企業(yè)數(shù)據(jù)安全治理框架協(xié)議2025年訪問控制本協(xié)議由以下雙方于[日期]在[地點(diǎn)]簽訂：甲方：[甲方公司名稱]法定代表人：[法定代表人姓名]注冊(cè)地址：[甲方注冊(cè)地址]統(tǒng)一社會(huì)信用代碼：[甲方統(tǒng)一社會(huì)信用代碼]乙方：[乙方公司名稱]法定代表人：[法定代表人姓名]注冊(cè)地址：[乙方注冊(cè)地址]統(tǒng)一社會(huì)信用代碼：[乙方統(tǒng)一社會(huì)信用代碼]鑒于：1.甲方作為一家從事[甲方主營業(yè)務(wù)簡述]業(yè)務(wù)的公司，在日常經(jīng)營活動(dòng)中處理并擁有大量數(shù)據(jù)資產(chǎn)，包括但不限于個(gè)人數(shù)據(jù)、商業(yè)秘密、經(jīng)營數(shù)據(jù)及其他敏感信息，甲方高度重視數(shù)據(jù)安全，并致力于建立和維護(hù)健全的數(shù)據(jù)安全治理框架。2.甲方為有效管理其數(shù)據(jù)安全風(fēng)險(xiǎn)，特別是在訪問控制方面，制定了《企業(yè)數(shù)據(jù)安全治理框架協(xié)議2025年訪問控制》（以下簡稱“本協(xié)議”或“框架協(xié)議”），旨在規(guī)范和明確數(shù)據(jù)訪問控制的策略、流程和責(zé)任。3.乙方作為[乙方角色，如：甲方員工、合作伙伴、供應(yīng)商、系統(tǒng)服務(wù)提供商等]，在參與甲方業(yè)務(wù)活動(dòng)或接觸甲方信息系統(tǒng)及數(shù)據(jù)時(shí)，需要遵守甲方的數(shù)據(jù)安全要求，特別是本協(xié)議中規(guī)定的訪問控制相關(guān)內(nèi)容。4.甲乙雙方本著平等互利、誠實(shí)信用的原則，經(jīng)友好協(xié)商，就乙方遵守甲方訪問控制框架達(dá)成如下協(xié)議，以資共同遵守。第一條定義除非本協(xié)議上下文另有解釋，下列詞語具有以下含義：1.1訪問控制：指根據(jù)企業(yè)數(shù)據(jù)安全治理策略，限制或允許特定用戶或系統(tǒng)訪問特定數(shù)據(jù)或信息系統(tǒng)的措施、過程和規(guī)則。1.2數(shù)據(jù)：指任何以電子或其他形式記錄的與個(gè)人相關(guān)或與商業(yè)、經(jīng)營相關(guān)的信息，包括但不限于個(gè)人信息、個(gè)人敏感信息、商業(yè)秘密、財(cái)務(wù)數(shù)據(jù)、運(yùn)營數(shù)據(jù)等。1.3數(shù)據(jù)主體：指其個(gè)人信息被處理的個(gè)人。1.4授權(quán)：指授予用戶訪問特定數(shù)據(jù)或使用特定系統(tǒng)權(quán)限的明確許可。1.5最小權(quán)限原則：指僅授予用戶為完成其工作所必需的最低級(jí)別訪問權(quán)限。1.6職責(zé)分離原則：指避免單個(gè)個(gè)體擁有執(zhí)行關(guān)鍵業(yè)務(wù)流程所需的所有權(quán)限。1.7身份識(shí)別與認(rèn)證：指確認(rèn)用戶或系統(tǒng)身份的過程，通常包括用戶名/密碼、多因素認(rèn)證等方式。1.8審計(jì)日志：指記錄用戶訪問活動(dòng)、系統(tǒng)事件及操作痕跡的日志。1.9特權(quán)賬戶：指擁有較高權(quán)限，能夠訪問或操作系統(tǒng)核心功能或敏感數(shù)據(jù)的賬戶。1.10安全事件：指可能導(dǎo)致數(shù)據(jù)泄露、濫用、丟失或系統(tǒng)被破壞的安全相關(guān)事件。1.11框架協(xié)議：指甲方制定的《企業(yè)數(shù)據(jù)安全治理框架協(xié)議2025年訪問控制》。1.12保密信息：指本協(xié)議項(xiàng)下未公開的、與甲方數(shù)據(jù)安全或業(yè)務(wù)相關(guān)的任何信息，無論其形式如何。1.13有效期限：指本協(xié)議的約定有效期，自生效之日起計(jì)算。