網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估合作合同協(xié)議本合同由以下雙方于______年______月______日在______簽訂：甲方（委托方）：[公司全稱]法定代表人：[姓名]注冊(cè)地址：[地址]聯(lián)系部門：[部門名稱]聯(lián)系地址：[聯(lián)系地址]聯(lián)系人：[姓名]聯(lián)系電話：[電話號(hào)碼]電子郵箱：[郵箱地址]乙方（服務(wù)方）：[公司全稱]法定代表人：[姓名]注冊(cè)地址：[地址]聯(lián)系部門：[部門名稱]聯(lián)系地址：[聯(lián)系地址]聯(lián)系人：[姓名]聯(lián)系電話：[電話號(hào)碼]電子郵箱：[郵箱地址]（以下分別簡(jiǎn)稱甲方和乙方）鑒于：甲方因業(yè)務(wù)發(fā)展需要，為識(shí)別、評(píng)估其信息系統(tǒng)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障信息資產(chǎn)安全，維護(hù)業(yè)務(wù)連續(xù)性，依據(jù)相關(guān)法律法規(guī)和標(biāo)準(zhǔn)，擬委托乙方提供專業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估服務(wù)；乙方擁有開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的專業(yè)能力、技術(shù)資源和經(jīng)驗(yàn)，愿意接受甲方的委托提供相關(guān)服務(wù)。雙方經(jīng)友好協(xié)商，依據(jù)《中華人民共和國(guó)民法典》及其他相關(guān)法律法規(guī)，達(dá)成如下協(xié)議，以資共同遵守。第一條定義與解釋除非本合同上下文另有明確約定，下列詞語具有以下含義：“網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估”是指乙方依據(jù)約定的標(biāo)準(zhǔn)、方法和技術(shù)，對(duì)甲方信息系統(tǒng)進(jìn)行資產(chǎn)識(shí)別、威脅分析、脆弱性分析、風(fēng)險(xiǎn)計(jì)算和處置建議的過程。“信息系統(tǒng)”是指甲方擁有的或運(yùn)營(yíng)的，包含網(wǎng)絡(luò)、硬件、軟件、數(shù)據(jù)等的任何系統(tǒng)?！靶畔①Y產(chǎn)”是指甲方信息系統(tǒng)中具有價(jià)值并需要保護(hù)的數(shù)據(jù)、系統(tǒng)、設(shè)備等?！奥┒础笔侵感畔⑾到y(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置或管理上存在的缺陷，可能被利用導(dǎo)致安全事件?！帮L(fēng)險(xiǎn)”是指特定威脅利用特定脆弱性導(dǎo)致信息資產(chǎn)遭受損失的可能性及其影響程度?！氨Ｃ苄畔ⅰ笔侵冈诤献鬟^程中一方披露給另一方的，未公開的，具有商業(yè)價(jià)值或敏感性的信息（包括但不限于技術(shù)方案、評(píng)估過程、發(fā)現(xiàn)的風(fēng)險(xiǎn)、客戶信息、內(nèi)部數(shù)據(jù)等）?！胺?wù)期限”指乙方提供風(fēng)險(xiǎn)評(píng)估服務(wù)的起止時(shí)間。“報(bào)告”指乙方完成風(fēng)險(xiǎn)評(píng)估后向甲方提交的正式評(píng)估結(jié)果文件?！安豢煽沽Α笔侵覆荒茴A(yù)見、不能避免并不能克服的客觀情況，包括但不限于地震、洪水、戰(zhàn)爭(zhēng)、政府行為、罷工、網(wǎng)絡(luò)中斷等。第二條服務(wù)內(nèi)容與范圍乙方同意根據(jù)本合同約定，為甲方提供以下網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估服務(wù)：2.1信息資產(chǎn)識(shí)別：乙方將協(xié)助甲方梳理和確認(rèn)需要評(píng)估的信息系統(tǒng)范圍，包括網(wǎng)絡(luò)拓?fù)?、關(guān)鍵主機(jī)系統(tǒng)、核心應(yīng)用服務(wù)、重要數(shù)據(jù)存儲(chǔ)等，并記錄在附件一《評(píng)估范圍清單》中。2.2威脅源識(shí)別：乙方將分析針對(duì)甲方信息系統(tǒng)的潛在威脅來源，如外部黑客攻擊、內(nèi)部人員誤操作或惡意行為、病毒、惡意軟件、拒絕服務(wù)攻擊等。