企業(yè)數(shù)據(jù)安全能力成熟度評估協(xié)議2025年審計版甲方（委托評估方）：[填寫甲方公司全稱]法定代表人：[填寫]注冊地址：[填寫]聯(lián)系人：[填寫]聯(lián)系方式：[填寫]乙方（評估服務(wù)方）：[填寫乙方公司全稱]法定代表人：[填寫]注冊地址：[填寫]聯(lián)系人：[填寫]聯(lián)系方式：[填寫]鑒于甲方希望評估其數(shù)據(jù)安全能力成熟度，并委托乙方提供專業(yè)的評估服務(wù)，雙方根據(jù)《中華人民共和國合同法》及相關(guān)法律法規(guī)，經(jīng)友好協(xié)商，達(dá)成如下協(xié)議：第一條評估目的甲方的目的是通過乙方的專業(yè)服務(wù)，全面了解和評估自身在數(shù)據(jù)安全管理方面的能力水平，識別存在的不足和風(fēng)險，并獲得改進(jìn)建議，以提升整體數(shù)據(jù)安全防護(hù)能力，滿足相關(guān)合規(guī)要求。第二條評估范圍雙方同意，本次評估范圍包括但不限于以下方面：（一）甲方數(shù)據(jù)安全管理體系的建設(shè)情況，包括策略、制度、流程的制定與執(zhí)行；（二）甲方數(shù)據(jù)分類分級與敏感信息識別和保護(hù)措施；（三）甲方訪問控制策略的實施情況，包括身份認(rèn)證、權(quán)限管理等；（四）甲方數(shù)據(jù)加密技術(shù)的應(yīng)用情況，包括傳輸加密和存儲加密；（五）甲方數(shù)據(jù)安全運(yùn)維與監(jiān)控機(jī)制的有效性；（六）甲方數(shù)據(jù)安全事件應(yīng)急響應(yīng)與處置能力；（七）甲方數(shù)據(jù)安全意識與培訓(xùn)情況；（八）甲方涉及數(shù)據(jù)安全的第三方風(fēng)險管理；（九）其他雙方協(xié)商確定的與數(shù)據(jù)安全能力成熟度相關(guān)的領(lǐng)域。第三條評估依據(jù)本次評估將主要依據(jù)以下標(biāo)準(zhǔn)、框架或要求進(jìn)行：（一）《信息安全管理體系要求》（ISO27001）；（二）國家相關(guān)數(shù)據(jù)安全法律法規(guī)及標(biāo)準(zhǔn)（如《數(shù)據(jù)安全法》、《個人信息保護(hù)法》及相關(guān)國家標(biāo)準(zhǔn)）；（三）[如約定其他框架，請列出，例如：國家網(wǎng)絡(luò)安全等級保護(hù)要求、NISTCybersecurityFramework等]；（四）[如約定特定行業(yè)標(biāo)準(zhǔn)，請列出]；（五）雙方協(xié)商確認(rèn)的其他評估參考材料。第四條評估方法與流程乙方將采用包括但不限于以下方法開展評估工作：（一）文檔審閱：查閱甲方與數(shù)據(jù)安全相關(guān)的政策、制度、流程、記錄等文件；（二）現(xiàn)場訪談：與甲方相關(guān)部門負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行訪談；（三）技術(shù)檢測：對相關(guān)系統(tǒng)進(jìn)行配置核查、漏洞掃描或功能測試；（四）數(shù)據(jù)分析：分析相關(guān)日志、記錄等數(shù)據(jù)；（五）現(xiàn)場觀察：觀察甲方數(shù)據(jù)安全相關(guān)工作的實際執(zhí)行情況。評估流程主要包括以下階段：（一）準(zhǔn)備階段：乙方組建評估團(tuán)隊，制定詳細(xì)評估計劃，甲方提供必要支持和資源；（二）訪談與數(shù)據(jù)收集階段：乙方根據(jù)評估計劃，開展訪談、文檔審閱、技術(shù)檢測等工作，收集評估所需信息；（三）分析與報告階段：乙方對收集到的信息進(jìn)行分析，形成評估結(jié)論，撰寫評估報告；（四）反饋與溝通階段：乙方向甲方反饋評估初步結(jié)果，聽取甲方意見，修改完善評估報告，并進(jìn)行報告解讀溝通。