企業(yè)數(shù)據(jù)安全風險評估協(xié)議2025年責任劃分鑒于委托方（以下簡稱“甲方”）希望委托受托方（以下簡稱“乙方”）對其信息系統(tǒng)及數(shù)據(jù)處理活動進行數(shù)據(jù)安全風險評估，并就評估過程中雙方的權(quán)利、義務和責任進行明確約定，依據(jù)《中華人民共和國民法典》及相關(guān)法律法規(guī)，雙方經(jīng)友好協(xié)商，達成協(xié)議如下：第一條定義1.1甲方：指委托乙方進行數(shù)據(jù)安全風險評估的企業(yè)或組織。1.2乙方：指接受甲方委托，提供數(shù)據(jù)安全風險評估服務的專業(yè)機構(gòu)。1.3數(shù)據(jù)：指任何以電子或其他方式記錄的與個人相關(guān)或與業(yè)務運營相關(guān)的信息，包括但不限于個人信息、商業(yè)秘密、財務數(shù)據(jù)、操作數(shù)據(jù)等。1.4信息系統(tǒng)：指用于收集、存儲、處理、傳輸數(shù)據(jù)的硬件、軟件、網(wǎng)絡及其組合。1.5風險評估：指依據(jù)相關(guān)標準和方法，識別信息系統(tǒng)及數(shù)據(jù)處理活動中的資產(chǎn)、威脅、脆弱性，分析風險發(fā)生的可能性和影響程度，并確定風險等級的過程。1.6評估范圍：指本協(xié)議約定的進行風險評估的具體系統(tǒng)、業(yè)務流程、數(shù)據(jù)類型或數(shù)據(jù)處理的邊界。1.7評估報告：指乙方完成風險評估工作后向甲方提交的，包含評估過程、發(fā)現(xiàn)、分析和建議的書面文件。1.8保密信息：指雙方在履行本協(xié)議過程中獲悉的，一方為獲取該信息已支付合理成本且要求保密的，與數(shù)據(jù)安全、業(yè)務運營相關(guān)的任何非公開信息，包括但不限于技術(shù)信息、商業(yè)計劃、客戶信息、評估過程中獲取的甲方系統(tǒng)配置和訪問憑證等。1.9法律法規(guī)：指截至本協(xié)議簽訂之日及評估期間，適用于甲方信息系統(tǒng)及數(shù)據(jù)處理活動相關(guān)的所有國家、地方性法律、法規(guī)、規(guī)章、標準及政策要求。第二條評估范圍與目的2.1甲方同意將【請在此處明確具體的評估范圍，例如：涉及處理個人信息的生產(chǎn)業(yè)務系統(tǒng)A、B，或覆蓋公司所有部門的電子文檔管理系統(tǒng)等】作為本次風險評估的對象。2.2評估目的在于識別甲方在數(shù)據(jù)安全方面存在的風險，評估其合規(guī)性水平，并提供改進建議，以幫助甲方提升數(shù)據(jù)安全防護能力。第三條甲方的權(quán)利與義務3.1甲方有權(quán)要求乙方按照本協(xié)議約定及專業(yè)標準開展風險評估工作，并有權(quán)了解評估的進度和主要發(fā)現(xiàn)。3.2甲方應向乙方提供為開展風險評估所必需的、真實、準確、完整的背景信息，包括但不限于：a)甲方業(yè)務概況、組織架構(gòu)及數(shù)據(jù)處理活動說明；b)涉及的資產(chǎn)清單（包括硬件、軟件、數(shù)據(jù)、服務、人員等）及其重要程度；c)現(xiàn)有的數(shù)據(jù)安全策略、管理制度、技術(shù)措施（如加密、訪問控制、備份恢復等）；d)相關(guān)的法律法規(guī)遵守情況說明；e)過往發(fā)生的安全事件或違規(guī)情況（如有）。3.3甲方應確保乙方評估人員能夠按照約定方式（包括但不限于遠程訪問、現(xiàn)場訪談、文檔查閱等）訪問評估范圍內(nèi)所需的系統(tǒng)和信息。3.4甲方應在評估期間指定一名或多名項目接口人，負責與乙方就評估事宜進行溝通、協(xié)調(diào)和決策，并確保其有權(quán)獲取必要的內(nèi)部支持。3.5甲方應積極配合乙方的工作，及時響應乙方提出的合理請求，提供必要的協(xié)助，確保評估工作順利進行。