網(wǎng)絡(luò)安全評估協(xié)議2025年技術(shù)標準甲方（委托方）：[委托方公司全稱]法定代表人/授權(quán)代表：[姓名]注冊地址：[地址]統(tǒng)一社會信用代碼：[代碼]乙方（評估方）：[評估方公司全稱]法定代表人/授權(quán)代表：[姓名]注冊地址：[地址]統(tǒng)一社會信用代碼：[代碼]鑒于甲方希望委托乙方對其指定的信息系統(tǒng)（以下簡稱“評估對象”）進行網(wǎng)絡(luò)安全評估，以識別潛在的安全風險、評估現(xiàn)有安全控制的有效性，并遵循“網(wǎng)絡(luò)安全評估協(xié)議2025年技術(shù)標準”（以下簡稱“技術(shù)標準”）的要求；乙方具備相應(yīng)的專業(yè)資質(zhì)和技術(shù)能力，愿意承接此項委托。雙方本著平等自愿、協(xié)商一致的原則，達成如下協(xié)議：第一條定義與術(shù)語除非本協(xié)議另有約定，下列詞語具有以下含義：1.1“網(wǎng)絡(luò)安全評估”是指乙方依據(jù)本協(xié)議約定及“技術(shù)標準”的要求，對甲方指定的評估對象進行的安全測試、分析和評價活動，旨在發(fā)現(xiàn)其中存在的安全脆弱性、潛在威脅及風險，并形成評估報告。1.2“評估對象”是指甲方授權(quán)乙方進行網(wǎng)絡(luò)安全評估的網(wǎng)絡(luò)區(qū)域、系統(tǒng)資產(chǎn)、業(yè)務(wù)流程等，具體范圍見本協(xié)議第二條。1.3“系統(tǒng)/資產(chǎn)”包括但不限于網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)（含操作系統(tǒng)、數(shù)據(jù)庫、中間件）、應(yīng)用系統(tǒng)、數(shù)據(jù)、服務(wù)、網(wǎng)絡(luò)服務(wù)、云環(huán)境資源、物聯(lián)網(wǎng)設(shè)備、移動應(yīng)用及其相關(guān)基礎(chǔ)設(shè)施。1.4“漏洞”是指評估對象中存在的、可能被威脅利用以導(dǎo)致信息泄露、系統(tǒng)破壞、服務(wù)中斷或業(yè)務(wù)損失的安全缺陷或配置錯誤。1.5“安全控制”是指為保護信息資產(chǎn)而設(shè)計和實施的技術(shù)、管理或操作層面的安全措施。1.6“保密信息”是指一方（披露方）向另一方（接收方）披露的、與本協(xié)議相關(guān)的、未公開的、具有商業(yè)價值或秘密性質(zhì)的信息，包括但不限于技術(shù)信息、經(jīng)營信息、客戶信息、財務(wù)信息、以及評估過程中發(fā)現(xiàn)的甲方系統(tǒng)漏洞詳情等。1.7“技術(shù)標準”是指適用于本協(xié)議項下網(wǎng)絡(luò)安全評估活動的，由雙方確認并遵循的，包括但不限于國家及行業(yè)最新發(fā)布的網(wǎng)絡(luò)安全法律法規(guī)、政策要求、安全標準（如中國的《網(wǎng)絡(luò)安全法》及其實施條例、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》GB/T22239-2020、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》GB/T28448-2019、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例等）、國際或國內(nèi)權(quán)威機構(gòu)發(fā)布的網(wǎng)絡(luò)安全評估框架、方法論或最佳實踐（如NISTSP800系列相關(guān)指南、ISO27005風險評估方法等）以及雙方約定的具體標準版本。