2.3脆弱性分析與評(píng)估：乙方將對(duì)甲方信息系統(tǒng)進(jìn)行安全配置檢查，利用專業(yè)的漏洞掃描工具進(jìn)行掃描，并根據(jù)需要實(shí)施有限的滲透測(cè)試，以識(shí)別和評(píng)估存在的安全弱點(diǎn)。2.4風(fēng)險(xiǎn)評(píng)估：乙方將結(jié)合已識(shí)別的資產(chǎn)價(jià)值、威脅發(fā)生的可能性、脆弱性被利用的可能性以及可能造成的影響，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行評(píng)估，并劃分風(fēng)險(xiǎn)等級(jí)（例如：高、中、低）。2.5風(fēng)險(xiǎn)處置建議：針對(duì)評(píng)估出的中高風(fēng)險(xiǎn)點(diǎn)，乙方將提出具體、可行的技術(shù)修復(fù)、配置加固、管理措施或業(yè)務(wù)規(guī)避建議，以降低或消除風(fēng)險(xiǎn)。2.6報(bào)告編制與交付：乙方將在服務(wù)完成后，編制詳細(xì)的《網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》，內(nèi)容應(yīng)包括評(píng)估背景、方法、過程、發(fā)現(xiàn)的主要風(fēng)險(xiǎn)、風(fēng)險(xiǎn)評(píng)估結(jié)果以及詳細(xì)的風(fēng)險(xiǎn)處置建議，并提交給甲方。2.7服務(wù)范圍：本合同項(xiàng)下的服務(wù)范圍限于甲方指定的[例如：生產(chǎn)環(huán)境網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)、核心業(yè)務(wù)系統(tǒng)Web應(yīng)用、數(shù)據(jù)庫系統(tǒng)]（詳見附件一）。不包括甲方辦公區(qū)域的物理安全評(píng)估、終端安全評(píng)估、第三方供應(yīng)商信息系統(tǒng)的評(píng)估以及甲方日常運(yùn)維過程中的安全監(jiān)控服務(wù)。2.8雙方配合義務(wù)：2.8.1甲方義務(wù)：甲方應(yīng)向乙方提供為履行本合同所必需的訪問權(quán)限，包括但不限于網(wǎng)絡(luò)設(shè)備管理界面、服務(wù)器管理賬號(hào)、應(yīng)用系統(tǒng)測(cè)試賬號(hào)等；及時(shí)向乙方提供或更新與評(píng)估范圍相關(guān)的網(wǎng)絡(luò)拓?fù)鋱D、系統(tǒng)架構(gòu)圖、安全策略、配置文檔等必要資料；指定至少一名接口人負(fù)責(zé)與乙方溝通協(xié)調(diào)；根據(jù)乙方合理要求，配合進(jìn)行現(xiàn)場(chǎng)訪談或勘查（如需）；及時(shí)確認(rèn)和反饋乙方發(fā)現(xiàn)的問題；遵守乙方的安全保密要求。2.8.2乙方義務(wù)：乙方應(yīng)組建具備相應(yīng)資質(zhì)和經(jīng)驗(yàn)的項(xiàng)目團(tuán)隊(duì)執(zhí)行服務(wù)；按照約定的方法和標(biāo)準(zhǔn)進(jìn)行評(píng)估，確保評(píng)估過程的獨(dú)立性和客觀性；遵守甲方的安全管理規(guī)定和信息系統(tǒng)安全策略，采取必要措施保護(hù)甲方信息資產(chǎn)安全；妥善保管在服務(wù)過程中接觸到的甲方保密信息；按時(shí)、按質(zhì)完成服務(wù)并交付成果；對(duì)服務(wù)過程中獲知的甲方商業(yè)秘密承擔(dān)保密義務(wù)。第三條服務(wù)標(biāo)準(zhǔn)與要求3.1評(píng)估依據(jù)：風(fēng)險(xiǎn)評(píng)估將主要依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)要求（如適用）、ISO27005等信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)進(jìn)行。3.2評(píng)估方法：乙方將采用訪談、文檔查閱、配置核查、網(wǎng)絡(luò)掃描、系統(tǒng)探測(cè)、滲透測(cè)試（如約定）以及風(fēng)險(xiǎn)矩陣分析等方法綜合進(jìn)行評(píng)估。3.3報(bào)告質(zhì)量要求：乙方提交的《網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》應(yīng)內(nèi)容翔實(shí)、邏輯清晰、結(jié)論明確、建議具有針對(duì)性，能夠有效指導(dǎo)甲方后續(xù)的風(fēng)險(xiǎn)處置工作。