網(wǎng)絡(luò)安全評估協(xié)議甲方（委托方）：[委托方公司全稱]法定代表人/授權(quán)代表：[姓名]地址：[公司注冊地址]聯(lián)系電話：[公司電話]統(tǒng)一社會信用代碼：[公司代碼]乙方（服務(wù)方）：[服務(wù)方公司全稱]法定代表人/授權(quán)代表：[姓名]地址：[公司注冊地址]聯(lián)系電話：[公司電話]統(tǒng)一社會信用代碼：[公司代碼]鑒于甲方希望委托乙方提供網(wǎng)絡(luò)安全評估服務(wù)，以識別其網(wǎng)絡(luò)環(huán)境中的安全風(fēng)險和脆弱性，并提升其網(wǎng)絡(luò)安全防護(hù)能力；乙方具備相應(yīng)的專業(yè)能力和資質(zhì)，愿意承接甲方的委托，雙方根據(jù)《中華人民共和國民法典》及相關(guān)法律法規(guī)的規(guī)定，經(jīng)友好協(xié)商，達(dá)成如下協(xié)議：第一條服務(wù)范圍與目的1.1乙方同意根據(jù)甲方的要求，對甲方指定的網(wǎng)絡(luò)環(huán)境、信息系統(tǒng)及應(yīng)用程序進(jìn)行網(wǎng)絡(luò)安全評估服務(wù)。1.2評估范圍包括但不限于甲方位于[具體地點，如不指定則寫明覆蓋甲方所有運營地點]的以下對象：（1）網(wǎng)絡(luò)基礎(chǔ)設(shè)施：覆蓋從網(wǎng)絡(luò)邊界到內(nèi)部核心區(qū)域，包括路由器、交換機(jī)、防火墻、無線接入點等網(wǎng)絡(luò)設(shè)備的配置與策略；（2）主機(jī)系統(tǒng)：包括但不限于操作系統(tǒng)為WindowsServer、LinuxServer的服務(wù)器，其版本信息為[可列出具體版本范圍或?qū)憽案黝愔髁靼姹尽盷；（3）數(shù)據(jù)庫系統(tǒng)：包括但不限于MySQL、Oracle、SQLServer等數(shù)據(jù)庫，版本信息為[可列出具體版本范圍或?qū)憽案黝愔髁靼姹尽盷；（4）應(yīng)用系統(tǒng)：包括但不限于[列出具體應(yīng)用名稱或類型，如Web應(yīng)用、ERP系統(tǒng)等]；（5）安全設(shè)備：包括但不限于入侵檢測/防御系統(tǒng)（IDS/IPS）、Web應(yīng)用防火墻（WAF）等的安全策略配置；（6）其他甲方要求納入評估范圍的內(nèi)容。1.3評估目的在于全面識別甲方網(wǎng)絡(luò)及系統(tǒng)中存在的安全風(fēng)險和已知脆弱性，分析潛在的安全威脅及其可能造成的影響，并為甲方提供具有針對性和可操作性的安全加固建議，幫助甲方提升整體網(wǎng)絡(luò)安全防護(hù)水平。第二條服務(wù)內(nèi)容與評估方法2.1乙方將按照國家相關(guān)標(biāo)準(zhǔn)（如GB/T22239等）、行業(yè)最佳實踐以及甲方具體要求，采用以下一種或多種方法開展評估工作：（1）信息收集與資產(chǎn)識別：通過公開信息查詢、資產(chǎn)管理系統(tǒng)查詢、網(wǎng)絡(luò)掃描等方式，識別評估范圍內(nèi)的資產(chǎn)信息。（2）安全配置核查：依據(jù)安全基線要求（如CIS基準(zhǔn)等），對網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等進(jìn)行配置核查，識別不合規(guī)配置。（3）漏洞掃描：使用專業(yè)的漏洞掃描工具，對評估范圍內(nèi)的資產(chǎn)進(jìn)行自動化漏洞探測。（4）滲透測試：模擬黑客攻擊行為，對網(wǎng)絡(luò)邊界、系統(tǒng)、應(yīng)用等進(jìn)行嘗試性入侵，以驗證漏洞的實際利用風(fēng)險。