中所安全協(xié)議書有何意義1.甲方（買方/出租方/委托方）：

甲方名稱為“XX科技有限公司”，注冊地址位于中國北京市海淀區(qū)XX路XX號XX大廈X層，法定代表人為張三，聯(lián)系電話甲方是一家專注于信息技術(shù)服務(wù)與數(shù)據(jù)安全解決方案的高科技企業(yè)，擁有自主研發(fā)的核心安全產(chǎn)品及服務(wù)體系?；诩追皆诰W(wǎng)絡(luò)安全領(lǐng)域的業(yè)務(wù)需求，為保障其數(shù)據(jù)處理活動符合國家《網(wǎng)絡(luò)安全法》及相關(guān)行業(yè)監(jiān)管要求，甲方擬委托乙方提供專業(yè)的數(shù)據(jù)安全評估與加固服務(wù)，以提升其信息系統(tǒng)防護能力。

甲方的主要業(yè)務(wù)范圍包括云計算平臺運維、大數(shù)據(jù)分析及應(yīng)用開發(fā)，在日常運營中涉及大量用戶敏感信息及商業(yè)秘密。為滿足《數(shù)據(jù)安全法》中關(guān)于數(shù)據(jù)處理活動最小化、合法化及安全保護的要求，甲方需構(gòu)建完善的數(shù)據(jù)安全管理體系，并定期開展安全風(fēng)險排查。鑒于乙方在數(shù)據(jù)安全領(lǐng)域具備十年以上行業(yè)經(jīng)驗，擁有ISO27001認(rèn)證資質(zhì)及國家信息安全等級保護三級認(rèn)證，其技術(shù)團隊曾為多家金融機構(gòu)及大型互聯(lián)網(wǎng)企業(yè)提供安全咨詢服務(wù)，故甲方選擇乙方作為本次安全服務(wù)的合作方。雙方基于平等、自愿、公平的原則，經(jīng)友好協(xié)商，達成如下協(xié)議。

2.乙方（賣方/承租方/服務(wù)提供方）：

乙方名稱為“XX安全技術(shù)服務(wù)有限公司”，注冊地址位于中國上海市浦東新區(qū)XX路XX號XX科技園區(qū)X號樓，法定代表人為王五，聯(lián)系電話乙方是一家專業(yè)從事網(wǎng)絡(luò)安全評估、數(shù)據(jù)加密、漏洞修復(fù)及安全運維的技術(shù)服務(wù)機構(gòu)，致力于為企業(yè)提供全生命周期安全解決方案。

乙方成立于2015年，總部位于上海，在華北、華南設(shè)有分支機構(gòu)，服務(wù)客戶覆蓋金融、醫(yī)療、政務(wù)、能源等多個行業(yè)。公司核心團隊由前國家信息安全漏洞庫專家及知名安全廠商架構(gòu)師組成，持有CISSP、CISP等國際權(quán)威認(rèn)證，并與多家國家級安全實驗室保持深度合作。2022年，乙方成功通過ISO27001復(fù)審，并取得《安全咨詢服務(wù)資質(zhì)證書》。

根據(jù)甲方需求，乙方將提供包括但不限于以下服務(wù)：

（1）數(shù)據(jù)資產(chǎn)梳理與風(fēng)險評估；

（2）操作系統(tǒng)及數(shù)據(jù)庫漏洞掃描與修復(fù)；

（3）網(wǎng)絡(luò)安全設(shè)備配置優(yōu)化；

（4）數(shù)據(jù)脫敏與加密方案實施；

（5）季度安全態(tài)勢監(jiān)測報告。

雙方合作背景：甲方在2023年第三季度因客戶投訴發(fā)現(xiàn)部分歷史數(shù)據(jù)存儲未采用加密措施，存在數(shù)據(jù)泄露風(fēng)險。為避免違反《個人信息保護法》及《數(shù)據(jù)安全法》相關(guān)規(guī)定，甲方緊急啟動安全整改項目。經(jīng)市場調(diào)研，甲方篩選出乙方作為候選服務(wù)商，雙方于2023年10月10日召開技術(shù)交流會，確認(rèn)服務(wù)范圍及交付標(biāo)準(zhǔn)。本次協(xié)議的簽訂，旨在明確雙方權(quán)利義務(wù)，確保乙方按約定完成安全服務(wù)，同時為甲方后續(xù)申請國家信息安全等級保護備案提供技術(shù)支撐。協(xié)議生效后，乙方需在30日內(nèi)完成首輪安全評估，并向甲方提交初步整改建議報告。

