2025年網(wǎng)絡(luò)安全風(fēng)險評估合同協(xié)議合同編號：[請?zhí)顚懞贤幪朷簽訂地點：[請?zhí)顚懞炗喌攸c]簽訂日期：[年月日]甲方（委托方）名稱：[甲方全稱]統(tǒng)一社會信用代碼：[甲方統(tǒng)一社會信用代碼]地址：[甲方詳細(xì)地址]聯(lián)系人：[甲方聯(lián)系人姓名]聯(lián)系電話：[甲方聯(lián)系電話]電子郵箱：[甲方電子郵箱]乙方（評估方）名稱：[乙方全稱]統(tǒng)一社會信用代碼：[乙方統(tǒng)一社會信用代碼]網(wǎng)絡(luò)安全等級測評資質(zhì)證書編號：[乙方資質(zhì)證書編號]地址：[乙方詳細(xì)地址]聯(lián)系人：[乙方聯(lián)系人姓名]聯(lián)系電話：[乙方聯(lián)系電話]電子郵箱：[乙方電子郵箱]鑒于條款甲方為保障其信息系統(tǒng)安全穩(wěn)定運(yùn)行，滿足《中華人民共和國網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級保護(hù)條例》等法律法規(guī)及2025年3月20日起實施的《網(wǎng)絡(luò)安全等級測評報告模版（2025版）》新規(guī)要求，需開展網(wǎng)絡(luò)安全風(fēng)險評估工作；乙方具備網(wǎng)絡(luò)安全風(fēng)險評估專業(yè)資質(zhì)和技術(shù)能力，已熟練掌握GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險評估方法》及CVSS4.0評分系統(tǒng)，能夠按照2025年最新行業(yè)標(biāo)準(zhǔn)提供合規(guī)有效的評估服務(wù)；甲乙雙方本著平等自愿、公平誠信、互利共贏的原則，經(jīng)友好協(xié)商，就乙方為甲方提供網(wǎng)絡(luò)安全風(fēng)險評估服務(wù)事宜，達(dá)成如下協(xié)議，以資共同信守。第一條服務(wù)范圍與內(nèi)容（一）評估依據(jù)本項目評估工作嚴(yán)格遵循以下標(biāo)準(zhǔn)及規(guī)范：《中華人民共和國網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級保護(hù)條例》；GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險評估方法》；《網(wǎng)絡(luò)安全等級測評報告模版（2025版）》（公網(wǎng)安〔2025〕1001號）；GA/T1390系列、GA/T2347-2025等2025年發(fā)布的公共安全行業(yè)標(biāo)準(zhǔn)；甲方內(nèi)部網(wǎng)絡(luò)安全管理制度及相關(guān)要求。（二）評估對象與范圍網(wǎng)絡(luò)基礎(chǔ)設(shè)施：包括但不限于路由器、交換機(jī)、防火墻、入侵檢測/防御系統(tǒng)、負(fù)載均衡設(shè)備等（具體設(shè)備清單見附件一）；服務(wù)器及操作系統(tǒng)：包括WindowsServer、LinuxServer等各類服務(wù)器及底層操作系統(tǒng)（具體清單見附件一）；數(shù)據(jù)存儲與數(shù)據(jù)庫系統(tǒng)：包括MySQL、Oracle、SQLServer等數(shù)據(jù)庫及存儲設(shè)備（具體清單見附件一）；應(yīng)用系統(tǒng)：包括Web應(yīng)用、業(yè)務(wù)管理系統(tǒng)、移動應(yīng)用等（具體系統(tǒng)清單見附件一）；安全管理體系：包括安全策略、管理制度、操作規(guī)程、人員安全意識等；物理環(huán)境：評估范圍內(nèi)的機(jī)房、辦公區(qū)域等物理環(huán)境安全；評估覆蓋IP地址段：[請?zhí)顚懢唧wIP地址段]；評估不含甲方明確排除的系統(tǒng)及區(qū)域（詳見附件一《評估范圍確認(rèn)表》）。