(bǔ)充協(xié)議與本合同具有同等法律效力；雙方確認(rèn)本合同首部所列聯(lián)系方式、地址為有效送達(dá)地址，任何書面通知按該地址送達(dá)即視為有效；附