信息安全評估合同協(xié)議鑒于委托方希望委托評估方對其信息安全狀況進(jìn)行評估，并依據(jù)評估結(jié)果采取相應(yīng)安全措施，評估方愿意接受委托方的委托，提供信息安全評估服務(wù)，雙方根據(jù)《中華人民共和國民法典》及相關(guān)法律法規(guī)的規(guī)定，本著平等、自愿、公平和誠實(shí)信用的原則，經(jīng)友好協(xié)商，達(dá)成如下協(xié)議：第一條定義與解釋除非本協(xié)議上下文另有解釋，下列術(shù)語具有以下含義：“信息安全評估”是指評估方依據(jù)約定的標(biāo)準(zhǔn)和方法，對委托方指定的信息資產(chǎn)、信息系統(tǒng)或業(yè)務(wù)流程所面臨的安全風(fēng)險、存在的安全脆弱性以及相應(yīng)的安全控制措施有效性進(jìn)行識別、分析和評估的活動?！帮L(fēng)險評估”是指識別委托方信息安全事件的可能性及其可能造成的影響，并確定風(fēng)險等級的過程?！奥┒磼呙琛笔侵咐米詣踊ぞ邔δ繕?biāo)系統(tǒng)或應(yīng)用進(jìn)行掃描，以發(fā)現(xiàn)已知安全漏洞的過程。“安全配置核查”是指依據(jù)安全基線或標(biāo)準(zhǔn)，對系統(tǒng)或設(shè)備的配置進(jìn)行核查，以驗(yàn)證其是否符合安全要求的過程?！皾B透測試”是指模擬攻擊者行為，嘗試?yán)孟到y(tǒng)或應(yīng)用的漏洞獲取未授權(quán)訪問權(quán)限或敏感信息的過程?！昂弦?guī)性檢查”是指檢查委托方的信息安全實(shí)踐是否符合相關(guān)法律法規(guī)、標(biāo)準(zhǔn)或政策要求的過程?！鞍踩ㄗh”是指評估方根據(jù)評估發(fā)現(xiàn)，向委托方提出的旨在降低風(fēng)險、改進(jìn)安全狀況的建議。“服務(wù)水平協(xié)議（SLA）”是指本協(xié)議中約定的關(guān)于服務(wù)范圍、質(zhì)量、交付等方面的承諾?！氨Ｃ苄畔ⅰ笔侵敢环剑ㄅ斗剑┮詴?、口頭、電子或其他形式向另一方（接收方）披露的，標(biāo)明為“保密”或根據(jù)其性質(zhì)應(yīng)被合理理解為保密的，與披露方業(yè)務(wù)、技術(shù)或財務(wù)相關(guān)的任何信息，包括但不限于技術(shù)數(shù)據(jù)、經(jīng)營信息、客戶信息、安全漏洞信息、評估報告等?！爸R產(chǎn)權(quán)”是指任何形式的智力成果權(quán)利，包括但不限于專利權(quán)、商標(biāo)權(quán)、著作權(quán)、商業(yè)秘密等?！安豢煽沽Α笔侵覆荒茴A(yù)見、不能避免并不能克服的客觀情況，如自然災(zāi)害、戰(zhàn)爭、政府行為、大規(guī)模網(wǎng)絡(luò)攻擊等。第二條服務(wù)范圍與內(nèi)容2.1評估對象本協(xié)議項(xiàng)下的信息安全評估范圍包括委托方位于[具體地點(diǎn)或地址]的[具體系統(tǒng)名稱或描述，例如：生產(chǎn)網(wǎng)絡(luò)、核心數(shù)據(jù)庫系統(tǒng)、官方網(wǎng)站]，具體范圍邊界詳見附件[如有，請?zhí)顚懜郊Q，如無，則刪除此句]。2.2評估方法評估方將采用以下方法對評估對象進(jìn)行信息安全評估：（1）資料審查：審查委托方提供的信息安全相關(guān)文檔，如信息安全策略、管理制度、應(yīng)急預(yù)案等。（2）訪談：與委托方相關(guān)人員進(jìn)行訪談，了解其信息安全組織架構(gòu)、職責(zé)分工、安全意識等情況。（3）技術(shù)測試：包括但不限于[具體說明將采用的技術(shù)測試，例如：網(wǎng)絡(luò)層漏洞掃描、應(yīng)用層滲透測試、數(shù)據(jù)庫安全檢查、操作系統(tǒng)安全配置核查等]。