企業(yè)數(shù)據(jù)安全能力成熟度評估協(xié)議2025版甲方（評估機(jī)構(gòu)）：[甲方公司全稱]地址：[甲方公司注冊地址]統(tǒng)一社會信用代碼：[甲方統(tǒng)一社會信用代碼]乙方（被評估企業(yè)）：[乙方公司全稱]地址：[乙方公司注冊地址]統(tǒng)一社會信用代碼：[乙方統(tǒng)一社會信用代碼]鑒于：1.甲方具備開展企業(yè)數(shù)據(jù)安全能力成熟度評估的專業(yè)資質(zhì)和經(jīng)驗，能夠依據(jù)國家相關(guān)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐，對乙方數(shù)據(jù)安全能力進(jìn)行客觀、全面的評估；2.乙方希望借助甲方的專業(yè)服務(wù)，對其數(shù)據(jù)安全能力進(jìn)行成熟度評估，以識別現(xiàn)狀與目標(biāo)的差距，發(fā)現(xiàn)潛在風(fēng)險，并獲得改進(jìn)建議，從而提升整體數(shù)據(jù)安全防護(hù)水平；3.甲乙雙方在平等、自愿、公平和誠實(shí)信用的基礎(chǔ)上，經(jīng)友好協(xié)商，就乙方委托甲方進(jìn)行數(shù)據(jù)安全能力成熟度評估事宜，達(dá)成如下協(xié)議：第一條定義1.1本協(xié)議所稱“數(shù)據(jù)安全能力成熟度評估”，是指甲方依據(jù)約定的評估范圍、評估模型和評估方法，對乙方在數(shù)據(jù)安全方面的組織管理、資產(chǎn)管理、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、人員安全、供應(yīng)鏈安全等方面所具備的防護(hù)能力進(jìn)行系統(tǒng)性評估，并出具評估報告的服務(wù)活動。1.2“評估范圍”是指本協(xié)議約定的乙方需要接受評估的業(yè)務(wù)系統(tǒng)、數(shù)據(jù)類型、組織部門或整體情況的范圍。1.3“評估模型”是指甲方用于開展評估所依據(jù)的成熟度框架或方法論，具體為[請在此處填寫具體采用的評估模型名稱，如“基于ISO27001合規(guī)性的評估模型”或“基于NISTCSF的評估模型”等]。1.4“評估方法”是指甲方在評估過程中采用的技術(shù)手段，包括但不限于訪談、文檔審閱、問卷調(diào)查、配置核查、工具掃描、模擬攻擊等。1.5“數(shù)據(jù)安全能力成熟度等級”是指根據(jù)評估結(jié)果，對乙方整體或特定領(lǐng)域數(shù)據(jù)安全能力所劃分的級別，通常分為初步級、增強(qiáng)級、高級、優(yōu)化級等。1.6“評估報告”是指甲方在完成評估工作后提交的，包含評估過程、評估發(fā)現(xiàn)、風(fēng)險分析、成熟度等級判定和改進(jìn)建議等內(nèi)容的正式文件。1.7“保密信息”是指本協(xié)議約定由一方向另一方披露的，或者一方在履行本協(xié)議過程中知悉的，未公開的，與商業(yè)、技術(shù)、管理、財務(wù)等相關(guān)的，具有保密價值的資料、信息或數(shù)據(jù)。1.8“不可抗力”是指不能預(yù)見、不能避免并不能克服的客觀情況，包括但不限于自然災(zāi)害、戰(zhàn)爭、政府行為、疫情等。第二條評估范圍與對象2.1評估范圍：甲方對乙方[請在此處詳細(xì)描述評估的具體范圍，例如：涉及核心業(yè)務(wù)系統(tǒng)的生產(chǎn)環(huán)境數(shù)據(jù)、特定類型個人信息、數(shù)據(jù)安全管理制度體系的合規(guī)性、云平臺上的數(shù)據(jù)安全配置等]的數(shù)據(jù)安全能力進(jìn)行成熟度評估。2.2評估對象：乙方[請在此處描述被評估的具體對象，例如：總部及XX分公司的IT部門、XX業(yè)務(wù)線、數(shù)據(jù)庫管理系統(tǒng)DB1、應(yīng)用程序APP2等]。第三條評估方法與流程3.1評估方法：甲方將采用訪談、文檔審閱、問卷調(diào)查、配置核查、滲透測試[請根據(jù)實(shí)際情況勾選或補(bǔ)充評估方法]等方法開展評估工作。3.2評估流程：3.2.1啟動階段：協(xié)議生效后[X]個工作日內(nèi)，甲乙雙方共同召開啟動會，明確評估目標(biāo)、范圍、計劃，成立雙方評估小組。