1.8“資產(chǎn)清單”是指委托方提供的包含評估對象中所有系統(tǒng)/資產(chǎn)信息的文檔，至少包括資產(chǎn)名稱、IP地址/域名、操作系統(tǒng)、應(yīng)用版本、負責人等。1.9“風險評估”是指依據(jù)風險模型，綜合考慮資產(chǎn)價值、威脅可能性、脆弱性嚴重性等因素，對已識別漏洞或安全狀況所面臨的風險程度進行量化或定性評價的過程。1.10“服務(wù)期”是指本協(xié)議約定的乙方提供網(wǎng)絡(luò)安全評估服務(wù)的起止時間，或完成特定評估任務(wù)的期限。第二條服務(wù)范圍與內(nèi)容2.1本協(xié)議項下的網(wǎng)絡(luò)安全評估主要目標為：全面評估評估對象面臨的網(wǎng)絡(luò)安全風險狀況，識別主要的安全脆弱性，驗證現(xiàn)有安全控制措施的有效性，并依據(jù)“技術(shù)標準”提供符合要求的專業(yè)評估報告和改進建議。2.2評估范圍包括但不限于：2.2.1甲方指定的生產(chǎn)網(wǎng)絡(luò)區(qū)域[請具體描述網(wǎng)絡(luò)范圍，如：IP段192.168.1.0/24,192.168.2.0/24]。2.2.2關(guān)鍵主機系統(tǒng)[請列出關(guān)鍵主機名稱或類型，如：Web服務(wù)器群組、數(shù)據(jù)庫服務(wù)器DNS解析服務(wù)相關(guān)設(shè)備]。2.2.3核心應(yīng)用系統(tǒng)[請列出關(guān)鍵應(yīng)用名稱，如：電子商務(wù)平臺系統(tǒng)、內(nèi)部OA系統(tǒng)]。2.2.4數(shù)據(jù)安全[如涉及，請說明，如：對核心數(shù)據(jù)庫敏感數(shù)據(jù)的訪問控制策略評估]。2.2.5網(wǎng)絡(luò)邊界安全[如涉及，請說明，如：防火墻、VPN網(wǎng)關(guān)的策略配置評估]。2.2.6[根據(jù)實際情況補充其他需要評估的范圍，如云環(huán)境資源、移動應(yīng)用接口等]。2.3評估方法與技術(shù)標準應(yīng)用：2.3.1乙方將采用符合“技術(shù)標準”要求的評估方法，包括但不限于：a.信息收集與資產(chǎn)識別：通過公開信息查詢、端口掃描、服務(wù)識別等技術(shù)手段，梳理評估對象范圍內(nèi)的資產(chǎn)信息。b.漏洞掃描：使用業(yè)界認可的漏洞掃描工具（如Nessus,OpenVAS等，版本不低于[具體版本號]），依據(jù)“技術(shù)標準”推薦的漏洞庫和掃描策略，對指定范圍內(nèi)的資產(chǎn)進行自動化漏洞檢測。c.滲透測試：在授權(quán)范圍內(nèi)，模擬真實攻擊者行為，對指定的Web應(yīng)用、API接口、服務(wù)器等進行嘗試性攻擊，以驗證漏洞的可利用性。測試將涵蓋信息收集、偵察、訪問獲取、權(quán)限維持、數(shù)據(jù)泄露等攻擊路徑，測試方法將參考OWASPTestingGuide等業(yè)界最佳實踐，并遵循“技術(shù)標準”關(guān)于滲透測試范圍和深度的要求。d.配置核查：依據(jù)“技術(shù)標準”相關(guān)的基線配置要求（如操作系統(tǒng)安全基線、數(shù)據(jù)庫安全配置指南等），對關(guān)鍵系統(tǒng)進行配置檢查，識別不合規(guī)的設(shè)置。e.風險評估：對已識別的漏洞和潛在風險點，結(jié)合甲方提供的信息（或乙方評估中獲得的資產(chǎn)價值和業(yè)務(wù)影響信息），采用定性與定量相結(jié)合的方法進行風險評估，明確風險等級。