（三）評估方法與技術(shù)手段乙方采用以下方法開展評估工作，確保評估結(jié)果真實有效：文檔審查：查閱甲方網(wǎng)絡(luò)拓?fù)鋱D、設(shè)備配置文檔、安全管理制度等相關(guān)資料；人員訪談：與甲方IT運(yùn)維、安全管理、業(yè)務(wù)部門相關(guān)人員進(jìn)行訪談；配置核查：對網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫等進(jìn)行安全配置合規(guī)性核查；漏洞掃描：使用合規(guī)認(rèn)證的掃描工具，對評估對象進(jìn)行漏洞檢測；滲透測試：在甲方授權(quán)范圍內(nèi)，開展模擬攻擊測試（如需）；風(fēng)險分析：結(jié)合CVSS4.0評分系統(tǒng)，對識別的風(fēng)險進(jìn)行分級評估。（四）核心服務(wù)內(nèi)容資產(chǎn)識別與價值評估：梳理甲方關(guān)鍵信息資產(chǎn)，明確資產(chǎn)等級及重要性；威脅與脆弱性評估：識別內(nèi)外部安全威脅，排查系統(tǒng)脆弱性及安全隱患；重大風(fēng)險隱患識別：依據(jù)《網(wǎng)絡(luò)安全等級測評報告模版（2025版）》附錄G標(biāo)準(zhǔn)，判定重大風(fēng)險隱患（包括可導(dǎo)致系統(tǒng)癱瘓的架構(gòu)缺陷、大規(guī)模數(shù)據(jù)泄露風(fēng)險漏洞等）；安全控制措施有效性評估：分析現(xiàn)有安全防護(hù)措施的合理性及有效性；風(fēng)險評估與分級：采用“符合、基本符合、不符合”三級結(jié)論體系，出具風(fēng)險評估結(jié)果；整改方案制定：針對評估發(fā)現(xiàn)的問題，特別是重大風(fēng)險隱患，按照“三定”原則（定級、定時、定責(zé)）制定可落地的整改方案；報告編制與交付：提交符合2025版新規(guī)要求的評估報告，包含重大風(fēng)險隱患分析及整改追蹤體系。第二條服務(wù)期限與進(jìn)度（一）服務(wù)期限本合同項下服務(wù)自[開始日期]起至[結(jié)束日期]止，總服務(wù)周期為[X]個工作日。若因甲方原因?qū)е略u估工作延誤，服務(wù)期限相應(yīng)順延。（二）進(jìn)度安排準(zhǔn)備階段（第1-3個工作日）：乙方組建評估團(tuán)隊，甲方提供評估所需資料及環(huán)境支持，雙方完成評估范圍最終確認(rèn)；現(xiàn)場評估階段（第4-[X-5]個工作日）：乙方開展文檔審查、人員訪談、配置核查、漏洞掃描、滲透測試等工作；報告編制階段（第[X-4]-[X-1]個工作日）：乙方整理評估數(shù)據(jù)，分析風(fēng)險等級，編制評估報告及整改方案；成果交付階段（第X個工作日）：乙方提交評估報告，甲方組織驗收。第三條雙方權(quán)利與義務(wù)（一）甲方權(quán)利與義務(wù)權(quán)利：（1）有權(quán)要求乙方按照本合同約定及2025年最新行業(yè)標(biāo)準(zhǔn)提供評估服務(wù)；（2）有權(quán)監(jiān)督評估工作進(jìn)度及質(zhì)量，對評估過程中的疑問提出異議；（3）有權(quán)獲取完整的評估報告及相關(guān)階段性成果；（4）有權(quán)要求乙方對評估過程中知悉的甲方商業(yè)秘密、技術(shù)信息及內(nèi)部數(shù)據(jù)承擔(dān)保密義務(wù)。