云安全運(yùn)維服務(wù)協(xié)議甲方（客戶）：全稱：_________________________地址：_________________________法定代表人/授權(quán)代表：___________聯(lián)系方式：_____________________乙方（服務(wù)方）：全稱：_________________________地址：_________________________法定代表人/授權(quán)代表：___________聯(lián)系方式：_____________________鑒于甲方為保障自身云環(huán)境安全，需委托具備專業(yè)資質(zhì)的乙方提供云安全運(yùn)維服務(wù)；乙方具備云安全運(yùn)維相關(guān)技術(shù)能力及人員資質(zhì)，同意按本協(xié)議約定提供服務(wù)。雙方經(jīng)平等協(xié)商，達(dá)成如下協(xié)議：第一條服務(wù)內(nèi)容及范圍1.1服務(wù)對(duì)象乙方服務(wù)范圍為甲方指定的云資源（詳見附件1《云資源清單》），包括但不限于云服務(wù)器（ECS）、云存儲(chǔ)（OSS/S3）、網(wǎng)絡(luò)安全組、云數(shù)據(jù)庫、WAF/IDS等安全產(chǎn)品。1.2具體服務(wù)項(xiàng)1.2.17×24小時(shí)實(shí)時(shí)監(jiān)控-監(jiān)控指標(biāo)：云資源CPU/內(nèi)存/磁盤異常、未授權(quán)登錄嘗試、端口異常開放、數(shù)據(jù)異常讀寫、DDoS/CC攻擊、安全產(chǎn)品告警等；-告警響應(yīng)：監(jiān)控系統(tǒng)觸發(fā)告警后，乙方15分鐘內(nèi)人工確認(rèn)，2小時(shí)內(nèi)出具《異常事件初步分析》。1.2.2漏洞管理-掃描頻率：每月1次全面漏洞掃描（含系統(tǒng)/應(yīng)用/配置漏洞），每季度1次滲透測(cè)試（需甲方書面確認(rèn)）；-漏洞分級(jí)：按CVSS評(píng)分分為嚴(yán)重（≥9.0）、高（7.0-8.9）、中（4.0-6.9）、低（<4.0）；-修復(fù)要求：-嚴(yán)重漏洞：24小時(shí)內(nèi)完成修復(fù)（需甲方授權(quán)操作）；-高漏洞：48小時(shí)內(nèi)修復(fù)；-中漏洞：72小時(shí)內(nèi)修復(fù)；-低漏洞：7個(gè)工作日內(nèi)修復(fù)；-驗(yàn)證：修復(fù)后24小時(shí)內(nèi)完成漏洞驗(yàn)證，出具《漏洞修復(fù)驗(yàn)證報(bào)告》。1.2.3應(yīng)急響應(yīng)-響應(yīng)團(tuán)隊(duì)：乙方組建7×24小時(shí)應(yīng)急小組，成員具備CISSP/CISP認(rèn)證；-事件分級(jí)及響應(yīng)：|事件等級(jí)|定義（示例）|響應(yīng)時(shí)間|初步報(bào)告時(shí)限|完整報(bào)告時(shí)限||----------|-----------------------------|----------|--------------|--------------||一級(jí)（嚴(yán)重）|數(shù)據(jù)泄露、系統(tǒng)癱瘓、勒索病毒|≤1小時(shí)|≤4小時(shí)|≤24小時(shí)||二級(jí)（重大）|DDoS攻擊、未授權(quán)訪問核心系統(tǒng)|≤2小時(shí)|≤8小時(shí)|≤48小時(shí)||三級(jí)（一般）|配置錯(cuò)誤、低危漏洞未修復(fù)|≤4小時(shí)|≤24小時(shí)|≤72小時(shí)|-應(yīng)急流程：事件上報(bào)→containment（隔離）→根除→恢復(fù)→總結(jié)報(bào)告。1.2.4合規(guī)支持-協(xié)助甲方完成等保2.0、行業(yè)合規(guī)（如金融/醫(yī)療合規(guī)）的安全評(píng)估；-每年提供1次《云環(huán)境合規(guī)性報(bào)告》。1.2.5報(bào)告提交-月度報(bào)告：每月5日前提交《月度安全運(yùn)維報(bào)告》（含監(jiān)控?cái)?shù)據(jù)、漏洞情況、事件處理）；-季度報(bào)告：每季度首月10日前提交《季度安全評(píng)估報(bào)告》；-年度報(bào)告：每年1月15日前提交《年度安全合規(guī)報(bào)告》。第二條服務(wù)期限1.本協(xié)議服務(wù)期限自______年____月____日起至______年____月____日止，共____年；2.協(xié)議期滿前30日，雙方未書面提出終止的，自動(dòng)續(xù)約1年，續(xù)約次數(shù)不限。第三條服務(wù)費(fèi)用及支付3.1費(fèi)用構(gòu)成-基礎(chǔ)服務(wù)費(fèi)：人民幣_(tái)_____元/年（大寫：______元整），包含1.2.1-1.2.5條服務(wù)；-增值服務(wù)費(fèi)：-額外滲透測(cè)試：______元/次；-安全培訓(xùn)：______元/人/天；-專項(xiàng)合規(guī)評(píng)估：______元/次；-費(fèi)用不含甲方云資源本身費(fèi)用、第三方工具授權(quán)費(fèi)（如需額外采購由甲方承擔(dān)）。