3.6甲方應確保其提供或乙方在評估過程中接觸到的其自身的保密信息得到妥善保管，并監(jiān)督乙方遵守保密義務。3.7甲方應確認，其授權(quán)乙方進行評估的行為已獲得內(nèi)部必要的批準。3.8甲方應對其自身的數(shù)據(jù)處理活動及系統(tǒng)安全負最終責任，并負責根據(jù)評估結(jié)果采取后續(xù)的風險處置措施。第四條乙方的權(quán)利與義務4.1乙方有權(quán)要求甲方履行本協(xié)議項下的義務，提供開展風險評估工作所需的條件和信息。4.2乙方應確保其具備執(zhí)行本次風險評估所需的、符合行業(yè)公認的資質(zhì)、專業(yè)的知識、經(jīng)驗和技術(shù)能力。4.3乙方應組建具備相應能力的評估團隊，并指派項目負責人與甲方對接。4.4乙方應按照國家及行業(yè)相關(guān)標準（如適用，可列舉具體標準編號，例如：參照ISO27005、中國GB/T35273等）和雙方約定的評估方法、流程進行風險評估，確保評估過程的獨立性和客觀性。4.5乙方應在其專業(yè)能力范圍內(nèi)，審慎、認真地開展評估工作，并對評估結(jié)果的準確性和客觀性負責。4.6乙方應對在評估過程中接觸到的甲方的保密信息承擔嚴格的保密義務，未經(jīng)甲方書面同意，不得以任何形式向任何第三方（法律法規(guī)另有規(guī)定或為履行本協(xié)議所必需者除外）泄露、披露或使用。評估結(jié)束后，應按照甲方要求或約定返還或銷毀相關(guān)保密信息。4.7乙方應按時完成評估工作，并向甲方提交內(nèi)容清晰、結(jié)論明確的評估報告。在評估過程中，應根據(jù)需要與甲方保持溝通，解釋評估發(fā)現(xiàn)。4.8乙方應確保其評估人員遵守甲方的合理安全規(guī)定，并采取必要措施保護甲方信息系統(tǒng)的安全。4.9乙方應明示其報告結(jié)論是基于評估期間甲方提供的信息和乙方觀察到的狀況，并指出評估結(jié)果不構(gòu)成對甲方系統(tǒng)或操作絕對無風險的保證。第五條評估過程5.1乙方應在收到甲方提供的必要信息和授權(quán)后，制定詳細的評估計劃，并與甲方確認。5.2評估工作可能包括但不限于訪談、文檔審查、配置核查、技術(shù)測試、模擬攻擊等手段。具體方法應事先與甲方溝通。5.3乙方應妥善管理評估過程，確保評估活動的可控性和對甲方業(yè)務運營的影響在可接受范圍內(nèi)。第六條評估報告6.1乙方應在【請在此處約定提交報告的時間，例如：協(xié)議生效后XX個工作日內(nèi)或?qū)嶋H評估工作完成后的XX個工作日內(nèi)】向甲方提交正式的評估報告。6.2評估報告應包含但不限于：評估概述、評估范圍和方法、資產(chǎn)識別與價值評定、威脅分析、脆弱性分析、風險識別與評估（包括可能性、影響程度、風險等級）、合規(guī)性問題匯總、風險處置建議（短期和長期）等內(nèi)容。6.3甲方應在收到報告后【請在此處約定時間，例如：XX個工作日】內(nèi)組織內(nèi)部評審，并提出反饋意見（如有）。乙方根據(jù)甲方反饋，在合理期限內(nèi)對報告進行必要的修改和完善。第七條費用與支付7.1本協(xié)議項下的風險評估服務費用為人民幣【請在此處填寫具體金額】元（大寫：【請在此處填寫大寫金額】）。7.2甲方應在本協(xié)議簽訂后【請在此處約定天數(shù)，例如：5】個工作日內(nèi)向乙方支付總費用的【百分比或金額，例如：50%】作為預付款。7.3乙方完成全部評估工作，并向甲方提交最終評估報告后【請在此處約定天數(shù)，例如：10】個工作日內(nèi)，甲方應向乙方支付剩余的【百分比或金額，例如：50%】作為尾款。7.4支付方式：甲方應將款項支付至乙方指定的以下銀行賬戶：賬戶名稱：【乙方賬戶名】開戶銀行：【乙方開戶行】銀行賬號：【乙方銀行賬號】7.5乙方在提供服務過程中產(chǎn)生的合理差旅費用（如適用），經(jīng)甲方事先書面批準后，由甲方承擔。具體標準可另行協(xié)商或在協(xié)議中約定。