網(wǎng)絡(luò)安全滲透測(cè)試服務(wù)合同協(xié)議協(xié)議鑒于委托方希望評(píng)估其信息系統(tǒng)的安全性，并委托服務(wù)商提供網(wǎng)絡(luò)安全滲透測(cè)試服務(wù)，服務(wù)商愿意接受委托方委托，根據(jù)中華人民共和國(guó)相關(guān)法律法規(guī)，雙方經(jīng)友好協(xié)商，達(dá)成如下協(xié)議：第一條定義與解釋除非本協(xié)議上下文另有解釋，下列詞語(yǔ)具有以下含義：“滲透測(cè)試”是指模擬黑客攻擊行為，對(duì)委托方指定的信息系統(tǒng)進(jìn)行安全性評(píng)估，通過(guò)發(fā)現(xiàn)并利用系統(tǒng)存在的漏洞，評(píng)估安全事件可能造成的影響，并提出修復(fù)建議的專業(yè)服務(wù)活動(dòng)?！胺?wù)商”是指依據(jù)本協(xié)議約定，接受委托方委托，提供網(wǎng)絡(luò)安全滲透測(cè)試服務(wù)的[服務(wù)商名稱]?！拔蟹健笔侵敢罁?jù)本協(xié)議約定，委托服務(wù)商進(jìn)行網(wǎng)絡(luò)安全滲透測(cè)試的[委托方名稱]。“系統(tǒng)”是指委托方擁有的，包括但不限于網(wǎng)絡(luò)、硬件設(shè)備、軟件應(yīng)用、數(shù)據(jù)庫(kù)、數(shù)據(jù)等信息資產(chǎn)構(gòu)成的全部或部分信息系統(tǒng)?！奥┒础笔侵赶到y(tǒng)在設(shè)計(jì)、開(kāi)發(fā)、部署、配置或管理上存在的缺陷、弱點(diǎn)或錯(cuò)誤，可能導(dǎo)致未授權(quán)的訪問(wèn)、信息泄露、服務(wù)中斷或其他負(fù)面影響?！鞍踩录笔侵敢蛳到y(tǒng)漏洞、配置錯(cuò)誤、操作失誤或其他原因?qū)е碌男畔⑾到y(tǒng)被非法訪問(wèn)、數(shù)據(jù)被竊取、篡改或泄露、系統(tǒng)服務(wù)被中斷等事件。“保密信息”是指一方（披露方）以書(shū)面、口頭、電子或其他形式向另一方（接收方）披露的，與披露方業(yè)務(wù)、技術(shù)、財(cái)務(wù)、客戶等信息相關(guān)的，未公開(kāi)的，接收方知悉或應(yīng)當(dāng)知悉的，且接收方有保密義務(wù)的信息，包括但不限于技術(shù)方案、技術(shù)秘密、源代碼、客戶名單、財(cái)務(wù)數(shù)據(jù)、運(yùn)營(yíng)數(shù)據(jù)、滲透測(cè)試方案、測(cè)試過(guò)程記錄、測(cè)試結(jié)果報(bào)告等?！爸R(shí)產(chǎn)權(quán)”是指任何一類知識(shí)產(chǎn)權(quán)，包括但不限于專利權(quán)、商標(biāo)權(quán)、著作權(quán)（包括鄰接權(quán)）、商業(yè)秘密、專有技術(shù)、Know-how等?！安豢煽沽Α笔侵覆荒茴A(yù)見(jiàn)、不能避免并不能克服的客觀情況，包括但不限于自然災(zāi)害（如地震、洪水、臺(tái)風(fēng)）、戰(zhàn)爭(zhēng)、恐怖襲擊、疫情、政府行為、網(wǎng)絡(luò)攻擊等。