3.2.2信息收集與現(xiàn)場評估階段：甲方評估小組在[XX]日內(nèi)對乙方進(jìn)行現(xiàn)場調(diào)研或遠(yuǎn)程溝通，收集評估所需信息，執(zhí)行評估方法，完成數(shù)據(jù)采集和分析工作。3.2.3報告撰寫階段：甲方在收到乙方確認(rèn)的最終評估材料后[XX]個工作日內(nèi)，完成評估報告的初稿，并與乙方進(jìn)行溝通反饋，根據(jù)乙方意見修改完善后，提交正式評估報告。3.2.4[可選]改進(jìn)建議實(shí)施支持階段：乙方可根據(jù)評估報告中的建議，委托甲方提供后續(xù)的咨詢或?qū)嵤┲С址?wù)，具體另行協(xié)商。第四條雙方權(quán)利與義務(wù)4.1甲方的權(quán)利與義務(wù)：4.1.1享有按照本協(xié)議約定收取評估費(fèi)用的權(quán)利。4.1.2有權(quán)要求乙方提供開展評估工作所需的必要信息、資源、場地和人員配合。4.1.3應(yīng)按照約定的評估范圍、模型和方法，獨(dú)立、客觀、公正地開展評估工作。4.1.4指派具備相應(yīng)資質(zhì)和經(jīng)驗的評估人員執(zhí)行評估任務(wù)。4.1.5按時提交符合約定的評估報告。4.1.6對在評估過程中接觸到的乙方保密信息承擔(dān)保密義務(wù)。4.1.7遵守國家有關(guān)法律法規(guī)及行業(yè)規(guī)范。4.2乙方的權(quán)利與義務(wù)：4.2.1有權(quán)要求甲方按照協(xié)議約定提供專業(yè)、高質(zhì)量的評估服務(wù)。4.2.2應(yīng)指定一名接口人，負(fù)責(zé)與甲方評估小組的溝通協(xié)調(diào)。4.2.3應(yīng)在協(xié)議約定的期限內(nèi)，向甲方提供真實(shí)、準(zhǔn)確、完整的評估所需信息、資料和必要的系統(tǒng)訪問權(quán)限，并保證提供的人員具備相應(yīng)的知情權(quán)。4.2.4應(yīng)為甲方評估人員提供必要的辦公場所、設(shè)備支持，并安排相關(guān)人員配合訪談和問卷調(diào)查。4.2.5對在評估過程中知悉的甲方商業(yè)秘密承擔(dān)保密義務(wù)。4.2.6按照本協(xié)議約定按時支付評估費(fèi)用。4.2.7應(yīng)根據(jù)評估報告結(jié)果，評估自身數(shù)據(jù)安全狀況，并考慮制定和實(shí)施改進(jìn)措施。第五條評估報告5.1甲方應(yīng)在評估工作基本完成后[XX]日內(nèi)，向乙方提交書面評估報告。5.2評估報告應(yīng)包含但不限于以下內(nèi)容：評估背景、評估依據(jù)、評估范圍、評估方法、評估過程概述、主要評估發(fā)現(xiàn)（包括優(yōu)勢與不足）、數(shù)據(jù)安全風(fēng)險分析、數(shù)據(jù)安全能力成熟度等級評定、針對性的改進(jìn)建議等。5.3乙方在收到評估報告初稿后[X]個工作日內(nèi)，以書面形式提出修改意見，甲方根據(jù)合理意見進(jìn)行修改。乙方逾期未提出意見的，視為對報告初稿無異議。5.4甲方提交的最終評估報告為具有約束力的文件。第六條費(fèi)用與支付6.1本協(xié)議項下的評估服務(wù)費(fèi)用總額為人民幣[金額]元（大寫：[金額大寫]）。6.2費(fèi)用構(gòu)成：該費(fèi)用包含[請說明費(fèi)用包含的項目，例如：評估人員差旅費(fèi)、評估工具使用費(fèi)、報告撰寫費(fèi)等，若不含差旅，需注明]。6.3支付方式：乙方應(yīng)在本協(xié)議簽訂后[X]日內(nèi)，向甲方支付總費(fèi)用的[百分比]%，即人民幣[金額]元（大寫：[金額大寫]）；在甲方提交正式評估報告后[X]日內(nèi)，支付剩余的[百分比]%，即人民幣[金額]元（大寫：[金額大寫]）。6.4甲方應(yīng)在收到乙方每期付款后，向乙方開具等額合法的增值稅[普通/專用]發(fā)票。第七條保密條款7.1甲乙雙方確認(rèn)，在本協(xié)議有效期內(nèi)及協(xié)議終止后[年數(shù)]年內(nèi)，雙方及其參與本協(xié)議項下工作的員工、代理人不得以任何方式泄露、使用或允許他人使用對方的保密信息，但以下情況除外：7.1.1該保密信息已為公眾所知非因一方原因；7.1.2該保密信息已事先獲得對方書面同意；7.1.3法律法規(guī)要求披露該保密信息；7.1.4為履行本協(xié)議之目的，向具有相應(yīng)保密義務(wù)的第三方披露，且僅限于必要的范圍。