網(wǎng)絡(luò)安全系統(tǒng)檢測協(xié)議鑒于甲方希望委托乙方進(jìn)行網(wǎng)絡(luò)安全系統(tǒng)檢測服務(wù)，乙方具有相應(yīng)的專業(yè)能力和資質(zhì)，雙方經(jīng)友好協(xié)商，達(dá)成協(xié)議如下：第一條定義在本協(xié)議中，下列詞語具有以下含義：（一）“網(wǎng)絡(luò)安全系統(tǒng)”是指甲方擁有或運(yùn)營的，用于保護(hù)網(wǎng)絡(luò)信息安全的硬件、軟件、設(shè)備、數(shù)據(jù)及相關(guān)管理制度的總和，包括但不限于網(wǎng)絡(luò)邊界防護(hù)設(shè)備、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序、內(nèi)部網(wǎng)絡(luò)架構(gòu)等；（二）“檢測范圍”是指乙方根據(jù)本協(xié)議約定對甲方指定的網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行的檢測活動邊界和內(nèi)容；（三）“服務(wù)報告”是指乙方在完成檢測服務(wù)后向甲方提供的，關(guān)于檢測過程、發(fā)現(xiàn)的問題、風(fēng)險評估及修復(fù)建議的書面或電子文檔；（四）“保密信息”是指雙方在履行本協(xié)議過程中接觸到的、不屬于公開信息且標(biāo)有“保密”字樣或根據(jù)其性質(zhì)應(yīng)合理認(rèn)定為保密的任何信息，包括但不限于甲方的業(yè)務(wù)信息、技術(shù)信息、系統(tǒng)配置、檢測數(shù)據(jù)、服務(wù)報告全文、乙方的商業(yè)秘密、技術(shù)方案等；（五）“服務(wù)水平”是指乙方承諾完成本協(xié)議約定服務(wù)的質(zhì)量標(biāo)準(zhǔn)，包括但不限于檢測的及時性、報告的準(zhǔn)確性等。第二條服務(wù)范圍與對象（一）檢測對象：甲方同意將【請在此處具體列明被檢測的網(wǎng)絡(luò)資產(chǎn)、系統(tǒng)、應(yīng)用或服務(wù)，例如：位于IP地址段192.168.1.0/24內(nèi)的內(nèi)部網(wǎng)絡(luò)、Web服務(wù)器群組、名為“database01”的SQL數(shù)據(jù)庫服務(wù)器等】作為本次網(wǎng)絡(luò)安全系統(tǒng)檢測的對象。（二）檢測范圍：乙方將根據(jù)甲方需求及行業(yè)最佳實(shí)踐，對上述檢測對象進(jìn)行以下方面的檢測：1.網(wǎng)絡(luò)架構(gòu)安全評估，包括網(wǎng)絡(luò)拓?fù)洹⑦吔绶雷o(hù)策略有效性等；2.系統(tǒng)漏洞掃描與評估，覆蓋操作系統(tǒng)、中間件、應(yīng)用軟件等；3.配置合規(guī)性檢查，對照甲方內(nèi)部安全基線或相關(guān)標(biāo)準(zhǔn)進(jìn)行；4.安全策略有效性測試，如訪問控制、日志審計策略等；5.【可根據(jù)實(shí)際情況增刪檢測項目，例如：進(jìn)行有限范圍的滲透測試以驗證關(guān)鍵漏洞可利用性、對特定應(yīng)用進(jìn)行安全代碼審查等】。（三）不包含的服務(wù)：本協(xié)議約定的服務(wù)不包括對發(fā)現(xiàn)問題的修復(fù)實(shí)施、日常安全運(yùn)維服務(wù)、持續(xù)安全監(jiān)控服務(wù)、員工安全意識培訓(xùn)等，如甲方需要，可另行協(xié)商簽訂服務(wù)協(xié)議。第三條服務(wù)過程與執(zhí)行（一）檢測方法：乙方將采用業(yè)界認(rèn)可的安全檢測工具和技術(shù)標(biāo)準(zhǔn)進(jìn)行檢測，可能包括但不限于使用Nmap、Nessus、OpenVAS等掃描工具進(jìn)行端口探測和漏洞掃描，使用Metasploit等工具進(jìn)行漏洞驗證，以及結(jié)合手動分析、配置核查等方法。具體的檢測方案將在服務(wù)開始前提交甲方確認(rèn)。（二）檢測時間與窗口：本協(xié)議約定的檢測服務(wù)應(yīng)在【請?zhí)顚懢唧w起始日期】至【請?zhí)顚懢唧w結(jié)束日期】期間完成。乙方將根據(jù)甲方業(yè)務(wù)情況，協(xié)調(diào)安排在【請?zhí)顚懡ㄗh的檢測時間段或具體日期范圍，例如：工作日的非高峰時段】進(jìn)行實(shí)際檢測，乙方人員進(jìn)入甲方場所需遵守甲方相關(guān)管理規(guī)定。