第二條服務(wù)范圍2.1測(cè)試對(duì)象本次滲透測(cè)試的對(duì)象為委托方指定的以下系統(tǒng)/資產(chǎn)：[詳細(xì)列出測(cè)試對(duì)象，例如：生產(chǎn)環(huán)境網(wǎng)絡(luò)、官方網(wǎng)站（域名：）、內(nèi)部辦公系統(tǒng)（IP段：/24）、XX管理系統(tǒng)（APP端和Web端）等]2.2測(cè)試范圍滲透測(cè)試的范圍包括但不限于：[詳細(xì)列出測(cè)試范圍，例如：對(duì)外暴露的端口和服務(wù)、指定的Web應(yīng)用、指定的移動(dòng)應(yīng)用及其后端服務(wù)、內(nèi)部網(wǎng)絡(luò)中與外部網(wǎng)絡(luò)相連的設(shè)備、數(shù)據(jù)庫(kù)系統(tǒng)等]測(cè)試將主要關(guān)注網(wǎng)絡(luò)層、應(yīng)用層和操作系統(tǒng)層的漏洞。2.3測(cè)試方法本次滲透測(cè)試將主要采用[選擇并填寫(xiě)測(cè)試方法，例如：黑盒測(cè)試]方法進(jìn)行。服務(wù)商將模擬外部攻擊者的行為對(duì)測(cè)試對(duì)象進(jìn)行測(cè)試。如有必要，經(jīng)委托方書(shū)面同意，服務(wù)商可采用白盒或灰盒測(cè)試方法。2.4測(cè)試流程滲透測(cè)試服務(wù)將遵循以下流程：[詳細(xì)列出測(cè)試流程，例如：（1）服務(wù)商與委托方溝通，明確測(cè)試范圍和目標(biāo)，簽署保密協(xié)議；（2）服務(wù)商進(jìn)行測(cè)試準(zhǔn)備，包括制定測(cè)試計(jì)劃、組建測(cè)試團(tuán)隊(duì)、準(zhǔn)備測(cè)試工具等；（3）服務(wù)商按照測(cè)試計(jì)劃執(zhí)行滲透測(cè)試，記錄測(cè)試過(guò)程和發(fā)現(xiàn)；（4）服務(wù)商分析測(cè)試結(jié)果，編寫(xiě)滲透測(cè)試報(bào)告初稿，與委托方溝通確認(rèn)重大發(fā)現(xiàn)；（5）服務(wù)商根據(jù)委托方反饋修改報(bào)告，最終交付滲透測(cè)試報(bào)告；]（6）根據(jù)約定，提供修復(fù)建議的技術(shù)支持。2.5測(cè)試工具服務(wù)商將使用行業(yè)認(rèn)可的、合法的滲透測(cè)試工具進(jìn)行測(cè)試，主要工具包括但不限于[列舉主要工具名稱，例如：Nmap、Metasploit、BurpSuite、SQLMap等]。具體工具使用情況可能根據(jù)實(shí)際情況調(diào)整，并以服務(wù)商提供的測(cè)試方案為準(zhǔn)。2.6測(cè)試人員執(zhí)行本次滲透測(cè)試的服務(wù)商人員應(yīng)具備相應(yīng)的專業(yè)資質(zhì)和經(jīng)驗(yàn)，例如[列舉人員資質(zhì)要求，例如：持有CISSP、CEH、OSCP等認(rèn)證，具備X年以上的滲透測(cè)試經(jīng)驗(yàn)等]。服務(wù)商將確保參與測(cè)試的人員符合資質(zhì)要求。第三條服務(wù)費(fèi)用與支付方式3.1服務(wù)費(fèi)用本次網(wǎng)絡(luò)安全滲透測(cè)試服務(wù)的總費(fèi)用為人民幣[填寫(xiě)金額]元（大寫(xiě)：人民幣[填寫(xiě)大寫(xiě)金額]元整）。費(fèi)用包含但不限于[說(shuō)明費(fèi)用包含內(nèi)容，例如：測(cè)試人員費(fèi)用、測(cè)試工具使用費(fèi)、報(bào)告編寫(xiě)費(fèi)、差旅費(fèi)（如需）等]。3.2費(fèi)用構(gòu)成（可選，如需細(xì)化可添加）[可在此處細(xì)化費(fèi)用構(gòu)成，或?qū)⒃诜?wù)范圍中已列明]3.3支付方式委托方應(yīng)按照以下方式向服務(wù)商支付服務(wù)費(fèi)用：[詳細(xì)列出支付方式，例如：（1）合同簽訂后X日內(nèi)，支付總費(fèi)用的50%，即人民幣[金額]元；（2）測(cè)試完成并交付最終報(bào)告后X日內(nèi)，支付剩余的50%，即人民幣[金額]元；]或[其他支付方式，例如：一次性支付、分期支付等]3.4付款時(shí)間委托方應(yīng)在上述條款約定的付款節(jié)點(diǎn)及期限內(nèi)完成支付。