（1）敏感數(shù)據(jù)存儲加密率100%；

（2）高危漏洞修復(fù)率≥95%；

（3）通過第三方獨立安全測評機構(gòu)的合規(guī)性檢驗。上述目標(biāo)達成后，雙方將根據(jù)本協(xié)議第8條約定結(jié)算服務(wù)費用。若乙方未能按計劃完成服務(wù)內(nèi)容，需承擔(dān)相應(yīng)的違約責(zé)任，但該等違約情形不影響甲方已支付款項的效力。

雙方確認(rèn)，本協(xié)議的簽訂系基于《網(wǎng)絡(luò)安全法》第21條“網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取”之規(guī)定，且符合《數(shù)據(jù)安全法》第17條“數(shù)據(jù)處理者應(yīng)當(dāng)建立健全數(shù)據(jù)安全管理制度，采取必要的技術(shù)措施，保障數(shù)據(jù)安全”的要求。協(xié)議內(nèi)容與雙方前期溝通記錄一致，無任何虛假陳述或隱瞞事項。

第一條協(xié)議目的與范圍

本協(xié)議的主要目的在于明確甲乙雙方在數(shù)據(jù)安全服務(wù)合作中的權(quán)利與義務(wù)，確保乙方依據(jù)國家法律法規(guī)及行業(yè)標(biāo)準(zhǔn)，為甲方提供全面、專業(yè)的數(shù)據(jù)安全評估、加固與運維服務(wù)，提升甲方信息系統(tǒng)的防護能力，滿足合規(guī)性要求。具體范圍包括但不限于：

1.甲方信息系統(tǒng)（含云平臺、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等）的數(shù)據(jù)資產(chǎn)梳理與風(fēng)險評估；

2.針對操作系統(tǒng)、數(shù)據(jù)庫、中間件及網(wǎng)絡(luò)設(shè)備的安全漏洞掃描與修復(fù)建議；

3.數(shù)據(jù)加密方案設(shè)計與實施，包括靜態(tài)數(shù)據(jù)加密與傳輸數(shù)據(jù)加密；

4.網(wǎng)絡(luò)安全設(shè)備（防火墻、入侵檢測系統(tǒng)等）的配置優(yōu)化與性能調(diào)優(yōu)；

5.定期安全監(jiān)測與應(yīng)急響應(yīng)服務(wù)，提供季度及年度安全態(tài)勢報告；

6.協(xié)助甲方準(zhǔn)備國家信息安全等級保護測評所需的技術(shù)文檔與現(xiàn)場支持。

本協(xié)議范圍以附件一《服務(wù)清單》為準(zhǔn)，雙方可根據(jù)實際需求調(diào)整服務(wù)內(nèi)容，但調(diào)整后的內(nèi)容需以書面形式補充至本協(xié)議。

第二條定義

1.“數(shù)據(jù)安全評估”指乙方依據(jù)國家《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》及《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》，對甲方信息系統(tǒng)進行的安全狀況檢查與風(fēng)險分析。

2.“數(shù)據(jù)加密”指采用密碼學(xué)算法對敏感數(shù)據(jù)進行可逆或不可逆轉(zhuǎn)換，防止非授權(quán)訪問。

3.“高危漏洞”指可能導(dǎo)致系統(tǒng)功能失效、數(shù)據(jù)泄露或被惡意控制的安全缺陷。

4.“合規(guī)性要求”指甲方信息系統(tǒng)需滿足的法律法規(guī)及行業(yè)監(jiān)管標(biāo)準(zhǔn)，包括但不限于等級保護三級要求。

5.“服務(wù)期”指本協(xié)議約定的乙方提供安全服務(wù)的起止時間，自本協(xié)議生效之日起計算。

6.“驗收標(biāo)準(zhǔn)”指本協(xié)議附件二《服務(wù)驗收規(guī)范》中明確的技術(shù)指標(biāo)與交付物要求。

第三條雙方權(quán)利與義務(wù)

1.甲方的權(quán)力與義務(wù)：

（1）甲方有權(quán)要求乙方按照本協(xié)議約定提供服務(wù)，并監(jiān)督服務(wù)過程，確保服務(wù)內(nèi)容符合《服務(wù)清單》及《服務(wù)驗收規(guī)范》。

（2）甲方應(yīng)提供必要的技術(shù)接口與授權(quán)，包括系統(tǒng)賬號、環(huán)境訪問權(quán)限及數(shù)據(jù)樣本，乙方需在遵守保密義務(wù)的前提下開展工作。

（3）甲方應(yīng)指定專人與乙方對接，負責(zé)需求確認(rèn)、進度協(xié)調(diào)及驗收簽收，變更需求需提前30日以書面形式通知乙方。

（4）甲方需配合乙方完成安全測評、漏洞驗證等測試工作，并提供必要的現(xiàn)場支持或遠程協(xié)助。

（5）甲方應(yīng)按照本協(xié)議第八條約定支付服務(wù)費用，逾期支付需承擔(dān)每日萬分之五的違約金，但該等違約金總額不超過合同總價款的30%。