2.3.2乙方承諾在整個評估過程中，嚴格遵循“技術(shù)標準”中關(guān)于評估流程、測試邊界、安全規(guī)范、報告格式和內(nèi)容要求等規(guī)定。2.3.3評估將覆蓋網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和數(shù)據(jù)層等多個層面。2.4本協(xié)議不包括但不限于：2.4.1提供長期的安全運維監(jiān)控服務(wù)。2.4.2對所有發(fā)現(xiàn)的漏洞進行永久性的修復(fù)服務(wù)。2.4.3提供全面的安全體系建設(shè)方案設(shè)計或咨詢服務(wù)。2.4.4對評估對象進行物理安全評估。2.4.5評估第三方供應(yīng)商的安全狀況。2.4.6保障評估對象在評估期間完全不發(fā)生安全事件。第三條雙方權(quán)利與義務(wù)3.1甲方的權(quán)利與義務(wù)：3.1.1有權(quán)要求乙方按照本協(xié)議約定及“技術(shù)標準”的要求提供服務(wù)。3.1.2有權(quán)了解評估工作的進展情況，并要求乙方就評估過程中遇到的問題進行解釋說明。3.1.3應(yīng)在協(xié)議簽訂后[數(shù)量]個工作日內(nèi)，向乙方提供詳細的資產(chǎn)清單、網(wǎng)絡(luò)拓撲圖、安全策略文檔等相關(guān)資料，并保證所提供資料的真實性和準確性。3.1.4應(yīng)根據(jù)乙方評估需要，及時提供必要的網(wǎng)絡(luò)訪問權(quán)限和系統(tǒng)賬號，并確保賬號的合法使用。對于需要現(xiàn)場執(zhí)行的測試，應(yīng)提供必要的辦公場所和設(shè)施支持。3.1.5應(yīng)對乙方在評估過程中接觸到的甲方的保密信息承擔保密義務(wù)。3.1.6應(yīng)指定專人與乙方聯(lián)系，負責溝通、協(xié)調(diào)和審批等事宜。3.1.7應(yīng)在評估周期內(nèi)，配合乙方完成必要的訪談、確認工作。3.1.8有權(quán)對乙方提交的評估報告進行審核，并提出修改意見。乙方應(yīng)根據(jù)合理意見進行修改完善，直至雙方最終確認。3.2乙方的權(quán)利與義務(wù)：3.2.1有權(quán)要求甲方按照本協(xié)議約定提供必要的配合與支持。3.2.2有權(quán)根據(jù)評估需要，制定詳細的評估方案，并提交甲方審核。甲方應(yīng)在收到方案后[數(shù)量]個工作日內(nèi)予以批準。3.2.3應(yīng)組建具備相應(yīng)資質(zhì)和經(jīng)驗的專業(yè)評估團隊執(zhí)行評估工作，確保評估人員熟悉“技術(shù)標準”的要求。3.2.4應(yīng)以獨立、客觀、公正的態(tài)度進行評估，不得泄露甲方的商業(yè)秘密和評估過程中獲取的其他保密信息，除非法律法規(guī)另有規(guī)定或獲得甲方書面授權(quán)。3.2.5應(yīng)嚴格按照本協(xié)議約定的服務(wù)范圍、方法和技術(shù)標準執(zhí)行評估工作，確保評估過程的合規(guī)性和專業(yè)性。3.2.6應(yīng)在評估過程中遵守國家相關(guān)法律法規(guī)和行業(yè)規(guī)范，采取必要的安全措施，避免對甲方業(yè)務(wù)運營造成不必要的影響。3.2.7應(yīng)按時、按質(zhì)完成評估工作，并按照本協(xié)議第四條的約定交付評估報告及其他成果。3.2.8評估報告應(yīng)內(nèi)容詳實、邏輯清晰、結(jié)論明確，并充分反映評估對象的安全狀況及存在的風險，同時包含針對主要風險的改進建議。