（4）合規(guī)性檢查：對照[具體說明依據(jù)的標(biāo)準(zhǔn)或法規(guī)，例如：ISO27001:2013、中國信息安全等級保護(hù)2.0標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全法等]的要求，檢查委托方的合規(guī)性情況。2.3評估標(biāo)準(zhǔn)本次信息安全評估將主要依據(jù)以下標(biāo)準(zhǔn)或框架進(jìn)行：[列出主要的評估標(biāo)準(zhǔn)，例如：國家信息安全等級保護(hù)2.0標(biāo)準(zhǔn)、ISO/IEC27001:2013信息安全管理體系標(biāo)準(zhǔn)、NISTSP800-53安全控制指南等]。2.4評估目標(biāo)本次信息安全評估的主要目標(biāo)是：（1）識別委托方關(guān)鍵信息資產(chǎn)及其面臨的威脅和脆弱性。（2）評估現(xiàn)有信息安全控制措施在設(shè)計和實(shí)施上的有效性。（3）分析已識別風(fēng)險的可能性和影響程度，確定風(fēng)險等級。（4）依據(jù)評估結(jié)果，提出針對性的安全改進(jìn)建議。（5）幫助委托方滿足[如有特定合規(guī)要求，請說明，例如：等級保護(hù)備案或復(fù)審]的要求。第三條雙方的權(quán)利與義務(wù)3.1評估方的權(quán)利與義務(wù)3.1.1權(quán)利（1）評估方有權(quán)根據(jù)本協(xié)議約定，要求委托方提供評估所需的相關(guān)文檔、資料和訪問權(quán)限。（2）評估方有權(quán)按照本協(xié)議約定的評估方法和標(biāo)準(zhǔn)，獨(dú)立、客觀地開展信息安全評估工作。（3）評估方有權(quán)要求委托方就評估過程中發(fā)現(xiàn)的重大安全隱患及時提供必要的協(xié)助和指導(dǎo)。（4）評估方對其在評估過程中產(chǎn)生的評估報告和提供的服務(wù)享有知識產(chǎn)權(quán)，除非本協(xié)議另有約定。（5）在評估過程中，評估方發(fā)現(xiàn)委托方存在重大、緊急的安全風(fēng)險時，有權(quán)及時通知委托方采取補(bǔ)救措施。3.1.2義務(wù)（1）評估方應(yīng)按照本協(xié)議約定的服務(wù)范圍、內(nèi)容、標(biāo)準(zhǔn)和時間要求，在[約定或預(yù)估的服務(wù)期限，例如：三十（30）個]工作日內(nèi)完成信息安全評估工作，并提交最終評估報告。（2）評估方應(yīng)確保執(zhí)行評估任務(wù)的人員具備相應(yīng)的專業(yè)資質(zhì)和經(jīng)驗(yàn)。（3）評估方應(yīng)客觀、公正地進(jìn)行分析和評估，確保評估結(jié)果的準(zhǔn)確性和可靠性，并依據(jù)評估結(jié)果出具詳細(xì)、清晰的信息安全評估報告。（4）評估方應(yīng)嚴(yán)格保守在執(zhí)行評估任務(wù)過程中知悉的委托方的商業(yè)秘密和技術(shù)信息，未經(jīng)委托方書面同意，不得向任何第三方泄露或用于本協(xié)議目的之外。（5）評估方應(yīng)按照本協(xié)議第四條的約定，向委托方交付評估成果。（6）評估方應(yīng)遵守國家有關(guān)法律法規(guī)和行業(yè)規(guī)范，以及委托方的現(xiàn)場管理規(guī)定（如適用）。3.2委托方的權(quán)利與義務(wù)3.2.1權(quán)利（1）委托方有權(quán)要求評估方按照本協(xié)議約定提供服務(wù)，并有權(quán)對評估過程進(jìn)行必要的監(jiān)督。（2）委托方有權(quán)獲得評估方提供的客觀、公正的信息安全評估報告。（3）委托方有權(quán)根據(jù)評估報告中的建議，要求評估方提供后續(xù)的技術(shù)支持或咨詢（如適用）。