第五條雙方權(quán)利與義務(wù)甲方的權(quán)利與義務(wù)：（一）甲方有權(quán)要求乙方按照協(xié)議約定提供專業(yè)、客觀、公正的評估服務(wù)；（二）甲方有權(quán)了解評估工作的進(jìn)展情況，并提出合理化建議；（三）甲方有權(quán)獲得最終的評估報告，并有權(quán)對報告內(nèi)容進(jìn)行合理的反饋；（四）甲方應(yīng)向乙方提供開展評估工作所需的必要信息、資源、場地、設(shè)備、人員配合及授權(quán)，并保證所提供信息的真實性、準(zhǔn)確性、完整性；（五）甲方應(yīng)指定專門接口人負(fù)責(zé)與乙方的溝通協(xié)調(diào)，并確保接口人具備相應(yīng)的權(quán)限和能力；（六）甲方應(yīng)按照協(xié)議約定及時足額支付評估服務(wù)費(fèi)用；（七）甲方應(yīng)遵守本協(xié)議的保密條款，對在評估過程中獲悉的乙方商業(yè)秘密和技術(shù)信息承擔(dān)保密義務(wù)。乙方的權(quán)利與義務(wù)：（一）乙方有權(quán)按照協(xié)議約定收取評估服務(wù)費(fèi)用；（二）乙方有權(quán)要求甲方提供開展評估工作所需的必要條件和支持；（三）乙方應(yīng)組建具備相應(yīng)資質(zhì)和經(jīng)驗的評估團(tuán)隊，按照約定方法和流程獨(dú)立、客觀地開展評估工作；（四）乙方應(yīng)確保評估過程符合約定的評估依據(jù)和標(biāo)準(zhǔn)；（五）乙方有義務(wù)對在評估過程中從甲方獲取的所有信息（包括商業(yè)秘密、技術(shù)信息、經(jīng)營信息等）承擔(dān)嚴(yán)格的保密義務(wù)，未經(jīng)甲方書面同意，不得向任何第三方泄露；（六）乙方應(yīng)按時完成評估工作，并向甲方提交符合要求的評估報告；（七）乙方應(yīng)積極配合甲方進(jìn)行評估結(jié)果的溝通和解讀；（八）乙方應(yīng)遵守本協(xié)議的保密條款，并在評估服務(wù)結(jié)束后，按照約定繼續(xù)履行保密義務(wù)。第六條評估報告（一）乙方應(yīng)在協(xié)議約定的評估周期內(nèi)完成評估工作，并向甲方提交正式的評估報告。評估報告應(yīng)結(jié)構(gòu)清晰、內(nèi)容詳實，至少包括評估概述、評估依據(jù)、評估范圍、評估過程、主要評估發(fā)現(xiàn)（包括優(yōu)勢與不足）、數(shù)據(jù)安全能力成熟度等級評定、相關(guān)風(fēng)險分析以及具體的改進(jìn)建議等內(nèi)容。（二）評估報告應(yīng)采用書面形式，可以是電子版或紙質(zhì)版，具體形式由雙方協(xié)商確定。（三）乙方應(yīng)在提交評估報告前，與甲方進(jìn)行溝通，解讀報告主要內(nèi)容和結(jié)論，并根據(jù)甲方的合理意見對報告進(jìn)行必要的完善。（四）甲方對評估報告的意見反饋應(yīng)在收到報告后[填寫天數(shù)，如：十個工作日]內(nèi)以書面形式提交給乙方。第七條費(fèi)用與支付（一）本次數(shù)據(jù)安全能力成熟度評估服務(wù)的總費(fèi)用為人民幣[填寫金額]元（大寫：[填寫大寫金額]整）。（二）該費(fèi)用包含乙方為完成本次評估所投入的所有成本，包括但不限于評估人員費(fèi)用、差旅費(fèi)、報告撰寫費(fèi)用等。（三）費(fèi)用支付方式為：甲方應(yīng)在本協(xié)議簽訂后[填寫天數(shù)，如：五個工作日]內(nèi)，向乙方支付總費(fèi)用的[填寫百分比，如：50%]即人民幣[填寫金額]元（大寫：[填寫大寫金額]整）；剩余[填寫百分比，如：50%]即人民幣[填寫金額]元（大寫：[填寫大寫金額]整），在乙方提交正式評估報告且甲方驗收合格后[填寫天數(shù)，如：十個工作日]內(nèi)支付。（四）甲方應(yīng)將款項支付至乙方指定的以下銀行賬戶：開戶名稱：[填寫乙方開戶名稱]開戶銀行：[填寫乙方開戶銀行]銀行賬號：[填寫乙方銀行賬號]（五）所有稅費(fèi)由[填寫承擔(dān)方，如：甲方/乙方]承擔(dān)。第八條保密條款（一）甲乙雙方確認(rèn)，在本協(xié)議履行過程中及協(xié)議終止后[填寫年限，如：五]年內(nèi)，雙方及參與評估工作的乙方人員（以下簡稱“接觸方”）均負(fù)有保密義務(wù)。保密信息是指雙方在合作過程中獲悉的，與對方商業(yè)秘密、技術(shù)信息、經(jīng)營信息、數(shù)據(jù)安全策略等相關(guān)的，未公開的信息，無論其形式（書面、口頭、電子等）。（二）接觸方僅能為了履行本協(xié)議之目的，在必要時并按照甲乙雙方的要求，有限度地獲取和使用保密信息，不得向任何第三方泄露、披露或允許他人使用保密信息，不得將保密信息用于本協(xié)議約定之外的目的。