3.2.9應(yīng)對在評估過程中獲知的甲方保密信息承擔保密義務(wù)，直至該信息成為公開信息或協(xié)議終止后[期限，如：兩年]。3.2.10應(yīng)根據(jù)甲方合理的要求，在約定范圍內(nèi)提供必要的報告解讀和溝通會議。第四條評估過程4.1評估工作將按照以下階段有序進行：4.1.1準備階段：雙方溝通確認評估細節(jié)，乙方制定評估方案，甲方提供資產(chǎn)清單等基礎(chǔ)信息，方案經(jīng)甲方批準后啟動。4.1.2信息收集與測試準備：乙方在授權(quán)范圍內(nèi)收集評估對象信息，準備測試工具和環(huán)境，獲取必要的系統(tǒng)訪問權(quán)限。4.1.3執(zhí)行評估：乙方依據(jù)批準的方案和技術(shù)標準，執(zhí)行漏洞掃描、滲透測試、配置核查等測試活動。乙方應(yīng)提前通知甲方測試開始時間，并對測試行為進行嚴格管理，避免造成業(yè)務(wù)中斷。4.1.4數(shù)據(jù)分析與風險評估：乙方對測試結(jié)果進行整理、分析，結(jié)合資產(chǎn)信息進行風險評估。4.1.5報告撰寫：乙方基于評估過程和結(jié)果，撰寫詳細的網(wǎng)絡(luò)安全評估報告。4.1.6報告提交與溝通：乙方將評估報告提交給甲方，雙方組織會議對報告內(nèi)容進行解讀、溝通和確認。乙方根據(jù)甲方意見修改完善報告，直至最終定稿。4.1.7（可選）修復(fù)建議與驗證：根據(jù)甲方需求，乙方可提供修復(fù)建議清單，并協(xié)助甲方對部分修復(fù)措施的效果進行驗證確認。4.2乙方應(yīng)在本協(xié)議簽訂后[具體天數(shù)]日內(nèi)完成全部評估工作，并提交最終評估報告。第五條交付成果5.1乙方應(yīng)向甲方交付以下成果：5.1.1《網(wǎng)絡(luò)安全評估報告》：報告應(yīng)包含評估背景、范圍、方法、評估過程、發(fā)現(xiàn)的安全問題（詳細描述漏洞、風險評估結(jié)果）、安全建議等內(nèi)容，并清晰體現(xiàn)評估工作符合“技術(shù)標準”的要求。報告格式和詳細程度應(yīng)符合業(yè)界專業(yè)實踐及“技術(shù)標準”的規(guī)范。5.1.2[如約定，則補充]《初步評估報告》或風險摘要。5.1.3[如約定，則補充]評估工作底稿的副本（用于說明關(guān)鍵測試過程和結(jié)果）。5.2交付成果應(yīng)采用電子版或甲方要求的物理介質(zhì)形式。第六條費用與支付6.1乙方提供本協(xié)議項下的網(wǎng)絡(luò)安全評估服務(wù)，服務(wù)總費用為人民幣[金額]元（大寫：[大寫金額]）。6.2費用包含：評估過程中產(chǎn)生的所有費用，包括但不限于人員成本、工具使用費、報告撰寫費等。6.3支付方式為銀行轉(zhuǎn)賬。甲方應(yīng)在以下時間節(jié)點向乙方支付服務(wù)費用：6.3.1本協(xié)議簽訂后[數(shù)量]個工作日內(nèi)，支付總費用的[百分比]%，即人民幣[金額]元（大寫：[大寫金額]）作為預(yù)付款。6.3.2乙方提交最終評估報告，且甲方驗收合格后[數(shù)量]個工作日內(nèi)，支付剩余的[百分比]%，即人民幣[金額]元（大寫：[大寫金額]）。6.4如甲方因評估范圍變更等原因要求乙方額外提供工作，雙方應(yīng)另行協(xié)商確定費用，并簽訂補充協(xié)議。6.5上述費用已包含[說明是否含稅，如：增值稅]稅費。如需甲方另行承擔稅費，具體稅種和稅率由雙方協(xié)商確定并在本協(xié)議中明確。第七條保密條款7.1甲乙雙方同意對本協(xié)議的條款內(nèi)容、以及因履行本協(xié)議而獲悉的對方的任何保密信息（依據(jù)第一條定義）承擔保密義務(wù)。