第二條訪問控制框架遵守義務(wù)2.1乙方同意并承諾在處理甲方數(shù)據(jù)或訪問甲方信息系統(tǒng)時(shí)，嚴(yán)格遵守甲方框架協(xié)議中規(guī)定的訪問控制原則、策略和規(guī)程。2.2乙方同意僅使用經(jīng)甲方明確授權(quán)的賬戶登錄甲方信息系統(tǒng)，并僅使用該賬戶訪問其工作職責(zé)所必需的數(shù)據(jù)和功能。2.3乙方必須遵守甲方關(guān)于身份識(shí)別與認(rèn)證的要求，包括但不限于使用強(qiáng)密碼、啟用多因素認(rèn)證（如適用）、妥善保管賬戶憑證等。2.4乙方不得將自身的賬戶憑證（包括用戶名、密碼、密鑰等）泄露、出借、轉(zhuǎn)讓或授權(quán)給任何第三方使用。2.5乙方同意按照甲方的權(quán)限管理流程申請(qǐng)、變更和釋放訪問權(quán)限，不得以任何方式越權(quán)訪問數(shù)據(jù)或系統(tǒng)。2.6乙方在訪問過程中，必須嚴(yán)格遵守最小權(quán)限原則和職責(zé)分離原則，不得進(jìn)行與工作職責(zé)無關(guān)的操作。2.7乙方必須妥善保管所接觸到的敏感數(shù)據(jù)，不得非法復(fù)制、傳輸、存儲(chǔ)或披露給任何未經(jīng)授權(quán)的第三方。2.8乙方同意配合甲方進(jìn)行訪問控制相關(guān)的審計(jì)和調(diào)查，及時(shí)提供所需的賬戶信息、操作記錄等資料。2.9乙方必須妥善記錄并妥善保管其因工作需要產(chǎn)生的與甲方數(shù)據(jù)訪問相關(guān)的操作記錄。2.10乙方在發(fā)現(xiàn)任何可能違反訪問控制規(guī)定的行為或潛在安全風(fēng)險(xiǎn)時(shí)，應(yīng)立即向甲方指定的數(shù)據(jù)安全或IT部門報(bào)告。第三條技術(shù)要求3.1乙方同意遵守甲方為實(shí)施訪問控制而部署的技術(shù)措施，包括但不限于：a)使用甲方指定的身份和訪問管理（IAM）系統(tǒng)進(jìn)行登錄和權(quán)限管理；b)按照甲方要求啟用和使用多因素認(rèn)證（MFA）；c)遵守甲方關(guān)于網(wǎng)絡(luò)訪問控制（NAC）和安全終端管理的相關(guān)規(guī)定；d)使用甲方批準(zhǔn)的加密工具對(duì)敏感數(shù)據(jù)進(jìn)行加密處理（如適用）；e)遵守甲方關(guān)于特權(quán)訪問管理（PAM）系統(tǒng)的使用規(guī)定（如適用）。第四條職責(zé)與協(xié)作4.1甲方負(fù)責(zé)制定、維護(hù)和更新訪問控制框架協(xié)議（即本協(xié)議所述的甲方內(nèi)部文件），并負(fù)責(zé)提供必要的技術(shù)支持和培訓(xùn)。4.2乙方負(fù)責(zé)確保自身及其直接或間接控制的第三方（如乙方員工、代理人）遵守本協(xié)議項(xiàng)下的訪問控制義務(wù)。4.3甲方有權(quán)對(duì)乙方的訪問控制行為進(jìn)行監(jiān)督、檢查和審計(jì)，乙方應(yīng)予以配合。4.4雙方同意建立溝通機(jī)制，就訪問控制相關(guān)的政策更新、技術(shù)變更、安全事件等進(jìn)行及時(shí)溝通。第五條審計(jì)與日志5.1甲方有權(quán)訪問和審查與乙方訪問控制活動(dòng)相關(guān)的審計(jì)日志和記錄，乙方應(yīng)提供必要的訪問權(quán)限和協(xié)助。5.2乙方應(yīng)確保其自身系統(tǒng)記錄的訪問日志的完整性、準(zhǔn)確性和保密性，并按照甲方要求或法律法規(guī)規(guī)定的時(shí)間段保存日志記錄。第六條違約責(zé)任6.1若乙方違反本協(xié)議第二條約定的任何訪問控制義務(wù)，甲方有權(quán)采取包括但不限于以下措施：發(fā)出警告、暫?；蚪K止對(duì)乙方的數(shù)據(jù)訪問權(quán)限、解除與乙方的相關(guān)業(yè)務(wù)合作、要求乙方承擔(dān)相應(yīng)的賠償責(zé)任。