（三）除非事先獲得信息披露方書面同意，任何一方不得將保密信息以任何方式轉(zhuǎn)讓、許可或出售給任何第三方。（四）本保密條款具有獨(dú)立性，即使本協(xié)議的任何其他條款被認(rèn)定為無效或不可執(zhí)行，本保密條款仍然有效并繼續(xù)約束雙方。（五）本協(xié)議終止后，本保密條款的規(guī)定仍然有效，雙方及接觸方仍應(yīng)承擔(dān)相應(yīng)的保密義務(wù)。第九條獨(dú)立性與客觀性乙方在執(zhí)行評估服務(wù)時，應(yīng)保持獨(dú)立于甲方的立場，不受任何可能影響評估客觀性因素的影響。評估結(jié)論應(yīng)基于客觀事實和充分、適當(dāng)?shù)淖C據(jù)，公正地反映甲方數(shù)據(jù)安全能力的真實狀況。第十條違約責(zé)任（一）若甲方未能按照本協(xié)議約定按時支付評估服務(wù)費(fèi)用，每逾期一日，應(yīng)按逾期支付金額的[填寫比例，如：千分之零點(diǎn)五]向乙方支付違約金。逾期超過[填寫天數(shù)，如：三十]日，乙方有權(quán)暫停評估工作或單方解除本協(xié)議，并要求甲方支付已完成工作的相應(yīng)費(fèi)用及全部違約金。（二）若乙方未能按照本協(xié)議約定按時提交合格的評估報告，每逾期一日，應(yīng)按本協(xié)議總費(fèi)用的[填寫比例，如：千分之零點(diǎn)五]向甲方支付違約金。逾期超過[填寫天數(shù)，如：三十]日，甲方有權(quán)單方解除本協(xié)議，并要求乙方退還已支付的部分或全部費(fèi)用及全部違約金。（三）若任何一方違反本協(xié)議的保密條款，給對方造成損失的，違約方應(yīng)承擔(dān)賠償責(zé)任（包括但不限于直接損失、間接損失及為調(diào)查損失所支付的合理費(fèi)用）。（四）因一方違約導(dǎo)致本協(xié)議無法繼續(xù)履行的，守約方有權(quán)解除本協(xié)議，并要求違約方承擔(dān)相應(yīng)的違約責(zé)任。第十一條不可抗力（一）不可抗力是指不能預(yù)見、不能避免并不能克服的客觀情況，包括但不限于地震、臺風(fēng)、洪水、火災(zāi)、戰(zhàn)爭、動亂、政府行為、法律政策變化、網(wǎng)絡(luò)攻擊等。（二）發(fā)生不可抗力事件時，受影響方應(yīng)立即通知對方，并在合理期限內(nèi)提供不可抗力事件的有效證明文件。（三）因不可抗力事件導(dǎo)致本協(xié)議部分或全部無法履行的，雙方應(yīng)根據(jù)事件影響程度，協(xié)商決定延期履行、部分履行或解除本協(xié)議。因不可抗力造成的損失，雙方各自承擔(dān)。第十二條法律適用與爭議解決（一）本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國大陸地區(qū)法律。（二）因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭議提交[選擇仲裁或訴訟，如：甲方所在地有管轄權(quán)的人民法院訴訟解決/提請[填寫仲裁委員會名稱]按照其屆時有效的仲裁規(guī)則進(jìn)行仲裁，仲裁裁決是終局的，對雙方均有約束力]。第十三條通知雙方之間的所有通知、請求、要求或其他通訊均應(yīng)以書面形式，通過專人遞送、掛號信、傳真、電子郵件等方式發(fā)送至本協(xié)議首頁載明的地址或聯(lián)系方式。以專人遞送方式發(fā)送的，送達(dá)之日視為送達(dá)；以掛號信方式發(fā)送的，寄出后[填寫天數(shù)，如：三]日視為送達(dá)；以傳真或電子郵件方式發(fā)送的，成功發(fā)送之日視為送達(dá)。任何一方變更聯(lián)系方式，應(yīng)提前[填寫天數(shù)，如：七]日書面通知對方。第十四條協(xié)議的變更與解除（一）對本協(xié)議的任何修改或補(bǔ)充，均需經(jīng)雙方書面同意。（二）除本協(xié)議另有約定外，任何一方未經(jīng)對方書面同意，不得單方解除本協(xié)議。若因法定原因或雙方協(xié)商一致解除本協(xié)議，雙方應(yīng)在解除后[填寫天數(shù)，如：十五]日內(nèi)，結(jié)清所有款項，乙方應(yīng)向甲方交付所有屬于甲方的資料和財產(chǎn)，甲方應(yīng)向乙方支付已完成工