第四條保密條款4.1保密信息雙方的保密信息包括但不限于本協(xié)議內(nèi)容、委托方提供的系統(tǒng)信息、業(yè)務(wù)信息、數(shù)據(jù)信息，服務(wù)商提供的測(cè)試方案、測(cè)試過(guò)程記錄、測(cè)試結(jié)果報(bào)告、技術(shù)方案、客戶信息等所有未公開(kāi)的信息。4.2保密義務(wù)（1）雙方應(yīng)對(duì)對(duì)方的保密信息承擔(dān)嚴(yán)格的保密義務(wù)，不得以任何方式（包括但不限于口頭、書(shū)面、電子、拍照、錄音、錄像等）向任何第三方披露、泄露或透露保密信息，但以下情況除外：a.接收方根據(jù)法律法規(guī)、法院、政府機(jī)構(gòu)的要求或強(qiáng)制命令必須披露的，但應(yīng)在法律允許的范圍內(nèi)盡力提前通知披露方；b.保密信息已公開(kāi)或接收方在披露前已合法知悉該信息；c.接收方從沒(méi)有保密義務(wù)的第三方合法獲得該保密信息；d.接收方能證明該信息的披露是為其自身的合法權(quán)益而必要的，且已采取合理的措施保護(hù)該信息不被進(jìn)一步泄露。（2）只有為履行本協(xié)議目的而需要知悉保密信息的己方雇員、代理人、顧問(wèn)和分包商（以下簡(jiǎn)稱“受托人”）才能接觸保密信息，并應(yīng)承擔(dān)與接收方同等嚴(yán)格的保密義務(wù)。接收方應(yīng)采取合理的措施確保受托人遵守保密義務(wù)，且僅在必要范圍內(nèi)向受托人披露保密信息。（3）本保密義務(wù)不因本協(xié)議的終止而失效，持續(xù)有效期限為本協(xié)議終止后[填寫(xiě)年限，例如：三]年，或保密信息本身的法律保護(hù)期限，以兩者中較長(zhǎng)者為準(zhǔn)。4.3例外情況[已包含在4.2(1)中，可根據(jù)需要補(bǔ)充]第五條滲透測(cè)試報(bào)告5.1報(bào)告內(nèi)容服務(wù)商應(yīng)在完成滲透測(cè)試后，向委托方交付滲透測(cè)試報(bào)告。報(bào)告應(yīng)至少包括以下內(nèi)容：[詳細(xì)列出報(bào)告應(yīng)包含的內(nèi)容，例如：（1）測(cè)試背景、目的、范圍和測(cè)試方法；（2）測(cè)試環(huán)境描述；（3）測(cè)試過(guò)程概述；（4）發(fā)現(xiàn)的漏洞列表，包括漏洞名稱、描述、評(píng)級(jí)（如CVSS）、嚴(yán)重程度、存在位置、復(fù)現(xiàn)步驟、潛在影響等；（5）漏洞利用的技術(shù)細(xì)節(jié)（根據(jù)約定提供）；（6）針對(duì)每個(gè)漏洞的修復(fù)建議；（7）整體安全評(píng)估和總結(jié)；]（8）服務(wù)商名稱和聯(lián)系方式。5.2報(bào)告形式滲透測(cè)試報(bào)告以[選擇并填寫(xiě)報(bào)告形式，例如：電子文檔（PDF格式）]形式交付。5.3報(bào)告交付時(shí)間服務(wù)商應(yīng)于[填寫(xiě)日期或條件，例如：測(cè)試工作全部完成后X個(gè)工作日]內(nèi)，將最終的滲透測(cè)試報(bào)告交付給委托方。第六條責(zé)任限制與免責(zé)6.1服務(wù)商責(zé)任服務(wù)商僅對(duì)本次滲透測(cè)試過(guò)程中發(fā)現(xiàn)的、經(jīng)確認(rèn)的系統(tǒng)漏洞及其在測(cè)試中模擬利用可能造成的影響承擔(dān)相應(yīng)的責(zé)任，并依據(jù)本協(xié)議約定提供修復(fù)建議。