（5）安全日志分析：對相關(guān)安全設(shè)備或系統(tǒng)的日志進(jìn)行抽樣分析，檢查是否存在異常行為或攻擊跡象。（6）人員訪談與文檔查閱：根據(jù)需要，與甲方相關(guān)人員就安全管理制度、流程進(jìn)行訪談，查閱相關(guān)安全文檔。2.2乙方將制定詳細(xì)的《網(wǎng)絡(luò)安全評估計劃》，明確評估的時間安排、人員分工、具體方法和溝通機(jī)制，并提交甲方確認(rèn)。第三條交付成果3.1乙方在本協(xié)議約定的服務(wù)期限內(nèi)，向甲方交付以下成果：（1）《網(wǎng)絡(luò)安全評估計劃》（如需甲方確認(rèn)，則包含甲方確認(rèn)版本）；（2）《資產(chǎn)識別清單》；（3）《漏洞掃描報告》，詳細(xì)列出發(fā)現(xiàn)的漏洞信息、風(fēng)險等級、存在位置等；（4）《滲透測試報告》，詳細(xì)記錄測試過程、發(fā)現(xiàn)的可利用漏洞、攻擊路徑、業(yè)務(wù)影響分析及截圖等；（5）《風(fēng)險評估報告》，對已識別的威脅、脆弱性及其組合可能造成的影響進(jìn)行量化或定性評估，確定風(fēng)險等級；（6）《安全建議報告》，針對發(fā)現(xiàn)的安全問題，提出具體的、可操作的整改建議，并給出優(yōu)先級排序；（7）評估過程中產(chǎn)生的其他必要過程文檔。3.2所有交付成果將以電子文檔形式提供，并根據(jù)甲方要求提供紙質(zhì)版（如有）。第四條服務(wù)期限4.1本協(xié)議項下的網(wǎng)絡(luò)安全評估服務(wù)自乙方收到甲方支付的[第一期/首期]服務(wù)費之日起開始，預(yù)計于[具體日期，如“YYYY年MM月DD日”]完成現(xiàn)場工作，最終交付所有報告成果。4.2具體的服務(wù)起止日期以雙方確認(rèn)的《網(wǎng)絡(luò)安全評估計劃》為準(zhǔn)。如因甲方原因（如提供資料延遲、協(xié)調(diào)不力等）或不可抗力因素導(dǎo)致服務(wù)延期，服務(wù)期限相應(yīng)順延。第五條甲方的權(quán)利與義務(wù)5.1甲方有權(quán)要求乙方按照協(xié)議約定提供服務(wù)，并監(jiān)督服務(wù)過程。5.2甲方應(yīng)向乙方提供開展評估工作所必需的所有資料和信息，包括但不限于網(wǎng)絡(luò)拓?fù)鋱D、IP地址分配表、設(shè)備配置文檔、系統(tǒng)版本信息、訪問賬號（如需）、安全策略文件等。保證所提供資料和信息的真實性、準(zhǔn)確性和完整性。5.3甲方應(yīng)指定至少一名項目協(xié)調(diào)員，負(fù)責(zé)與乙方就評估事宜進(jìn)行溝通、協(xié)調(diào)，并確保乙方評估人員能夠順利進(jìn)入現(xiàn)場（如需）或獲取遠(yuǎn)程訪問權(quán)限。5.4甲方應(yīng)為乙方評估人員提供必要的工作條件，包括但不限于符合安全規(guī)范的辦公場所、必要的網(wǎng)絡(luò)接入、電源等。5.5甲方應(yīng)按照本協(xié)議第五條第六款的約定，按時足額支付服務(wù)費用。5.6甲方應(yīng)對乙方在評估過程中接觸到的其商業(yè)秘密、技術(shù)信息、客戶數(shù)據(jù)等承擔(dān)保密義務(wù)，未經(jīng)乙方書面同意，不得向任何第三方泄露。第六條乙方的權(quán)利與義務(wù)6.1乙方有權(quán)按照本協(xié)議第二條約定的方法和范圍開展評估工作。6.2乙方應(yīng)確保執(zhí)行評估任務(wù)的人員具備相應(yīng)的專業(yè)資質(zhì)和經(jīng)驗。