6.2若因乙方違反本協(xié)議導(dǎo)致甲方數(shù)據(jù)泄露、系統(tǒng)受損或其他損失，乙方應(yīng)承擔(dān)相應(yīng)的法律責(zé)任和經(jīng)濟(jì)賠償責(zé)任，包括但不限于因監(jiān)管機(jī)構(gòu)罰款、對(duì)數(shù)據(jù)主體進(jìn)行賠償?shù)犬a(chǎn)生的費(fèi)用，甲方有權(quán)向乙方追償。6.3乙方違反本協(xié)議項(xiàng)下保密義務(wù)，應(yīng)承擔(dān)相應(yīng)的違約責(zé)任。第七條期限與終止7.1本協(xié)議的有效期限自雙方簽字蓋章之日起生效，有效期為[年數(shù)]年，除非本協(xié)議另有約定或提前終止。7.2若任何一方嚴(yán)重違反本協(xié)議且在收到對(duì)方書面通知后[天數(shù)]日內(nèi)未能糾正，守約方有權(quán)單方面解除本協(xié)議，并追究違約方的責(zé)任。7.3協(xié)議期滿前[天數(shù)]日，如雙方無書面異議，本協(xié)議可自動(dòng)續(xù)展[年數(shù)]年，續(xù)展次數(shù)不限/限制[次數(shù)]次。7.4無論因何種原因?qū)е卤緟f(xié)議終止，乙方在本協(xié)議項(xiàng)下的義務(wù)，特別是保密義務(wù)、數(shù)據(jù)安全責(zé)任等，在本協(xié)議終止后[年數(shù)]年內(nèi)仍然有效。第八條不可抗力8.1“不可抗力”是指不能預(yù)見、不能避免并不能克服的客觀情況，包括但不限于地震、臺(tái)風(fēng)、洪水、火災(zāi)、戰(zhàn)爭、罷工、政府行為、法律政策變化、病毒入侵、網(wǎng)絡(luò)攻擊等。8.2遭遇不可抗力的一方應(yīng)在不可抗力發(fā)生后[天數(shù)]日內(nèi)書面通知另一方，并提供相關(guān)證明。雙方應(yīng)根據(jù)不可抗力的影響，協(xié)商決定是否延遲履行、部分履行或解除本協(xié)議。8.3因不可抗力導(dǎo)致本協(xié)議無法履行的，雙方互不承擔(dān)違約責(zé)任。第九條法律適用與爭議解決9.1本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律。9.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決；協(xié)商不成的，任何一方均有權(quán)向[選擇一項(xiàng)：甲方所在地/乙方所在地/指定仲裁機(jī)構(gòu)名稱]有管轄權(quán)的人民法院提起訴訟/提交[指定仲裁機(jī)構(gòu)名稱]按照其屆時(shí)有效的仲裁規(guī)則進(jìn)行仲裁。第十條保密10.1除非本協(xié)議另有約定或法律法規(guī)要求，雙方應(yīng)對(duì)本協(xié)議內(nèi)容以及因履行本協(xié)議而獲知的對(duì)方商業(yè)秘密、技術(shù)信息、數(shù)據(jù)訪問策略等保密信息承擔(dān)保密義務(wù)。10.2未經(jīng)對(duì)方書面同意，任何一方不得向任何第三方披露本協(xié)議項(xiàng)下的保密信息，但為履行本協(xié)議、遵守法律法規(guī)或獲得法律救濟(jì)而必要的披露除外。10.3本保密義務(wù)不因本協(xié)議的終止而失效。第十一條其他11.1本協(xié)議構(gòu)成雙方就訪問控制合作事項(xiàng)達(dá)成的完整協(xié)議，取代雙方此前就此達(dá)成的所有口頭或書面的協(xié)議、諒解和承諾。11.2對(duì)本協(xié)議的任何修改或補(bǔ)充，均應(yīng)以書面形式作出，并經(jīng)雙方授權(quán)代表簽字蓋章后生效。11.3本協(xié)議的任何通知均應(yīng)以書面形式，通過書面信函、傳真、電子郵件或雙方約定的其他送達(dá)方式發(fā)送至本協(xié)議首頁載明的地址或郵箱。11.4若本協(xié)議任何條款被認(rèn)定為無效或不可執(zhí)行，不影響其他條款的效力。雙