（6）甲方對乙方提供的技術(shù)方案有異議時，可提出書面修改意見，乙方應(yīng)在收到意見后10日內(nèi)予以反饋。

2.乙方的權(quán)力與義務(wù)：

（1）乙方有權(quán)要求甲方提供必要的服務(wù)環(huán)境與技術(shù)支持，若甲方未按約定配合，導(dǎo)致服務(wù)延遲或失敗，乙方不承擔(dān)責(zé)任。

（2）乙方應(yīng)組建具備相應(yīng)資質(zhì)的技術(shù)團隊執(zhí)行服務(wù)，核心人員需通過甲方書面授權(quán)，服務(wù)過程中需嚴(yán)格遵守保密協(xié)議。

（3）乙方需按照《服務(wù)清單》約定提供服務(wù)，確保服務(wù)成果符合《服務(wù)驗收規(guī)范》，交付物包括但不限于：

a.《數(shù)據(jù)資產(chǎn)清單》及《風(fēng)險評估報告》（首期服務(wù)30日內(nèi)完成）；

b.《漏洞修復(fù)方案》及《加密方案設(shè)計》（評估后15日內(nèi)提交）；

c.《安全配置核查表》及《季度監(jiān)測報告》（按周期交付）；

d.等級保護測評時需提供《技術(shù)文檔匯編》及現(xiàn)場技術(shù)支持。

（4）乙方承諾服務(wù)過程中采用的技術(shù)手段符合國家密碼局及工信部發(fā)布的最新標(biāo)準(zhǔn)，不得使用未經(jīng)認(rèn)證的第三方產(chǎn)品。

（5）乙方需建立服務(wù)過程記錄制度，保存不少于3年的服務(wù)日志、報告及溝通憑證，以備甲方或第三方審計。

（6）乙方在提供服務(wù)期間，若發(fā)現(xiàn)甲方存在重大安全風(fēng)險，應(yīng)立即通知甲方，并協(xié)助制定應(yīng)急預(yù)案，但甲方需承擔(dān)應(yīng)急響應(yīng)的額外費用。

（7）乙方需遵守《反不正當(dāng)競爭法》，不得泄露甲方商業(yè)秘密，服務(wù)終止后2年內(nèi)不得為甲方直接競爭對手提供服務(wù)。

（8）乙方需向甲方提供至少1名具備CISSP或CISP認(rèn)證的現(xiàn)場支持工程師，且需提前3日通知甲方變更安排。

第四條價格與支付條件

本協(xié)議服務(wù)費用總額為人民幣壹佰萬元整（￥1,000,000.00），具體費用構(gòu)成及支付方式如下：

1.費用構(gòu)成：乙方提供的服務(wù)內(nèi)容分為四個階段，對應(yīng)費用分別為：

（1）第一階段（數(shù)據(jù)評估與方案設(shè)計）：人民幣叁拾萬元整（￥300,000.00），用于完成資產(chǎn)梳理、風(fēng)險評估及安全方案設(shè)計；

（2）第二階段（漏洞修復(fù)與加密實施）：人民幣伍拾萬元整（￥500,000.00），包括高危漏洞修復(fù)、數(shù)據(jù)庫加密部署及安全設(shè)備配置；

（3）第三階段（季度監(jiān)測與報告）：人民幣壹拾伍萬元整（￥150,000.00），分四次按季度平均支付，每次叁萬五千元；

（4）第四階段（等級保護支持）：人民幣壹拾萬元整（￥100,000.00），用于測評期間的技術(shù)文檔編制及現(xiàn)場配合。

2.支付方式：甲方通過銀行轉(zhuǎn)賬方式支付乙方服務(wù)費用，賬戶信息如下：

開戶名稱：XX安全技術(shù)服務(wù)有限公司

開戶銀行：中國工商銀行上海分行XX支行

銀行賬號：622202********1234567

3.支付時間：

（1）本協(xié)議生效后10日內(nèi)，甲方向乙方支付合同總價款的30%（即￥300,000.00），作為項目啟動預(yù)付款；

（2）第一階段服務(wù)驗收合格后30日內(nèi)，甲方向乙方支付第二階段費用的50%（即￥250,000.00）；

（3）第二階段服務(wù)完成并通過甲方初步驗收后60日內(nèi)，甲方向乙方支付剩余第二階段費用及第三階段首期費用（即￥300,000.00+￥35,000.00=￥335,000.00）；