服務(wù)商不對(duì)委托方系統(tǒng)因漏洞存在或被利用而遭受的任何直接或間接損失（包括但不限于數(shù)據(jù)丟失、業(yè)務(wù)中斷、商譽(yù)損失等）承擔(dān)責(zé)任。6.2免責(zé)條款（1）服務(wù)商不對(duì)因以下原因?qū)е碌臏y(cè)試失敗、測(cè)試結(jié)果不準(zhǔn)確或委托方系統(tǒng)受損免責(zé)：a.委托方未能提供真實(shí)、準(zhǔn)確、完整的系統(tǒng)信息或測(cè)試環(huán)境訪問(wèn)權(quán)限；b.委托方系統(tǒng)存在委托方未告知或服務(wù)商無(wú)法獲知的安全問(wèn)題；c.委托方自行進(jìn)行或允許第三方進(jìn)行可能影響測(cè)試結(jié)果的操作；d.因網(wǎng)絡(luò)延遲、中斷、病毒、木馬、惡意代碼等非服務(wù)商原因?qū)е碌臏y(cè)試中斷或系統(tǒng)異常；e.因不可抗力事件導(dǎo)致的服務(wù)中斷或測(cè)試失敗。（2）服務(wù)商不對(duì)以下情況導(dǎo)致的任何損失免責(zé)：a.委托方未按照服務(wù)商提供的修復(fù)建議及時(shí)修復(fù)漏洞；b.委托方在測(cè)試期間或之后，因自身原因（如配置不當(dāng)、策略錯(cuò)誤等）導(dǎo)致系統(tǒng)再次被攻擊或出現(xiàn)安全問(wèn)題；c.委托方使用非法手段獲取或試圖利用測(cè)試過(guò)程中發(fā)現(xiàn)的漏洞信息。（3）服務(wù)商不對(duì)滲透測(cè)試過(guò)程中可能造成的輕微影響承擔(dān)責(zé)任，包括但不限于測(cè)試過(guò)程中對(duì)測(cè)試范圍內(nèi)的系統(tǒng)產(chǎn)生的短暫性中斷、日志記錄等。如造成重大影響，雙方應(yīng)協(xié)商解決。6.3損害賠償除非法律另有強(qiáng)制性規(guī)定，任何一方因違反本協(xié)議而遭受的任何直接經(jīng)濟(jì)損失，應(yīng)由違約方承擔(dān)賠償責(zé)任，但其賠償總額不應(yīng)超過(guò)因違約行為直接導(dǎo)致的、可預(yù)見(jiàn)的損失。雙方同意，本協(xié)議任何一方累計(jì)賠償總額不超過(guò)人民幣[填寫(xiě)金額，例如：伍萬(wàn)元]元（包含在本協(xié)議項(xiàng)下所有責(zé)任和賠償）。任何一方均不對(duì)對(duì)方的間接損失、預(yù)期利益損失、精神損害等承擔(dān)賠償責(zé)任。第七條合同期限與終止7.1合同期限本協(xié)議自雙方授權(quán)代表簽字并加蓋公章（或合同專用章）之日起生效，有效期為[填寫(xiě)期限，例如：一年]。有效期屆滿前[填寫(xiě)時(shí)間，例如：一個(gè)月]，如雙方均有意繼續(xù)合作，應(yīng)另行協(xié)商簽訂續(xù)約協(xié)議。7.2提前終止（1）在任何一方嚴(yán)重違反本協(xié)議條款，且在收到守約方書(shū)面通知后[填寫(xiě)時(shí)間，例如：十五]日內(nèi)未能糾正的，守約方有權(quán)單方面解除本協(xié)議。（2）發(fā)生不可抗力事件，導(dǎo)致協(xié)議目的無(wú)法實(shí)現(xiàn)的，雙方均可單方面解除本協(xié)議。（3）雙方協(xié)商一致，可以解除本協(xié)議。