6.3乙方應(yīng)采取嚴(yán)格的技術(shù)和管理措施，保護(hù)甲方在評估過程中提供的資料和信息的安全，以及甲方網(wǎng)絡(luò)和系統(tǒng)的安全，不得因評估活動導(dǎo)致甲方網(wǎng)絡(luò)或系統(tǒng)出現(xiàn)中斷、損壞或信息泄露。6.4乙方應(yīng)按照本協(xié)議第三條約定的內(nèi)容和標(biāo)準(zhǔn)，按時、保質(zhì)地完成評估工作，并交付所有成果。6.5乙方應(yīng)指定項目負(fù)責(zé)人作為與甲方的主要溝通協(xié)調(diào)人，及時向甲方匯報工作進(jìn)展，解答甲方疑問。6.6乙方應(yīng)對在服務(wù)過程中了解的甲方的商業(yè)秘密、技術(shù)信息、客戶數(shù)據(jù)等承擔(dān)保密義務(wù)，未經(jīng)甲方書面同意，不得向任何第三方泄露。第七條費用與支付7.1本協(xié)議項下的網(wǎng)絡(luò)安全評估服務(wù)費總額為人民幣[金額大寫]元整（￥[金額小寫]）。7.2費用構(gòu)成包括但不限于人員成本、評估工具使用費、報告編寫費等。7.3支付方式：甲方通過銀行轉(zhuǎn)賬方式支付乙方服務(wù)費。（1）第一期/首期服務(wù)費：人民幣[金額大寫]元整（￥[金額小寫]），甲方應(yīng)在簽訂本協(xié)議后[具體天數(shù)，如“7”]個工作日內(nèi)支付至乙方指定賬戶。（2）第二期/尾期服務(wù)費：人民幣[金額大寫]元整（￥[金額小寫]），甲方應(yīng)在乙方完成現(xiàn)場評估工作，并交付所有評估成果的[具體天數(shù)，如“5”]個工作日內(nèi)支付至乙方指定賬戶。7.4乙方應(yīng)在收到甲方款項后，向甲方開具等額、合法的增值稅[發(fā)票類型，如“專用/普通”]發(fā)票。第八條驗收標(biāo)準(zhǔn)與流程8.1甲方在收到乙方提交的全部交付成果后[具體天數(shù)，如“10”]個工作日內(nèi)進(jìn)行驗收。8.2驗收標(biāo)準(zhǔn)：交付成果應(yīng)完整、準(zhǔn)確地反映評估范圍，內(nèi)容符合本協(xié)議第二條約定的評估方法和目的要求。8.3驗收流程：（1）甲方組織內(nèi)部驗收，并就交付成果提出書面意見。（2）如甲方對交付成果有異議，應(yīng)在上述驗收期內(nèi)向乙方提出，雙方應(yīng)友好協(xié)商解決。協(xié)商不成的，可依據(jù)本協(xié)議第十三條約定處理。（3）如甲方在上述驗收期內(nèi)未提出書面異議，視為驗收合格。甲方應(yīng)簽署《項目驗收確認(rèn)書》或以其他書面形式（如郵件確認(rèn)）確認(rèn)驗收合格。第九條保密條款9.1甲乙雙方應(yīng)對在本協(xié)議簽訂及履行過程中獲悉的對方的任何商業(yè)秘密、技術(shù)信息、經(jīng)營信息、客戶數(shù)據(jù)等（以下簡稱“保密信息”）承擔(dān)保密義務(wù)。9.2保密信息包括但不限于本協(xié)議內(nèi)容、甲乙雙方的財務(wù)數(shù)據(jù)、技術(shù)方案、客戶信息、提供的資料文檔、評估過程中發(fā)現(xiàn)的漏洞和風(fēng)險信息等。9.3未經(jīng)對方書面同意，任何一方不得向任何第三方泄露、使用或允許他人使用保密信息，但法律法規(guī)另有規(guī)定或監(jiān)管機(jī)構(gòu)要求的除外。9.4本保密義務(wù)不因本協(xié)議的終止而失效，持續(xù)有效期限為本協(xié)議終止后[具體年限，如“三”]年。9.5因履行本協(xié)議需要知悉對方保密信息的第三方（如有），僅能以甲方或乙方名義使用該保密信息，并負(fù)有與甲方或乙方同等嚴(yán)格的保密義務(wù)。