第八條保密義務8.1甲乙雙方應對本協(xié)議內(nèi)容以及因履行本協(xié)議而獲知的對方保密信息承擔連帶保密義務。8.2保密義務不因本協(xié)議的終止而失效，持續(xù)有效期限為本協(xié)議終止后【請在此處約定年限，例如：三】年。8.3任何一方未經(jīng)對方書面同意，不得向任何第三方披露、許可使用或允許他人接觸其保密信息，但法律法規(guī)要求披露或為履行本協(xié)議目的而必需者除外。8.4雙方應采取不低于保護自身同類保密信息的謹慎程度來保護對方的保密信息，防止泄露、篡改或丟失。第九條責任劃分9.1甲方責任：甲方對因其提供信息不真實、不準確、不完整或因其未能履行其他配合義務而導致評估結(jié)果偏差或乙方產(chǎn)生額外工作，自行承擔責任。甲方對其自身系統(tǒng)及數(shù)據(jù)處理活動的安全性和合規(guī)性負最終責任，包括因評估后未采取適當措施而產(chǎn)生的風險。9.2乙方責任：乙方應盡到與其專業(yè)能力相匹配的勤勉和盡責，按照約定和標準開展評估工作。若因乙方在評估過程中的故意或重大過失（如使用不當方法、提供虛假分析、重大疏忽等），導致評估報告存在嚴重錯誤，并給甲方造成直接經(jīng)濟損失，乙方應在合理范圍內(nèi)承擔賠償責任，但賠償總額一般不超過甲方支付給乙方的評估費用總額。乙方不對評估結(jié)果被甲方或第三方如何使用負責。9.3賠償限制：雙方同意，任何一方在本協(xié)議項下承擔的賠償責任，以該方直接遭受的、可證明的損失為限。任何一方不對另一方的間接損失、潛在損失、consequentialdamages（后果性損害）或特殊損失承擔責任，除非該損失是由于違約方的故意或重大過失造成的。本協(xié)議的賠償責任上限條款不影響因違反保密義務、侵犯知識產(chǎn)權(quán)或造成人身傷害等特殊情況下責任適用的強制性規(guī)定。第十條法律適用與爭議解決10.1本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律。10.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應首先通過友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭議提交【請在此處選擇仲裁或訴訟，并明確具體機構(gòu)或法院，例如：提交北京仲裁委員會，按照其屆時有效的仲裁規(guī)則進行仲裁；或提交有管轄權(quán)的人民法院訴訟解決】。第十一條協(xié)議的變更與解除11.1對本協(xié)議的任何修改或補充，均須經(jīng)雙方書面同意。11.2除本協(xié)議另有約定外，任何一方未經(jīng)對方書面同意，不得單方面解除本協(xié)議。若發(fā)生嚴重違約行為，守約方有權(quán)書面通知違約方解除本協(xié)議，并要求其承擔違約責任。第十二條協(xié)議期限與終止12.1本協(xié)議自雙方授權(quán)代表簽字并加蓋公章（或合同專用章）之日起生效，有效期為自生效之日起【請在此處約定年限，例如：一年】。12.2協(xié)議期滿，如雙方均有意繼續(xù)合作，應在期滿前【請在此處約定時間，例如：一個月】內(nèi)協(xié)商續(xù)簽事宜。期滿未續(xù)簽的，本協(xié)議自動終止。12.3協(xié)議終止后，雙方應按照約定返還或銷毀對方的保密信息。保密義務及爭議解決條款在本協(xié)議終止后繼續(xù)有效。第十三條其他13.1本協(xié)議構(gòu)成雙方就本協(xié)議標的事項達成的完整協(xié)議，取代此前所有口頭或書面的約定、諒解。13.2本協(xié)議未盡事宜，由雙方另行協(xié)商簽訂補充協(xié)議。補充協(xié)議與本協(xié)議具有同等法律效力。13.3本協(xié)議的所有通知應以書面形式（包括但不限于信函、傳真、電子郵件）發(fā)送至本協(xié)議首頁載明的地址或郵箱。13.4本協(xié)議一式【