滲透測(cè)試運(yùn)維服務(wù)協(xié)議甲方（委托方）：名稱：_________________________統(tǒng)一社會(huì)信用代碼：_________________________地址：_________________________聯(lián)系人：_________________________聯(lián)系電話：_________________________乙方（受托方）：名稱：_________________________統(tǒng)一社會(huì)信用代碼：_________________________地址：_________________________聯(lián)系人：_________________________聯(lián)系電話：_________________________資質(zhì)證明：具備□CNAS認(rèn)可實(shí)驗(yàn)室資質(zhì)□網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)資質(zhì)□其他：________（需提供復(fù)印件作為附件）鑒于甲方為保障自身信息系統(tǒng)安全，需委托乙方提供滲透測(cè)試及運(yùn)維服務(wù)；乙方具備相應(yīng)資質(zhì)及技術(shù)能力，雙方經(jīng)平等協(xié)商，達(dá)成如下協(xié)議：一、服務(wù)內(nèi)容及范圍1.滲透測(cè)試服務(wù)1.1測(cè)試類型：□黑盒測(cè)試□灰盒測(cè)試□白盒測(cè)試（需甲方提供對(duì)應(yīng)權(quán)限/源碼）1.2測(cè)試范圍：甲方指定的信息系統(tǒng)，具體包括：系統(tǒng)名稱：________；IP地址范圍：________；端口范圍：________；應(yīng)用類型：________（如WEB應(yīng)用、數(shù)據(jù)庫、中間件等）；（注：測(cè)試范圍需雙方簽字確認(rèn)作為附件1）1.3測(cè)試周期：自________年________月________日至________年________月________日（共____個(gè)工作日），測(cè)試窗口為每日________至________（甲方需確保該窗口內(nèi)系統(tǒng)無關(guān)鍵業(yè)務(wù)運(yùn)行）。1.4測(cè)試要求：符合《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T22240-2020）及行業(yè)通行規(guī)范，不破壞甲方系統(tǒng)數(shù)據(jù)完整性、不竊取未授權(quán)信息。2.運(yùn)維服務(wù)2.1服務(wù)周期：自滲透測(cè)試報(bào)告交付之日起____個(gè)月（共____個(gè)月）；2.2服務(wù)內(nèi)容：（1）漏洞跟蹤：對(duì)滲透測(cè)試發(fā)現(xiàn)的中高危漏洞，每____天跟進(jìn)甲方整改進(jìn)度，直至漏洞關(guān)閉；（2）應(yīng)急響應(yīng)：甲方系統(tǒng)發(fā)生安全事件時(shí)，乙方在____小時(shí)內(nèi)響應(yīng)，提供初步排查及處置建議；（3）定期復(fù)測(cè)：每____個(gè)月對(duì)已整改漏洞進(jìn)行復(fù)測(cè)，確認(rèn)修復(fù)有效性；（4）安全咨詢：每月提供1次安全咨詢服務(wù)（每次不超過____小時(shí)），解答甲方安全疑問。二、雙方權(quán)利義務(wù)1.甲方權(quán)利義務(wù)1.1權(quán)利：（1）要求乙方按協(xié)議約定提供服務(wù)，對(duì)交付物提出合理修改意見；（2）對(duì)測(cè)試過程進(jìn)行監(jiān)督，確認(rèn)測(cè)試范圍及結(jié)果；（3）獲得乙方提供的整改建議及運(yùn)維支持。