第四條服務(wù)費(fèi)用與支付4.1服務(wù)費(fèi)用：本合同項(xiàng)下的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估服務(wù)費(fèi)總額為人民幣_(tái)_____元（大寫：______元整）。4.2費(fèi)用構(gòu)成：該費(fèi)用包含乙方為提供本合同約定的全部服務(wù)所需的人員成本、技術(shù)工具使用費(fèi)、差旅費(fèi)（不含乙方人員食宿費(fèi)，如需乙方人員食宿，費(fèi)用另行協(xié)商）等。4.3支付方式：甲方應(yīng)通過銀行轉(zhuǎn)賬方式支付服務(wù)費(fèi)。乙方應(yīng)在收到甲方支付的服務(wù)費(fèi)后，向甲方開具等額合規(guī)發(fā)票。4.4付款節(jié)點(diǎn)：4.4.1預(yù)付款：本合同簽訂后______日內(nèi)，甲方向乙方支付合同總服務(wù)費(fèi)的______%，即人民幣_(tái)_____元（大寫：______元整）。4.4.2進(jìn)度款：乙方完成信息資產(chǎn)識(shí)別和脆弱性掃描工作，并經(jīng)甲方書面確認(rèn)后______日內(nèi)，甲方向乙方支付合同總服務(wù)費(fèi)的______%，即人民幣_(tái)_____元（大寫：______元整）。4.4.3尾款：乙方提交最終《網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》，經(jīng)甲方審核確認(rèn)無誤后______日內(nèi)，甲方向乙方支付剩余合同總服務(wù)費(fèi)的______%，即人民幣_(tái)_____元（大寫：______元整）。4.5稅費(fèi)：合同約定的服務(wù)費(fèi)總額為含稅價(jià)格（或：合同約定的服務(wù)費(fèi)總額為不含稅價(jià)格，如需甲方承擔(dān)相關(guān)稅費(fèi)，應(yīng)明確具體稅種和計(jì)算方式）。第五條期限與地點(diǎn)5.1服務(wù)期限：本合同項(xiàng)下的服務(wù)自______年______月______日起至______年______月______日止，共計(jì)______天（或：服務(wù)期限為______個(gè)工作日，自甲方提供必要的訪問條件和資料之日起計(jì)算，具體開始時(shí)間以雙方書面確認(rèn)為準(zhǔn)）。5.2履行地點(diǎn)：服務(wù)地點(diǎn)主要在甲方指定地點(diǎn)（[甲方地址]）進(jìn)行，如需乙方人員前往甲方現(xiàn)場(chǎng)辦公，相關(guān)差旅安排由甲方承擔(dān)（或：乙方在自身辦公地點(diǎn)完成評(píng)估，相關(guān)數(shù)據(jù)傳輸由甲方負(fù)責(zé)安全保障）。第六條保密條款6.1保密義務(wù)：甲乙雙方對(duì)于從對(duì)方獲取的任何保密信息，均負(fù)有嚴(yán)格的保密義務(wù)。未經(jīng)對(duì)方事先書面同意，任何一方不得向任何第三方（但為履行本合同目的而需要知悉該等信息的己方雇員、顧問或分包商，并對(duì)其進(jìn)行保密義務(wù)約束者除外）披露、復(fù)制、使用或允許他人使用該等保密信息。6.2保密信息范圍：保密信息包括但不限于本合同內(nèi)容、甲乙雙方的商業(yè)計(jì)劃、技術(shù)方案、客戶信息、系統(tǒng)配置、漏洞數(shù)據(jù)、評(píng)估報(bào)告全文、內(nèi)部溝通記錄等所有未公開的信息。6.3保密期限：雙方的保密義務(wù)自本合同簽訂之日起生效，并在本合同終止后持續(xù)有效______年。6.4例外情況：本合同項(xiàng)下的保密義務(wù)不包括以下信息：（i）在披露前已為公眾所知的信息；（ii）非因本合同任何一方違約行為而為公眾所知的信息；（iii）從有權(quán)披露的第三方合法獲得的信息；（iv）根據(jù)法律法規(guī)或法院、行政機(jī)構(gòu)的要求或命令而披露的信息，但披露前應(yīng)盡力提前通知對(duì)方并尋求法律建議。6.5違約責(zé)任：任何一方違反本保密條款的約定，應(yīng)賠償因此給對(duì)方造成的全部直接經(jīng)濟(jì)損失。第七條知識(shí)產(chǎn)權(quán)7.1報(bào)告歸屬：乙方為履行本合同而編制的《網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》及其附件的知識(shí)產(chǎn)權(quán)（包括但不限于著作權(quán)）歸乙方所有。