（4）委托方有權(quán)根據(jù)評估結(jié)果和自身情況，決定采取何種安全措施。3.2.2義務(wù)（1）委托方應(yīng)在評估開始前，向評估方提供與本協(xié)議約定的評估范圍相關(guān)的必要信息、文檔和資料，并保證其真實(shí)性、準(zhǔn)確性和完整性。委托方有義務(wù)確保提供的信息和資料不侵犯任何第三方的合法權(quán)益。（2）委托方應(yīng)指定一名或多名接口人，負(fù)責(zé)與評估方就評估事宜進(jìn)行溝通、協(xié)調(diào)，并提供必要的協(xié)助。（3）委托方應(yīng)確保評估方及其工作人員在執(zhí)行評估任務(wù)時，能夠獲得本協(xié)議約定的必要訪問權(quán)限，并配合其完成相關(guān)測試和檢查。（4）委托方應(yīng)根據(jù)本協(xié)議第五條的約定，按時足額支付評估服務(wù)費(fèi)用。（5）委托方應(yīng)嚴(yán)格保守在合作過程中知悉的評估方的商業(yè)秘密和技術(shù)信息，未經(jīng)評估方書面同意，不得向任何第三方泄露或用于本協(xié)議目的之外。（6）委托方應(yīng)根據(jù)評估報告提出的建議，結(jié)合自身實(shí)際情況，制定并實(shí)施相應(yīng)的安全整改計劃，并在[約定時間，例如：評估報告交付后六十（60）個]工作日內(nèi)將整改情況反饋給評估方（如約定需要）。第四條服務(wù)期限與交付成果4.1服務(wù)期限本協(xié)議項(xiàng)下的信息安全評估服務(wù)期限自本協(xié)議生效之日起至最終評估報告提交給委托方之日止，預(yù)計為[約定或預(yù)估的服務(wù)期限，例如：二十（20）個]工作日。如因委托方原因或不可抗力因素導(dǎo)致服務(wù)期限延誤，經(jīng)雙方協(xié)商一致，服務(wù)期限可相應(yīng)順延。4.2交付成果評估方應(yīng)向委托方交付以下成果：（1）評估計劃：在評估工作開始前[約定時間，例如：三（3）個工作日]內(nèi)提交。（2）階段性報告（如有，請說明具體情況和交付時間）：在評估過程中根據(jù)需要提交。（3）信息安全評估報告：在服務(wù)期限截止時提交，該報告應(yīng)詳細(xì)列明評估過程、評估發(fā)現(xiàn)（包括風(fēng)險列表、漏洞詳情、不符合項(xiàng)等）、風(fēng)險評估結(jié)果以及針對性的安全建議。（4）整改建議（如適用）：作為評估報告的組成部分或單獨(dú)文件提交。（5）知識產(chǎn)權(quán)說明：說明評估過程中產(chǎn)生的報告等成果的知識產(chǎn)權(quán)歸屬情況（通常歸評估方所有，但服務(wù)過程中產(chǎn)生的用于委托方特定的定制化成果可能另有約定）。4.3交付時間（1）評估計劃：在本協(xié)議生效后[約定時間，例如：五（5）個工作日]內(nèi)。（2）信息安全評估報告：在服務(wù)期限截止時。（3）其他交付成果：按照本協(xié)議約定的時間節(jié)點(diǎn)交付。第五條服務(wù)費(fèi)用與支付方式5.1費(fèi)用構(gòu)成本次信息安全評估服務(wù)的總費(fèi)用為人民幣[具體金額]元（大寫：人民幣[大寫金額]元整）。該費(fèi)用包含評估過程中所需的人員成本、技術(shù)工具使用費(fèi)、報告編寫費(fèi)等所有相關(guān)費(fèi)用。5.2支付方式委托方應(yīng)按照以下方式向評估方支付服務(wù)費(fèi)用：（1）首付款：本協(xié)議簽訂后[約定時間，例如：七（7）個工作日]內(nèi)，支付總費(fèi)用的[約定比例，例如：百分之五十（50%）]即人民幣[具體金額]元（大寫：人民幣[大寫金額]元整）。（2）尾款：評估方提交最終信息安全評估報告，并經(jīng)委托方確認(rèn)無誤后[約定時間，例如：七（7）個工作日]內(nèi)，支付剩余總費(fèi)用的[約定比例，例如：百分之五十（50%）]即人民幣[具體金額]元（大寫：人民幣[大寫金額]元整）。