（三）客戶配合義務(wù)：甲方應(yīng)確保乙方檢測人員獲得執(zhí)行檢測任務(wù)所必需的必要訪問權(quán)限（包括但不限于網(wǎng)絡(luò)設(shè)備管理權(quán)限、服務(wù)器本地訪問權(quán)限、應(yīng)用測試賬號等），及時提供檢測所需的系統(tǒng)信息、配置文檔和安全策略，并指定一名聯(lián)絡(luò)人負(fù)責(zé)溝通協(xié)調(diào)。（四）檢測方行為規(guī)范：乙方檢測人員在執(zhí)行檢測過程中，應(yīng)遵守國家法律法規(guī)及甲方現(xiàn)場管理規(guī)定，不得從事與檢測任務(wù)無關(guān)的活動，不得泄露甲方的非保密信息，并采取措施盡量減少對甲方正常業(yè)務(wù)運(yùn)營的影響。第四條報告與交付（一）報告內(nèi)容：乙方應(yīng)在本協(xié)議約定的檢測服務(wù)完成后【請?zhí)顚懢唧w天數(shù)，例如：7】個工作日內(nèi)，向甲方交付詳細(xì)的服務(wù)報告。報告應(yīng)至少包括：服務(wù)概述、檢測范圍與方法、詳細(xì)檢測發(fā)現(xiàn)（按嚴(yán)重程度分類，如危、高、中、低），每個問題的具體描述、潛在業(yè)務(wù)影響評估、以及針對性的修復(fù)建議和優(yōu)先級排序。（二）報告形式：服務(wù)報告應(yīng)以電子文檔形式（建議PDF格式）交付，并可應(yīng)甲方要求提供紙質(zhì)版。（三）交付時間：乙方應(yīng)確保在【請?zhí)顚憴z測活動結(jié)束日期】后的【請?zhí)顚憟蟾娼桓稌r限，例如：10】個工作日內(nèi)，將完整的服務(wù)報告交付給甲方指定聯(lián)系人。第五條費(fèi)用與支付（一）服務(wù)費(fèi)用：甲方同意向乙方支付本次網(wǎng)絡(luò)安全系統(tǒng)檢測服務(wù)的費(fèi)用總額為人民幣【請?zhí)顚懢唧w金額】元（大寫：【請?zhí)顚懘髮懡痤~】整）。（二）費(fèi)用構(gòu)成：【如需細(xì)化，請在此處列明，例如：基礎(chǔ)掃描評估費(fèi)用XX元，滲透測試費(fèi)用XX元，報告編寫費(fèi)用XX元等】。此費(fèi)用【包含/不包含】稅費(fèi)。（三）支付方式：甲方應(yīng)通過銀行轉(zhuǎn)賬方式將服務(wù)費(fèi)用支付至乙方以下賬戶：開戶名稱：【請?zhí)顚懸曳介_戶名稱】開戶銀行：【請?zhí)顚懸曳介_戶銀行名稱】銀行賬號：【請?zhí)顚懸曳姐y行賬號】（四）支付時間節(jié)點(diǎn)：甲方應(yīng)在本協(xié)議簽訂后【請?zhí)顚懱鞌?shù)，例如：3】個工作日內(nèi)支付總費(fèi)用的【百分比，例如：50%】作為預(yù)付款；在乙方提交最終服務(wù)報告并經(jīng)甲方驗收合格后【請?zhí)顚懱鞌?shù)，例如：5】個工作日內(nèi)支付剩余的【百分比，例如：50%】作為尾款。（五）稅費(fèi)：【如費(fèi)用不包含稅費(fèi)，則需說明稅費(fèi)由甲方承擔(dān)或注明具體稅種及稅率】。第六條保密條款（一）甲乙雙方確認(rèn)，在本協(xié)議履行及協(xié)議終止后【請?zhí)顚懩晗?，例如：三】年?nèi)，雙方均負(fù)有對在本協(xié)議履行過程中接觸到的對方保密信息承擔(dān)保密義務(wù)。（二）任何一方僅能將接收到的保密信息用于履行本協(xié)議之目的，不得以任何方式（包括但不限于泄露、披露、復(fù)制、使用）向任何第三方（但甲方內(nèi)部為履行本協(xié)議需要知悉的人員、以及乙方內(nèi)部為履行本協(xié)議需要知悉的人員，且該等人員已簽署保密協(xié)議或受同等保密義務(wù)約束者除外）透露或使用該等保密信息。（三）未經(jīng)對方書面同意，任何一方不得向任何第三方披露（包括出售、出租或以其他任何方式）其從對方獲取的保密信息，但法律法規(guī)要求或有權(quán)機(jī)關(guān)強(qiáng)制要求披露的除外，在此情況下，披露方應(yīng)在法律允許范圍內(nèi)盡力提前通知對方。（四）雙方應(yīng)采取不低于保護(hù)自身同類保密信息的謹(jǐn)慎程度來保護(hù)對方的保密信息，但無論如何，均不得將對方的保密信息用于本協(xié)議約定之外的任何目的。第七條知識產(chǎn)權(quán)（一）乙方在提供本協(xié)議項下服務(wù)過程中使用的所有軟件、工具、方法的知識產(chǎn)權(quán)歸乙方所有。