義務(wù)：（1）按照乙方要求提供評估所需的網(wǎng)絡(luò)拓?fù)鋱D、設(shè)備配置清單、安全管理制度等資料，并保證資料的真實性、準(zhǔn)確性和完整性；（2）為乙方評估人員提供必要的工作環(huán)境、操作權(quán)限及技術(shù)支持，確保評估工作順利開展；（3）指定1-2名項目接口人，負(fù)責(zé)與乙方的日常溝通協(xié)調(diào)，及時響應(yīng)乙方需求；（4）配合乙方開展現(xiàn)場評估工作，協(xié)調(diào)內(nèi)部相關(guān)部門及人員參與訪談、配合測試；（5）按照本合同約定按時足額支付服務(wù)費(fèi)用。（二）乙方權(quán)利與義務(wù)權(quán)利：（1）有權(quán)要求甲方提供評估所需的必要資料及工作支持；（2）有權(quán)在甲方授權(quán)范圍內(nèi)開展評估工作，對甲方不配合導(dǎo)致評估工作無法進(jìn)行的情況，有權(quán)書面通知甲方并暫停服務(wù)；（3）有權(quán)按照本合同約定收取服務(wù)費(fèi)用。義務(wù)：（1）組建具備相應(yīng)資質(zhì)和經(jīng)驗的評估團(tuán)隊，團(tuán)隊成員需熟悉2025年網(wǎng)絡(luò)安全新規(guī)及相關(guān)標(biāo)準(zhǔn)；（2）嚴(yán)格按照本合同約定的服務(wù)范圍、方法及標(biāo)準(zhǔn)開展評估工作，確保評估工作的獨(dú)立性、客觀性和專業(yè)性；（3）遵守甲方的安全管理規(guī)定，不得擅自操作與評估無關(guān)的系統(tǒng)及數(shù)據(jù)，不得泄露評估過程中獲取的甲方保密信息；（4）按時完成評估工作，提交符合2025版新規(guī)要求的評估報告，報告需包含雙維度拓?fù)鋱D、重大風(fēng)險隱患分析、整改方案等核心內(nèi)容；（5）對評估結(jié)果的專業(yè)性負(fù)責(zé)，針對甲方提出的疑問提供書面解答及技術(shù)支持；（6）評估過程中若發(fā)現(xiàn)重大安全隱患，應(yīng)立即書面通知甲方，并提供臨時防護(hù)建議。第四條服務(wù)費(fèi)用與支付方式（一）服務(wù)費(fèi)用本合同項下網(wǎng)絡(luò)安全風(fēng)險評估服務(wù)費(fèi)用總額為人民幣[大寫金額]元（￥[小寫金額]），該費(fèi)用已包含評估過程中的人工成本、技術(shù)工具使用費(fèi)、報告編制費(fèi)、差旅費(fèi)等全部費(fèi)用，乙方不得另行收取其他費(fèi)用。（二）支付方式預(yù)付款：本合同簽訂之日起[X]個工作日內(nèi)，甲方支付服務(wù)費(fèi)用的[X]%，即人民幣[大寫金額]元（￥[小寫金額]）；尾款：乙方完成全部評估工作并向甲方交付最終評估報告，甲方驗收合格之日起[X]個工作日內(nèi)，甲方支付剩余服務(wù)費(fèi)用的[X]%，即人民幣[大寫金額]元（￥[小寫金額]）；乙方應(yīng)在收到甲方支付的款項后[X]個工作日內(nèi)，向甲方開具等額合規(guī)的增值稅發(fā)票（發(fā)票類型：[增值稅專用發(fā)票/普通發(fā)票]）。（三）支付賬號乙方收款賬號信息如下：開戶名：[乙方全稱]開戶行：[開戶銀行名稱]賬號：[銀行賬號]第五條成果交付與驗收（一）成果交付乙方應(yīng)向甲方交付以下成果：《網(wǎng)絡(luò)安全風(fēng)險評估報告》紙質(zhì)版[X]份，電子版1份（PDF格式），報告需符合《網(wǎng)絡(luò)安全等級測評報告模版（2025版）》要求，包含重大風(fēng)險隱患分析及整改追蹤表（附錄H格式）；評估過程中形成的原始數(shù)據(jù)、掃描報告、測試記錄等輔助資料電子版1份。