3.2支付方式-基礎(chǔ)服務(wù)費(fèi)按年度支付：協(xié)議生效后5個(gè)工作日內(nèi)支付首年度費(fèi)用；-增值服務(wù)費(fèi)按次結(jié)算：乙方提供服務(wù)后5個(gè)工作日內(nèi)出具發(fā)票，甲方收到發(fā)票后10個(gè)工作日內(nèi)支付；-支付賬戶：乙方指定賬戶（戶名：______，開戶行：______，賬號(hào)：______）。3.3逾期支付甲方逾期支付的，每逾期1日按應(yīng)付未付金額的萬分之五支付違約金；逾期超過30日的，乙方有權(quán)暫停服務(wù)，暫停期間服務(wù)期限順延，甲方需支付已發(fā)生的服務(wù)費(fèi)及違約金。第四條雙方權(quán)利義務(wù)4.1甲方權(quán)利義務(wù)-權(quán)利：要求乙方按協(xié)議提供服務(wù)；監(jiān)督服務(wù)質(zhì)量并提出整改；查閱服務(wù)報(bào)告及相關(guān)證明；-義務(wù)：1.提供附件1《云資源清單》及準(zhǔn)確的云平臺(tái)賬號(hào)（初始權(quán)限為只讀，操作需書面授權(quán)）；2.配合乙方進(jìn)行漏洞掃描、滲透測(cè)試等工作，提供必要業(yè)務(wù)信息；3.定期備份自身數(shù)據(jù)（建議每日增量、每周全量），乙方不承擔(dān)甲方數(shù)據(jù)丟失責(zé)任（乙方故意/重大過失除外）；4.及時(shí)通報(bào)安全事件及業(yè)務(wù)變更；5.按協(xié)議支付費(fèi)用。4.2乙方權(quán)利義務(wù)-權(quán)利：要求甲方提供必要權(quán)限及配合；拒絕不合理服務(wù)需求；按協(xié)議收費(fèi)；-義務(wù)：1.指派具備CISSP/CISP認(rèn)證的人員服務(wù)，人員變更需提前3個(gè)工作日書面通知甲方；2.重大操作（如修改安全組、刪除備份）需甲方書面確認(rèn)，不得擅自變更；3.嚴(yán)格保密甲方數(shù)據(jù)、云配置、漏洞信息等（見第六條）；4.按服務(wù)質(zhì)量標(biāo)準(zhǔn)響應(yīng)需求，不得推諉；5.確保服務(wù)符合甲方行業(yè)合規(guī)要求（附件2《合規(guī)要求清單》）；6.應(yīng)急響應(yīng)時(shí)優(yōu)先保護(hù)核心業(yè)務(wù)數(shù)據(jù)，避免損失擴(kuò)大。第五條服務(wù)質(zhì)量標(biāo)準(zhǔn)1.漏洞修復(fù)完成率≥95%；2.應(yīng)急響應(yīng)時(shí)間達(dá)標(biāo)率≥98%；3.報(bào)告提交時(shí)限達(dá)標(biāo)率≥100%；4.甲方投訴處理響應(yīng)時(shí)間≤2小時(shí)，解決率≥95%。第六條保密條款1.保密范圍：甲方的云資源配置、業(yè)務(wù)數(shù)據(jù)、用戶信息、安全漏洞、協(xié)議內(nèi)容；乙方的服務(wù)方案、技術(shù)工具；2.保密義務(wù)：雙方不得向第三方泄露，不得用于協(xié)議外目的；3.保密期限：協(xié)議有效期內(nèi)及終止后3年；4.違約責(zé)任：泄露保密信息的，支付違約金______元（大寫：______元整），并賠償實(shí)際損失（含直接損失及維權(quán)費(fèi)用）。第七條知識(shí)產(chǎn)權(quán)1.甲方數(shù)據(jù)、業(yè)務(wù)信息歸甲方所有；2.乙方提供的服務(wù)報(bào)告、方案等知識(shí)產(chǎn)權(quán)歸乙方所有，甲方僅可用于本協(xié)議目的使用。第八條違約責(zé)任8.1甲方違約-未提供必要權(quán)限導(dǎo)致服務(wù)中斷：服務(wù)期限順延，甲方支付已發(fā)生費(fèi)用；-逾期支付超30日：乙方有權(quán)解除協(xié)議，甲方支付違約金（協(xié)議總費(fèi)用的10%）。8.2乙方違約-未達(dá)服務(wù)質(zhì)量標(biāo)準(zhǔn)：每次扣減當(dāng)季服務(wù)費(fèi)的0.5%，累計(jì)不超10%；-故意/重大過失導(dǎo)致數(shù)據(jù)泄露/業(yè)務(wù)中斷：賠償甲方直接經(jīng)濟(jì)損失（限額不超協(xié)議總費(fèi)用的3倍）；-泄露保密信息：按第六條4款執(zhí)行。第九條不可抗力1.不可抗力指地震、洪水、政策變更等不能預(yù)見、不能避免的事件；2.發(fā)生不可抗力的一方應(yīng)3日內(nèi)通知對(duì)方，協(xié)商調(diào)整服務(wù)；不可抗力導(dǎo)致無法履行協(xié)議的，雙方互不承擔(dān)責(zé)任。第十條爭議解決1.雙方爭議先協(xié)商解決；2.協(xié)商不成的，向甲方所在地有管轄權(quán)的人民法院提起訴訟。第十一條其他1.附件1《云資源清單》、附件2《合規(guī)要求清單》為本協(xié)議組成部分，與本協(xié)議具有同等法律效力；2.本協(xié)議一式兩份，甲乙雙方各執(zhí)一份，自雙方簽字蓋章之日起生效。甲方（蓋章）：__________授權(quán)代表（簽字）：________日期：______年____月____日乙方（蓋章）：__________授權(quán)代表（簽字）：________日期：______年____月____日附件1：云資源清單|云平臺(tái)|資源類型|資源ID/名稱|備注||--------|----------