7.2任何一方因違反本條約定，給對方造成損失的，應(yīng)承擔(dān)賠償責(zé)任。7.3本保密條款具有獨(dú)立效力，不因本協(xié)議的任何條款的無效或終止而失效。第八條知識產(chǎn)權(quán)8.1甲方在履行本協(xié)議前已擁有的知識產(chǎn)權(quán)，包括但不限于評估模型、方法論、軟件工具等，仍歸甲方所有。8.2乙方支付全部評估費(fèi)用后，本協(xié)議項下由甲方為乙方定制生成的評估報告中的[請明確約定知識產(chǎn)權(quán)歸屬，例如：分析結(jié)論、改進(jìn)建議等]部分的知識產(chǎn)權(quán)歸乙方所有。評估報告中涉及甲方通用方法論、模型、工具部分及甲方其他客戶的信息仍歸甲方所有。8.3任何一方不得侵犯對方的知識產(chǎn)權(quán)，如因一方原因?qū)е聦Ψ街R產(chǎn)權(quán)受到侵害的，侵權(quán)方應(yīng)負(fù)責(zé)賠償損失。第九條期限與終止9.1本協(xié)議自雙方授權(quán)代表簽字并加蓋公章（或合同專用章）之日起生效，有效期為[年數(shù)]年，或至評估報告提交之日止，以先到期者為準(zhǔn)。9.2除本協(xié)議另有約定外，任何一方單方面終止本協(xié)議，應(yīng)提前[XX]日書面通知對方，并承擔(dān)由此給對方造成的損失。9.3發(fā)生以下情況之一，守約方有權(quán)書面通知違約方終止本協(xié)議：9.3.1一方嚴(yán)重違反本協(xié)議約定，經(jīng)守約方書面催告后[XX]日內(nèi)仍未糾正的；9.3.2一方進(jìn)入破產(chǎn)、清算或解散程序的；9.3.3出現(xiàn)不可抗力，且影響持續(xù)超過[XX]日的。9.4協(xié)議終止后，雙方應(yīng)結(jié)清所有未付款項，甲方應(yīng)向乙方返還屬于乙方的資料，并繼續(xù)履行保密義務(wù)。第十條違約責(zé)任10.1若乙方未按時支付評估費(fèi)用，每逾期一日，應(yīng)按逾期支付金額的[百分比，例如：千分之零點(diǎn)五]向甲方支付違約金，逾期超過[天數(shù)]日的，甲方有權(quán)暫停服務(wù)或單方解除本協(xié)議，并要求乙方支付全部費(fèi)用及賠償損失。10.2若甲方未能按時提交評估報告，每逾期一日，應(yīng)按本協(xié)議總費(fèi)用的[百分比，例如：千分之零點(diǎn)五]向乙方支付違約金，逾期超過[天數(shù)]日的，乙方有權(quán)單方解除本協(xié)議，并要求甲方退還部分或全部已付款項，并賠償損失。10.3任何一方違反保密義務(wù)，給對方造成損失的，應(yīng)賠償對方的直接經(jīng)濟(jì)損失，包括但不限于調(diào)查費(fèi)、訴訟費(fèi)、律師費(fèi)等。10.4本協(xié)議其他條款對違約責(zé)任另有約定的，從其約定。第十一條不可抗力11.1因不可抗力導(dǎo)致本協(xié)議無法履行或延遲履行的，遭遇不可抗力的一方不承擔(dān)違約責(zé)任，但應(yīng)在不可抗力發(fā)生后[XX]日內(nèi)書面通知對方，并提供相關(guān)證明文件。11.2雙方應(yīng)根據(jù)不可抗力的影響，協(xié)商決定是否延期履行、部分履行或解除本協(xié)議。因不可抗力影響，履行期限可適當(dāng)延長。第十二條法律適用與爭議解決12.1本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律。12.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決；協(xié)商不成的，任何一方均有權(quán)向[請選擇仲裁機(jī)構(gòu)名稱，例如：中國國際經(jīng)濟(jì)貿(mào)易仲裁委員會]申請仲裁，仲裁裁決是終局的，對雙方均有約束力。/或向乙方所在地有管轄權(quán)的人民法院提起訴訟。第十三條其他13.1本協(xié)議構(gòu)成雙方就本協(xié)議標(biāo)的事項達(dá)成的完整協(xié)議，取代之前所有的口頭或書面溝通、協(xié)議、諒解等。13.2對本協(xié)議的任何修改或補(bǔ)充，均須經(jīng)