（二）驗收標(biāo)準(zhǔn)評估報告內(nèi)容完整，符合本合同約定的服務(wù)范圍及2025年行業(yè)標(biāo)準(zhǔn)要求；評估方法科學(xué)合規(guī)，數(shù)據(jù)真實可靠，風(fēng)險等級判定準(zhǔn)確；重大風(fēng)險隱患識別全面，整改方案具有針對性和可操作性；甲方無充分證據(jù)證明評估結(jié)果存在專業(yè)性錯誤。（三）驗收流程甲方收到乙方交付的評估報告后，應(yīng)在[X]個工作日內(nèi)完成驗收；若甲方對評估報告有異議，應(yīng)在驗收期內(nèi)書面通知乙方，說明異議內(nèi)容及理由；乙方收到異議通知后，應(yīng)在[X]個工作日內(nèi)進(jìn)行復(fù)核并給予書面答復(fù)，若確有錯誤，應(yīng)在[X]個工作日內(nèi)修改完善并重新提交；若甲方在驗收期內(nèi)未提出書面異議，視為評估報告驗收合格。第六條保密條款甲乙雙方確認(rèn)，在履行本合同過程中知悉的對方商業(yè)秘密、技術(shù)信息、經(jīng)營數(shù)據(jù)、內(nèi)部文檔等未公開信息（以下簡稱“保密信息”）均受本條款保護(hù)；未經(jīng)對方書面同意，任何一方不得向任何第三方泄露保密信息，不得將保密信息用于與本合同無關(guān)的任何目的；乙方承諾，對評估過程中獲取的甲方信息系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等保密信息，僅用于本次評估工作，評估結(jié)束后及時刪除或歸還所有保密信息載體，不得留存副本；本保密義務(wù)不因本合同的終止而失效，持續(xù)有效期限為本合同終止后[X]年；若一方違反本保密條款，應(yīng)承擔(dān)由此給對方造成的全部損失（包括但不限于直接損失、間接損失、律師費(fèi)、訴訟費(fèi)等）。第七條違約責(zé)任若甲方未按本合同約定支付服務(wù)費(fèi)用，每逾期一日，應(yīng)按逾期支付金額的[萬分之五]向乙方支付違約金；逾期超過[X]日的，乙方有權(quán)暫停服務(wù)或單方解除合同，并要求甲方支付已完成工作對應(yīng)的服務(wù)費(fèi)用及違約金；若乙方未按本合同約定的期限交付評估報告，每逾期一日，應(yīng)按服務(wù)費(fèi)用總額的[萬分之五]向甲方支付違約金；逾期超過[X]日的，甲方有權(quán)單方解除合同，并要求乙方退還已支付的服務(wù)費(fèi)用及支付違約金；若乙方提供的評估報告不符合本合同約定的驗收標(biāo)準(zhǔn)，乙方應(yīng)在甲方要求的期限內(nèi)無償修改完善；若經(jīng)[X]次修改后仍不符合要求，甲方有權(quán)解除合同，要求乙方退還已支付的服務(wù)費(fèi)用，并要求乙方支付服務(wù)費(fèi)用總額[X]%的違約金；若乙方違反保密條款泄露甲方保密信息，應(yīng)承擔(dān)由此給甲方造成的全部損失，甲方有權(quán)解除合同；任何一方因不可抗力導(dǎo)致無法履行合同義務(wù)的，應(yīng)及時通知對方，并在合理期限內(nèi)提供證明，雙方可根據(jù)不可抗力影響程度協(xié)商暫停、順延或解除合同，互不承擔(dān)違約責(zé)任。第八條爭議解決本合同的簽訂、履行、解釋及爭議解決均適用中華人民共和國法律；甲乙雙方在履行本合同過程中發(fā)生的任何爭議，應(yīng)首先通過友好協(xié)商解決；協(xié)商不成的，任何一方均有權(quán)向[乙方所在地]人民法院提起訴訟。第九條其他條款本合同附件是本合同不可分割的組成部分，與本合同具有同等法律效力；本合同未盡事宜，甲乙雙方可另行簽訂補(bǔ)充協(xié)議，補(bǔ)充協(xié)議與本合同具有同等