5.3付款賬戶委托方應(yīng)將款項(xiàng)支付至評估方以下銀行賬戶：賬戶名稱：[評估方公司全稱]開戶銀行：[評估方開戶銀行名稱]銀行賬號：[評估方銀行賬號]5.4稅費(fèi)本協(xié)議約定的服務(wù)費(fèi)用為[含稅/不含稅]價格。如為含稅價格，稅費(fèi)按國家相關(guān)稅法規(guī)定計算；如為不含稅價格，稅費(fèi)由委托方另行承擔(dān)，評估方開具等額的增值稅發(fā)票。第六條保密義務(wù)6.1保密信息雙方在本協(xié)議履行過程中以及本協(xié)議終止后[約定年限，例如：三（3）年]內(nèi)，應(yīng)對從對方獲取的保密信息承擔(dān)保密義務(wù)。上述保密信息不包括以下情形的信息：（1）在披露前已經(jīng)為公眾所知的信息。（2）非因接收方違反本協(xié)議而已經(jīng)為公眾所知的信息。（3）接收方能證明在從披露方獲取之前已經(jīng)知道的信息。（4）接收方從有權(quán)披露的第三方合法獲取的信息，且該第三方無保密義務(wù)或已書面同意披露給接收方。（5）接收方為履行本協(xié)議目的而需要向其雇員、顧問或分包商披露的信息，但接收方應(yīng)確保該等人員承擔(dān)不低于本協(xié)議約定的保密義務(wù)。（6）根據(jù)適用法律法規(guī)或法院、仲裁機(jī)構(gòu)的要求必須披露的信息，但接收方應(yīng)在法律允許的范圍內(nèi)事先通知披露方，并盡力協(xié)助披露方采取保護(hù)措施。6.2保密責(zé)任雙方應(yīng)采取合理的措施保護(hù)披露方的保密信息，防止其泄露、丟失或被未經(jīng)授權(quán)使用或披露。未經(jīng)披露方事先書面同意，接收方不得向任何第三方披露披露方的保密信息，但為履行本協(xié)議目的而必要的披露除外。接收方僅可為披露方之目的使用披露方的保密信息。6.3保密期限本條規(guī)定的保密義務(wù)在本協(xié)議終止后[約定年限，例如：三（3）年]內(nèi)持續(xù)有效。對于因接收方原因?qū)е碌谋Ｃ苄畔⑿孤?，保密義務(wù)在泄露發(fā)生后繼續(xù)有效。第七條違約責(zé)任7.1若評估方未能按照本協(xié)議約定的服務(wù)范圍、內(nèi)容、標(biāo)準(zhǔn)和時間要求完成評估工作，或交付的評估成果不符合約定質(zhì)量，委托方有權(quán)要求評估方在[約定時間，例如：十（10）個]工作日內(nèi)完成補(bǔ)充或修正，并在此期間或期間結(jié)束后[約定時間，例如：五（5）個]個工作日內(nèi)仍未糾正的，委托方有權(quán)解除本協(xié)議，并要求評估方退還已支付但尚未提供相應(yīng)服務(wù)的費(fèi)用，評估方還應(yīng)賠償因此給委托方造成的直接損失。7.2若評估方違反本協(xié)議第六條的保密義務(wù)，導(dǎo)致披露方遭受任何損失，評估方應(yīng)賠償披露方因此遭受的直接經(jīng)濟(jì)損失。7.3若委托方未能按照本協(xié)議第五條的約定按時足額支付服務(wù)費(fèi)用，每逾期一日，應(yīng)按逾期支付金額的[約定比例，例如：千分之一（0.1%）]向評估方支付違約金。逾期超過[約定時間，例如：三十（30）日]的，評估方有權(quán)暫停服務(wù)或解除本協(xié)議，并要求委托方支付全部應(yīng)付費(fèi)用及違約金。7.4若委托方違反本協(xié)議第六條的保密義務(wù)，導(dǎo)致評估方遭受任何損失，委托方應(yīng)賠償評估方因此遭受的直接經(jīng)濟(jì)損失。7.5任何一方違反本協(xié)議其他條款，給對方造成損失的，應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任。