（二）基于本協(xié)議約定的服務(wù)內(nèi)容，由乙方為甲方定制開發(fā)或分析產(chǎn)生的、最終嵌入在服務(wù)報告中的原始分析數(shù)據(jù)、方法論及報告本身的整體知識產(chǎn)權(quán)，在甲方付清全部服務(wù)費(fèi)用后，歸屬于甲方所有。（三）乙方有權(quán)在內(nèi)部培訓(xùn)、案例研究或公開宣傳（例如：行業(yè)會議演講、公司網(wǎng)站展示）中，引用本協(xié)議項下服務(wù)的非具體、非敏感性的成果或經(jīng)驗，但進(jìn)行此類引用前應(yīng)征得甲方書面同意。第八條責(zé)任與賠償（一）乙方保證其提供的檢測服務(wù)符合約定的范圍和標(biāo)準(zhǔn)，并對服務(wù)報告中所列問題的描述和基于合理專業(yè)判斷提出的建議負(fù)責(zé)。乙方不對因檢測活動或報告內(nèi)容而導(dǎo)致的甲方任何直接或間接損失（包括但不限于業(yè)務(wù)中斷、數(shù)據(jù)損壞、聲譽(yù)損失、第三方索賠等）承擔(dān)責(zé)任，除非該等損失是由乙方或其員工在提供服務(wù)過程中的故意或重大過失直接造成的。（二）甲方保證其提供的配合信息真實(shí)、準(zhǔn)確、完整。因甲方提供的信息不準(zhǔn)確或遺漏導(dǎo)致檢測結(jié)果偏差或遺漏問題的，乙方不承擔(dān)責(zé)任。（三）雙方各自對因違反本協(xié)議而給對方造成的損失承擔(dān)賠償責(zé)任，但賠償金額應(yīng)以實(shí)際發(fā)生損失為限，且每方累計賠償總額不超過本協(xié)議約定的服務(wù)費(fèi)用總額【或具體金額】元。雙方同意，本協(xié)議的賠償責(zé)任是相互獨(dú)立的。第九條期限與終止（一）本協(xié)議自雙方授權(quán)代表簽字并加蓋公章（或合同專用章）之日起生效，有效期為自協(xié)議簽訂之日起至乙方交付最終服務(wù)報告給甲方并甲方確認(rèn)收到之日止。（二）在協(xié)議有效期內(nèi)，任何一方如有嚴(yán)重違約行為（例如：一方未能履行關(guān)鍵義務(wù)導(dǎo)致協(xié)議目的無法實(shí)現(xiàn)、一方違反保密義務(wù)等），守約方有權(quán)書面通知違約方終止本協(xié)議。（三）協(xié)議終止后，乙方應(yīng)將其持有的包含甲方保密信息的所有資料（包括電子和紙質(zhì)形式）立即返還給甲方或按甲方要求進(jìn)行銷毀，并確保不會以任何方式向第三方披露。甲方應(yīng)結(jié)清所有未付款項。雙方就終止前的權(quán)利義務(wù)按本協(xié)議約定處理。第十條適用法律與爭議解決（一）本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律（為本協(xié)議之目的，不包括香港特別行政區(qū)、澳門特別行政區(qū)及臺灣地區(qū)法律）。（二）因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決；協(xié)商不成的，任何一方均有權(quán)將爭議提交至【請選擇并填寫具體仲裁機(jī)構(gòu)名稱及仲裁規(guī)則，例如：中國國際經(jīng)濟(jì)貿(mào)易仲裁委員會，按照其屆時有效的仲裁規(guī)則進(jìn)行仲裁】；或【如果選擇訴訟，請?zhí)顚懢唧w法院名稱，例如：甲方所在地有管轄權(quán)的人民法院】訴訟解決。第十一條其他條款（一）通知：雙方就本協(xié)議事項進(jìn)行的任何通知或通訊應(yīng)以書面形式，通過專人遞送、掛號信、傳真或電子郵件等方式發(fā)送至本協(xié)議首頁載明的地址或郵箱。以電子郵件方式發(fā)送的，發(fā)出時視為送達(dá)；以專人遞送或掛號信方式發(fā)送的，寄出后【請?zhí)顚懱鞌?shù)，例如：3】日視為送達(dá)。（二）完整協(xié)議：本協(xié)議及其附件（如有）構(gòu)成雙方就本協(xié)議標(biāo)的事項達(dá)成的完整協(xié)議，取代雙方此前就此達(dá)成的所有口頭或書面的協(xié)議、諒解或安排。（三）可分割性：若本協(xié)議任何條款被有管轄權(quán)的法院或仲裁機(jī)構(gòu)認(rèn)定無效或不可執(zhí)行，不影響其他條款的效力。雙方應(yīng)協(xié)商替換為內(nèi)容最接近、合法有效的條款。（四）修訂：對本協(xié)議的任何修改或補(bǔ)充，均須經(jīng)雙方書面同意并簽署補(bǔ)充協(xié)議，補(bǔ)充協(xié)議與本協(xié)議具有同等法律效力。（五）合規(guī)性：雙方均應(yīng)確保本協(xié)議的履行符合