7.3終止后的責(zé)任本協(xié)議終止后，雙方應(yīng)：（1）立即停止與本協(xié)議相關(guān)的所有活動(dòng)；（2）委托方應(yīng)支付所有根據(jù)本協(xié)議約定尚未支付的款項(xiàng)；（3）服務(wù)商應(yīng)向委托方交付所有尚未交付的成果（如最終測(cè)試報(bào)告等），并按照約定或法律規(guī)定處理保密信息，包括刪除或返還給披露方所有載有保密信息的載體；委托方應(yīng)返還或銷毀服務(wù)商提供的所有資料和文件；（4）保密條款、責(zé)任限制條款、知識(shí)產(chǎn)權(quán)條款、法律適用與爭(zhēng)議解決條款在本協(xié)議終止后仍然有效。第八條知識(shí)產(chǎn)權(quán)8.1委托方知識(shí)產(chǎn)權(quán)委托方擁有其提供的信息系統(tǒng)及相關(guān)知識(shí)產(chǎn)權(quán)，服務(wù)商在提供服務(wù)過(guò)程中使用的委托方提供的信息系統(tǒng)應(yīng)僅用于本次滲透測(cè)試目的。8.2服務(wù)商知識(shí)產(chǎn)權(quán)服務(wù)商在履行本協(xié)議過(guò)程中產(chǎn)生的所有成果，包括但不限于測(cè)試方案、測(cè)試過(guò)程記錄、測(cè)試結(jié)果報(bào)告、技術(shù)文檔、代碼等知識(shí)產(chǎn)權(quán)，歸服務(wù)商所有。委托方在支付完畢全部服務(wù)費(fèi)用后，獲得在自身系統(tǒng)內(nèi)使用、查看和根據(jù)測(cè)試報(bào)告進(jìn)行漏洞修復(fù)所必需的、非獨(dú)占性的、不可轉(zhuǎn)讓的權(quán)利。8.3限制委托方不得將服務(wù)商提供的成果用于本協(xié)議約定之外的任何目的，不得向任何第三方泄露、轉(zhuǎn)讓或許可使用服務(wù)商的成果，除非獲得服務(wù)商的書(shū)面同意。第九條通知與送達(dá)雙方應(yīng)通過(guò)書(shū)面形式（包括但不限于書(shū)面信函、傳真、電子郵件）就本協(xié)議相關(guān)事宜進(jìn)行通知。任何一方變更聯(lián)系方式，應(yīng)提前[填寫(xiě)時(shí)間，例如：三日]書(shū)面通知對(duì)方。所有通知應(yīng)以本協(xié)議首頁(yè)載明的地址或電子郵箱送達(dá)。通過(guò)郵寄方式送達(dá)的，掛號(hào)信發(fā)出后[填寫(xiě)時(shí)間，例如：三]日視為送達(dá)；通過(guò)傳真或電子郵件送達(dá)的，發(fā)出時(shí)視為送達(dá)。第十條法律適用與爭(zhēng)議解決10.1法律適用本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)法律（為免歧義，不包括香港、澳門(mén)及臺(tái)灣地區(qū)法律）。10.2爭(zhēng)議解決因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過(guò)友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交[選擇并填寫(xiě)爭(zhēng)議解決方式，例如：上海市浦東新區(qū)人民法院]通過(guò)訴訟方式解決。第十一條其他條款11.1完整協(xié)議本協(xié)議及其附件（如有）構(gòu)成雙方就本協(xié)議標(biāo)的達(dá)成的完整協(xié)議，取代雙方此前就此達(dá)成的所有口頭或書(shū)面的協(xié)議、諒解和承諾。對(duì)本協(xié)議的任何修改或補(bǔ)充，均應(yīng)以書(shū)面形式作出，并經(jīng)雙方授權(quán)代表簽字蓋章后生效。11.2可分割性如果本協(xié)議任何條款被認(rèn)定為無(wú)效、非法或不可執(zhí)