甲方有權(quán)在自身內(nèi)部范圍內(nèi)為評(píng)估目的使用該報(bào)告，不得將其用于任何外部第三方或用于本合同約定之外的任何目的。7.2其他成果：除《網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》外，乙方在服務(wù)過程中可能產(chǎn)生的其他分析工具、方法論等知識(shí)產(chǎn)權(quán)歸乙方所有。甲方不得要求乙方提供或復(fù)制除本合同約定的《報(bào)告》之外的乙方知識(shí)產(chǎn)權(quán)成果。第八條違約責(zé)任8.1甲方違約：若甲方未能按時(shí)支付服務(wù)費(fèi)用，每逾期一日，應(yīng)按逾期支付金額的______%向乙方支付違約金，但累計(jì)違約金不超過合同總服務(wù)費(fèi)的______%。若因甲方原因（如未能及時(shí)提供必要條件、配合、資料）導(dǎo)致乙方服務(wù)延誤或無法按計(jì)劃完成，乙方服務(wù)時(shí)間相應(yīng)順延，甲方仍需按原計(jì)劃支付相應(yīng)服務(wù)費(fèi)用。8.2乙方違約：若乙方未能按時(shí)交付《網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》，每逾期一日，應(yīng)按合同總服務(wù)費(fèi)的______%向甲方支付違約金，但累計(jì)違約金不超過合同總服務(wù)費(fèi)的______%。若乙方提供的服務(wù)成果存在重大質(zhì)量問題，經(jīng)甲方指出后未能及時(shí)有效修正，甲方有權(quán)要求乙方退還部分或全部已支付的服務(wù)費(fèi)用，并可根據(jù)情況要求乙方承擔(dān)相應(yīng)的賠償責(zé)任。8.3不可抗力：任何一方因不可抗力事件導(dǎo)致無法履行或無法完全履行本合同義務(wù)時(shí)，不承擔(dān)違約責(zé)任，但應(yīng)在事件發(fā)生后______日內(nèi)書面通知對(duì)方，并提供相關(guān)證明文件，并應(yīng)采取積極措施減少損失。雙方應(yīng)根據(jù)不可抗力影響程度，協(xié)商決定是否延期履行、部分履行或解除合同。第九條爭(zhēng)議解決凡因本合同引起的或與本合同有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交至[甲方/乙方]所在地有管轄權(quán)的人民法院通過訴訟解決。（或：協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交至[指定仲裁委員會(huì)名稱]，按照申請(qǐng)仲裁時(shí)該會(huì)現(xiàn)行有效的仲裁規(guī)則進(jìn)行仲裁。仲裁裁決是終局的，對(duì)雙方均有約束力。）第十條通知與送達(dá)雙方就本合同相關(guān)的所有通知、請(qǐng)求、要求或其他通訊應(yīng)以書面形式（包括但不限于專人遞送、掛號(hào)信、傳真、電子郵件）發(fā)送至本合同首部載明的地址或郵箱。以專人遞送方式發(fā)送的，送達(dá)時(shí)視為送達(dá)；以掛號(hào)信方式發(fā)送的，寄出后______日視為送達(dá)；以傳真或電子郵件方式發(fā)送的，發(fā)送成功時(shí)視為送達(dá)。任何一方變更聯(lián)系方式，應(yīng)提前______日書面通知對(duì)方。第十一條合同生效、變更與終止11.1生效：本合同自雙方授權(quán)代表簽字并加蓋公章（或合同專用章）之日起生效。11.2變更：對(duì)本合同的任何修改或補(bǔ)充，均須經(jīng)雙方書面同意并簽署補(bǔ)充協(xié)議，補(bǔ)充協(xié)議與本合同具有同等法律效力。11.3終止：本合同在以下情況下終止：（i）雙方履行完各自在本合同項(xiàng)下的全部義務(wù)；（ii）經(jīng)雙方協(xié)商一致同意終止；（iii）因一方嚴(yán)重違約，導(dǎo)致合同目的無法實(shí)現(xiàn)，守約方有權(quán)解除合同；（iv）一方進(jìn)入破產(chǎn)、清算程序。合同終止時(shí)，雙方應(yīng)進(jìn)行善后處理，包括費(fèi)用結(jié)算、資料返還、保密義務(wù)的繼續(xù)履行等。第十二條不可分割性本合同的任何條款的無效或不可執(zhí)行，不影響其他條款的效力。第十三條完整協(xié)議本合同及其附件構(gòu)成雙方就本合同標(biāo)的達(dá)成的完整協(xié)議，取代雙方此前就此達(dá)成的所有口頭或書面的協(xié)議、諒解和承諾。第十四條