第十條違約責(zé)任10.1若甲方未按本協(xié)議第七條約定按時支付服務(wù)費，每逾期一日，應(yīng)向乙方支付逾期付款金額[具體比例，如“萬分之五”]的違約金。逾期超過[具體天數(shù)，如“30”]日，乙方有權(quán)暫停服務(wù)或解除本協(xié)議，并要求甲方支付已完成工作的相應(yīng)費用及違約金。10.2若乙方未能按本協(xié)議第二條、第四條約定，因乙方自身原因未能按時完成評估工作或交付合格成果，每逾期一日，應(yīng)向甲方支付合同總價[具體比例，如“千分之一”]的違約金。逾期超過[具體天數(shù)，如“30”]日，甲方有權(quán)解除本協(xié)議，并要求乙方退還已支付的服務(wù)費并支付違約金。10.3若乙方在評估過程中，因操作失誤、故意行為或重大疏忽，導(dǎo)致甲方網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)遭受損失或泄露，乙方應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任，賠償金額不超過本協(xié)議總服務(wù)費的[具體倍數(shù)，如“2”]倍，并承擔(dān)由此產(chǎn)生的所有法律責(zé)任。10.4任何一方違反本協(xié)議第九條保密義務(wù)，給對方造成損失的，應(yīng)賠償對方的直接經(jīng)濟(jì)損失。10.5本協(xié)議約定的其他違約情形及責(zé)任，按約定執(zhí)行。第十一條不可抗力11.1若發(fā)生地震、洪水、戰(zhàn)爭、政府行為、法律政策重大調(diào)整、嚴(yán)重傳染病疫情等不能預(yù)見、不能避免且不能克服的不可抗力事件，導(dǎo)致任何一方無法履行或無法完全履行本協(xié)議義務(wù)，受影響方應(yīng)立即通知對方，并在合理期限內(nèi)（通常為[具體天數(shù)，如“15”]日）提供不可抗力事件的證明文件。11.2因不可抗力導(dǎo)致協(xié)議履行延遲或不能履行的，根據(jù)不可抗力的影響，部分或全部免除責(zé)任，但法律另有規(guī)定的除外。雙方應(yīng)協(xié)商決定是否延期履行、部分履行或解除協(xié)議。第十二條通知與送達(dá)12.1雙方在本協(xié)議首頁載明的地址、聯(lián)系人及聯(lián)系方式為有效聯(lián)系方式。任何一方變更聯(lián)系方式，應(yīng)提前[具體天數(shù)，如“3”]日書面通知對方。12.2雙方通過書面形式（包括但不限于專人遞送、掛號信、電子郵件）發(fā)送給對方在本協(xié)議中載明的地址或聯(lián)系方式的通知，視為有效送達(dá)。電子郵件發(fā)送成功的，以發(fā)送時視為送達(dá)。第十三條爭議解決13.1因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決。13.2協(xié)商不成的，任何一方均有權(quán)向[選擇一項：甲方所在地/乙方所在地/合同履行地]有管轄權(quán)的人民法院提起訴訟。（或選擇仲裁：協(xié)商不成的，任何一方均有權(quán)將爭議提交[具體仲裁委員會名稱]按照其屆時有效的仲裁規(guī)則進(jìn)行仲裁。仲裁裁決是終局的，對雙方均有約束力。）第十四條法律適用14.1本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律。第十五條協(xié)議的變更、解除與終止15.1對本協(xié)議的任何修改或補(bǔ)充，均須經(jīng)雙方協(xié)商一致，并以書面形式作出，作為本協(xié)議不可分割的一部分。15.2除本協(xié)議另有約定外，任何一方未經(jīng)對方書面同意，不得單方面解除本協(xié)議。若發(fā)生嚴(yán)重違約行為，守約方有權(quán)書面通知違約方解