1.2義務(wù)：（1）提供測(cè)試所需的系統(tǒng)權(quán)限（如測(cè)試賬號(hào)、必要的網(wǎng)絡(luò)訪問權(quán)限）及準(zhǔn)確資料（如系統(tǒng)架構(gòu)圖、業(yè)務(wù)流程）；（2）在測(cè)試窗口內(nèi)確保系統(tǒng)無關(guān)鍵業(yè)務(wù)運(yùn)行，若需調(diào)整測(cè)試窗口需提前____個(gè)工作日書面通知乙方；（3）對(duì)乙方發(fā)現(xiàn)的漏洞及時(shí)組織整改，若無法立即整改需書面說明原因及整改計(jì)劃；（4）按協(xié)議約定支付服務(wù)費(fèi)用；（5）不得要求乙方進(jìn)行超出協(xié)議約定范圍的測(cè)試（如攻擊第三方系統(tǒng)）。2.乙方權(quán)利義務(wù)1.1權(quán)利：（1）要求甲方提供必要的配合及資料；（2）按協(xié)議約定收取服務(wù)費(fèi)用；（3）對(duì)甲方未配合導(dǎo)致的服務(wù)延遲不承擔(dān)責(zé)任。1.2義務(wù)：（1）確保具備協(xié)議約定的資質(zhì)，測(cè)試人員具備相應(yīng)技術(shù)能力；（2）測(cè)試過程中嚴(yán)格遵守規(guī)范，不得未經(jīng)甲方允許擴(kuò)大測(cè)試范圍，不得泄露測(cè)試中接觸的任何甲方信息；（3）按時(shí)交付滲透測(cè)試報(bào)告（含漏洞清單、CVSS評(píng)分、風(fēng)險(xiǎn)等級(jí)、整改建議）；（4）運(yùn)維期間按約定響應(yīng)甲方需求，不得拖延；（5）對(duì)測(cè)試中發(fā)現(xiàn)的甲方系統(tǒng)漏洞承擔(dān)保密義務(wù)，不得向第三方泄露。三、服務(wù)交付物及交付時(shí)間1.滲透測(cè)試交付物：（1）《滲透測(cè)試初步報(bào)告》：測(cè)試開始后____個(gè)工作日內(nèi)交付（含已發(fā)現(xiàn)漏洞清單）；（2）《滲透測(cè)試最終報(bào)告》：測(cè)試結(jié)束后____個(gè)工作日內(nèi)交付（含完整漏洞分析、風(fēng)險(xiǎn)評(píng)估、整改建議）；（3）附件：漏洞證明材料（如截圖、POC等）。2.運(yùn)維服務(wù)交付物：（1）《漏洞跟蹤周報(bào)》：每周一交付上周整改進(jìn)度；（2）《應(yīng)急響應(yīng)報(bào)告》：應(yīng)急事件處置結(jié)束后____個(gè)工作日內(nèi)交付；（3）《定期復(fù)測(cè)報(bào)告》：每次復(fù)測(cè)結(jié)束后____個(gè)工作日內(nèi)交付；（4）《月度安全咨詢記錄》：每月底交付當(dāng)月咨詢服務(wù)記錄。四、費(fèi)用及支付1.費(fèi)用總額：人民幣_(tái)_______元（大寫：_________________________），包含滲透測(cè)試費(fèi)、運(yùn)維服務(wù)費(fèi)、報(bào)告編制費(fèi)，不含甲方系統(tǒng)整改費(fèi)用。2.支付方式：（1）第一期：協(xié)議簽訂后____個(gè)工作日內(nèi)，支付總額的____%，即人民幣_(tái)_______元；（2）第二期：《滲透測(cè)試最終報(bào)告》交付并經(jīng)甲方確認(rèn)后____個(gè)工作日內(nèi)，支付總額的____%，即人民幣_(tái)_______元；（3）第三期：運(yùn)維服務(wù)結(jié)束并經(jīng)甲方確認(rèn)后____個(gè)工作日內(nèi)，支付總額的____%，即人民幣_(tái)_______元。3.發(fā)票要求：乙方應(yīng)在每期付款前提供等額合法發(fā)票（□增值稅專用發(fā)票□增值稅普通發(fā)票），稅率按國家規(guī)定執(zhí)行。4.逾期付款：甲方逾期付款的，每逾期一日按應(yīng)付未付金額的____‰支付違約金，逾期超過____日的，乙方有權(quán)暫停服務(wù)。五、知識(shí)產(chǎn)權(quán)1.甲方系統(tǒng)的知識(shí)產(chǎn)權(quán)歸甲方所有，乙方不得擅自使用、復(fù)制或向第三方泄露甲方系統(tǒng)的任何信息。2.乙方交付的《滲透測(cè)試報(bào)告》《運(yùn)維報(bào)告》等交付物的知識(shí)產(chǎn)權(quán)歸乙方所有，甲方僅可用于本協(xié)議約定的目的（系統(tǒng)安全整改及運(yùn)維），不得向第三方泄露或用于商業(yè)用途。六、保密條款1.