7.6若因違約導(dǎo)致本協(xié)議無法繼續(xù)履行，守約方有權(quán)解除本協(xié)議，并要求違約方承擔(dān)違約責(zé)任。第八條不可抗力8.1若本協(xié)議任何一方因不可抗力事件而無法履行其在本協(xié)議下的全部或部分義務(wù)，該方不應(yīng)被視為違約，并應(yīng)立即通知另一方，說明該不可抗力事件的情況及預(yù)計持續(xù)的時間。8.2雙方應(yīng)在不可抗力事件發(fā)生后，盡最大努力減輕其影響，并在不可抗力事件消除后，盡快恢復(fù)履行本協(xié)議下的義務(wù)。8.3若不可抗力事件持續(xù)超過[約定時間，例如：三十（30）日]，雙方應(yīng)協(xié)商是否繼續(xù)履行本協(xié)議或解除本協(xié)議。若雙方未能達(dá)成一致，任何一方均有權(quán)單方面解除本協(xié)議，雙方互不承擔(dān)違約責(zé)任，但應(yīng)就本協(xié)議履行情況及財產(chǎn)關(guān)系進(jìn)行妥善處理。第九條爭議解決9.1因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決。9.2協(xié)商不成的，任何一方均有權(quán)將爭議提交至[選擇一種方式并明確具體內(nèi)容，例如：評估方所在地有管轄權(quán)的人民法院訴訟解決/提交至[具體仲裁機(jī)構(gòu)名稱，例如：中國國際經(jīng)濟(jì)貿(mào)易仲裁委員會]按照其屆時有效的仲裁規(guī)則進(jìn)行仲裁，仲裁地點(diǎn)為[具體城市]，仲裁語言為中文]。第十條合同的生效、變更與終止10.1生效本協(xié)議自雙方授權(quán)代表簽字并加蓋公司公章（或合同專用章）之日起生效。10.2變更對本協(xié)議的任何修改或補(bǔ)充，均須經(jīng)雙方協(xié)商一致，并以書面形式作出補(bǔ)充協(xié)議。補(bǔ)充協(xié)議與本協(xié)議具有同等法律效力。若補(bǔ)充協(xié)議的內(nèi)容與本協(xié)議原有條款沖突，以補(bǔ)充協(xié)議為準(zhǔn)。10.3終止本協(xié)議在以下情況下終止：（1）雙方協(xié)商一致解除。（2）一方嚴(yán)重違約，導(dǎo)致本協(xié)議無法繼續(xù)履行，守約方根據(jù)本協(xié)議約定解除。（3）一方進(jìn)入破產(chǎn)、清算或解散程序。（4）本協(xié)議約定的服務(wù)期限屆滿，且雙方?jīng)]有續(xù)簽協(xié)議。（5）因不可抗力導(dǎo)致本協(xié)議無法繼續(xù)履行。10.4終止后的處理本協(xié)議終止后，雙方應(yīng)：（1）停止履行本協(xié)議項(xiàng)下的未完成義務(wù)。（2）按照約定或法律規(guī)定返還彼此占有的財產(chǎn)，包括資料、樣品、設(shè)備等。（3）結(jié)清所有未付款項(xiàng)。（4）雙方仍應(yīng)根據(jù)本協(xié)議第六條的規(guī)定，對在合作過程中獲悉的對方保密信息承擔(dān)保密義務(wù)。（5）本協(xié)議的終止不影響雙方在本協(xié)議項(xiàng)下已產(chǎn)生的權(quán)利和義務(wù)的履行，直至其自然終止。第十一條其他條款11.1完整協(xié)議本協(xié)議及其附件（如有）構(gòu)成雙方就本協(xié)議標(biāo)的事項(xiàng)達(dá)成的完整協(xié)議，取代雙方此前就此達(dá)成的所有口頭或書面的協(xié)議、諒解或安排。11.2可分割性若本協(xié)議任何條款被有管轄權(quán)的人民法院或仲裁機(jī)構(gòu)認(rèn)定為無效、非法或不可執(zhí)行，該條款應(yīng)被視為從本協(xié)議中刪除，但本協(xié)議的其他條款應(yīng)繼續(xù)保