7.2未經(jīng)披露方事先書面同意，接收方不得向任何第三方（包括關(guān)聯(lián)公司，但為履行本協(xié)議目的而有必要知悉的員工除外）披露披露方的保密信息。7.3接收方僅能為了履行本協(xié)議之目的使用披露方的保密信息，不得用于任何其他用途。7.4本保密義務(wù)不因本協(xié)議的終止而失效，雙方應(yīng)在本協(xié)議終止后持續(xù)履行保密義務(wù)，保密期限為自信息獲得之日起[期限，如：三]年或本協(xié)議有效期內(nèi)，以較長者為準。對于因公開信息渠道已非秘密的信息，不再承擔保密義務(wù)。7.5任何一方違反本保密條款，應(yīng)向?qū)Ψ街Ц度嗣駧臶金額]元（大寫：[大寫金額]）的違約金，若該違約金不足以彌補守約方實際損失的，違約方還應(yīng)賠償守約方的全部實際損失。第八條知識產(chǎn)權(quán)8.1乙方在履行本協(xié)議過程中產(chǎn)生的所有原始分析數(shù)據(jù)、評估報告、建議方案等知識產(chǎn)權(quán)，以及乙方為執(zhí)行本協(xié)議而開發(fā)或使用的軟件工具、方法論、腳本等知識產(chǎn)權(quán)，均歸甲方所有。8.2乙方同意協(xié)助甲方行使上述知識產(chǎn)權(quán)，并應(yīng)甲方要求提供必要的授權(quán)證明。8.3乙方保留在非甲方項目背景下，使用其在履行類似協(xié)議中總結(jié)的經(jīng)驗、方法論和通用工具的權(quán)利，前提是不泄露甲方的任何保密信息。第九條違約責任9.1若乙方未能按本協(xié)議約定的時間和質(zhì)量完成評估工作，且無正當理由，甲方有權(quán)要求乙方限期整改，并有權(quán)根據(jù)實際情況扣減相應(yīng)的服務(wù)費用。若乙方逾期仍未改正，甲方有權(quán)解除本協(xié)議，并要求乙方退還已支付但未提供相應(yīng)服務(wù)的費用，乙方還應(yīng)承擔違約責任，向甲方支付合同總金額[百分比]%（不超過[具體金額]元）的違約金。9.2若甲方未能按照本協(xié)議約定履行其義務(wù)（如提供必要資料、權(quán)限、配合等），導(dǎo)致乙方評估工作無法正常進行或延期，乙方應(yīng)及時通知甲方。若甲方在收到通知后[數(shù)量]個工作日內(nèi)仍未糾正，乙方有權(quán)暫停評估工作，并要求甲方支付因此造成的額外費用。若甲方逾期仍未糾正，乙方有權(quán)解除本協(xié)議，并要求甲方支付已完成工作的相應(yīng)費用，甲方還應(yīng)承擔違約責任，向乙方支付合同總金額[百分比]%（不超過[具體金額]元）的違約金。9.3任何一方違反本協(xié)議的保密條款，應(yīng)承擔本第七條約定的違約責任。9.4因一方違約給對方造成其他損失的，違約方應(yīng)賠償對方的全部直接損失。第十條法律適用與爭議解決10.1本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律。10.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭議提交至[選擇仲裁或訴訟，如：甲方所在地有管轄權(quán)的人民法院訴訟解決/提交[具體仲裁委員會名稱]按照其屆時有效的仲裁規(guī)則進行仲裁]，仲裁裁決是終局的，對雙方均有約束力。第十一條協(xié)議的生效、變更與終止11.1本協(xié)議自甲乙雙方法定代表人或授權(quán)代表簽字并加蓋公司公章（或合同專用章）之日起生效。11.2對本協(xié)議的任何修改或補充，均須經(jīng)雙方協(xié)商一致，并以書面形式作出，經(jīng)雙方簽字蓋章后生效。任何