雙方應(yīng)對(duì)在本協(xié)議履行過程中接觸的對(duì)方商業(yè)秘密（如系統(tǒng)架構(gòu)、業(yè)務(wù)數(shù)據(jù)、客戶信息）、技術(shù)秘密（如漏洞詳情、整改方案）承擔(dān)保密義務(wù)，未經(jīng)對(duì)方書面同意不得向任何第三方泄露。2.保密期限：自本協(xié)議簽訂之日起至協(xié)議終止后____年。3.泄露責(zé)任：任何一方違反保密義務(wù)的，應(yīng)賠償對(duì)方因此遭受的全部損失（包括直接損失、間接損失及維權(quán)費(fèi)用），情節(jié)嚴(yán)重的，對(duì)方有權(quán)解除協(xié)議。七、違約責(zé)任1.乙方未按協(xié)議約定時(shí)間交付交付物的，每逾期一日按服務(wù)總額的____‰支付違約金，逾期超過____日的，甲方有權(quán)解除協(xié)議，乙方應(yīng)退還已收款項(xiàng)并支付總額____%的違約金。2.乙方因操作不當(dāng)導(dǎo)致甲方系統(tǒng)數(shù)據(jù)丟失、業(yè)務(wù)中斷的，應(yīng)賠償甲方因此遭受的直接損失（以實(shí)際發(fā)生的損失為準(zhǔn)，需提供相應(yīng)證明）。3.甲方未按約定提供配合導(dǎo)致服務(wù)延遲的，責(zé)任由甲方承擔(dān)，服務(wù)周期相應(yīng)順延。八、風(fēng)險(xiǎn)責(zé)任1.乙方在測(cè)試前已向甲方告知測(cè)試可能存在的風(fēng)險(xiǎn)（如系統(tǒng)短暫異常），甲方確認(rèn)已知悉并同意承擔(dān)自身系統(tǒng)固有脆弱性導(dǎo)致的風(fēng)險(xiǎn)。2.因不可抗力（如自然災(zāi)害、政策變化、第三方攻擊）導(dǎo)致服務(wù)無法履行的，雙方互不承擔(dān)責(zé)任，但應(yīng)及時(shí)通知對(duì)方并采取補(bǔ)救措施。九、協(xié)議變更與解除1.協(xié)議變更需雙方書面協(xié)商一致并簽訂補(bǔ)充協(xié)議。2.一方出現(xiàn)下列情形之一的，另一方有權(quán)解除協(xié)議：（1）甲方逾期付款超過____日，經(jīng)催告仍未支付的；（2）乙方資質(zhì)失效或測(cè)試人員不具備相應(yīng)能力，無法完成服務(wù)的；（3）一方違反保密義務(wù)，給對(duì)方造成重大損失的。3.協(xié)議解除后，乙方應(yīng)退還未履行服務(wù)對(duì)應(yīng)的費(fèi)用，甲方應(yīng)支付已履行服務(wù)的費(fèi)用。十、爭議解決1.因本協(xié)議產(chǎn)生的爭議，雙方應(yīng)首先協(xié)商解決；協(xié)商不成的，提交________仲裁委員會(huì)（或甲方所在地人民法院），按其現(xiàn)行有效的仲裁規(guī)則（或訴訟程序）解決。2.爭議解決期間，除爭議事項(xiàng)外，雙方應(yīng)繼續(xù)履行協(xié)議其他條款。十一、其他1.本協(xié)議自雙方簽字蓋章之日起生效，有效期至________年________月________日。2.附件（附件1：測(cè)試范圍確認(rèn)單；附件2：乙方資質(zhì)復(fù)印件；附件3：服務(wù)進(jìn)度表）為本協(xié)議組成部分，與本協(xié)議具有同等法律效力。3.本協(xié)議一式____份，甲乙雙方各執(zhí)____份，具有同等法律效力。甲方（蓋章）：_________________________法定代表人/授權(quán)代表（簽字）：_________________________日期：________年________月________日乙方（蓋章）：_________________________法定代表人/授權(quán)代表（簽字）：_________________________日期：________年________月________日附件1：測(cè)試范圍確認(rèn)單甲方指定測(cè)試系統(tǒng)清單：1.系統(tǒng)名稱：________IP地址：________端口范圍：________測(cè)試類型：________2.________...甲方確認(rèn)（簽字）：________日期：________乙方確認(rèn)（簽字）：________日期：________附件2：乙方資