（4）第三階段各期服務(wù)驗收合格后10個工作日內(nèi)，甲方向乙方支付對應(yīng)季度費用；

（5）等級保護測評完成并通過監(jiān)管部門審核后30日內(nèi)，甲方向乙方支付第四階段費用（￥100,000.00），同時支付協(xié)議總價的10%（即￥100,000.00）作為質(zhì)保金，質(zhì)保期滿無質(zhì)量問題后30日內(nèi)無息返還。

4.甲方支付款項以乙方開具等額增值稅專用發(fā)票為準(zhǔn)，發(fā)票開具時間應(yīng)在收到甲方付款后15個工作日內(nèi)。

第五條履行期限

1.本協(xié)議有效期為自2024年1月1日起至2024年12月31日止，共12個月。

2.服務(wù)履行期限安排：

（1）第一階段（數(shù)據(jù)評估與方案設(shè)計）：自協(xié)議生效之日起30日內(nèi)完成，即2024年2月28日前提交初步評估報告；

（2）第二階段（漏洞修復(fù)與加密實施）：自第一階段驗收合格之日起60日內(nèi)完成，即2024年4月30日前完成現(xiàn)場實施工作；

（3）第三階段（季度監(jiān)測與報告）：自第二階段驗收合格之日起每季度第一個月10日前提交上一季度監(jiān)測報告，共提交四次；

（4）第四階段（等級保護支持）：自第二階段完成之日起配合甲方完成測評機構(gòu)現(xiàn)場審核，預(yù)計2024年9月30日前完成全部支持工作。

3.任何因不可抗力導(dǎo)致的服務(wù)延期，經(jīng)雙方書面確認(rèn)后，履行期限相應(yīng)順延，但最長不超過90日。若順延超過180日，甲方有權(quán)單方面解除協(xié)議，乙方需退還已收取但未提供服務(wù)的費用。

第六條違約責(zé)任

1.甲方違約責(zé)任：

（1）未按本協(xié)議第四條約定支付服務(wù)費用的，每逾期一日，應(yīng)向乙方支付逾期金額每日萬分之五的違約金，但該違約金總額不超過合同總價款的30%。逾期超過30日，乙方有權(quán)暫停服務(wù)直至費用付清，并解除協(xié)議，甲方需承擔(dān)已完成服務(wù)的80%費用作為違約補償。

（2）因甲方原因（包括未提供必要技術(shù)接口、拒絕配合現(xiàn)場支持等）導(dǎo)致服務(wù)延期超過30日的，乙方完成部分的服務(wù)費用按實際工作量結(jié)算，但甲方仍需支付乙方不可預(yù)見成本補償費人民幣伍萬元整（￥50,000.00）。

（3）甲方要求乙方超出本協(xié)議約定范圍提供服務(wù)時，產(chǎn)生的額外費用由甲方承擔(dān)，且乙方有權(quán)拒絕未經(jīng)書面確認(rèn)的服務(wù)要求。

2.乙方違約責(zé)任：

（1）未能按本協(xié)議第五條約定時間完成服務(wù)，每延遲一日，應(yīng)向甲方支付合同總價每日千分之二的違約金，但該違約金總額不超過合同總價款的10%。延遲超過60日，甲方有權(quán)解除協(xié)議，乙方需退還已收取費用并支付已完成服務(wù)80%的費用作為違約補償。

（2）服務(wù)成果不符合本協(xié)議附件二《服務(wù)驗收規(guī)范》要求，經(jīng)甲方書面指出后30日內(nèi)未能整改合格的，乙方需無條件返工，且甲方有權(quán)要求乙方支付人民幣拾萬元整（￥100,000.00）的違約金。若返工后仍不合格，甲方有權(quán)解除協(xié)議，乙方需承擔(dān)已完成服務(wù)的50%費用作為違約補償。

（3）乙方在服務(wù)過程中泄露甲方商業(yè)秘密或造成系統(tǒng)癱瘓等直接經(jīng)濟損失的，除承擔(dān)全部賠償責(zé)任外，還應(yīng)支付違約金人民幣壹佰萬元整（￥1,000,000.00），該等違約金與實際損失不重復(fù)計算，但累計賠償總額不超過甲方實際損失的兩倍。

（4）乙方擅自使用非授權(quán)第三方軟件或技術(shù)方案，一經(jīng)查實，應(yīng)立即停止服務(wù)并退還所有費用，并支付甲方人民幣伍拾萬元整（￥500,000.00）的懲罰性賠償。

3.特別約定：

（1）因不可抗力導(dǎo)致的違約（如自然災(zāi)害、政府行為等），違約方應(yīng)在事件發(fā)生后24小時內(nèi)通知對方，并在7日內(nèi)提供證明文件，可部分或全部免除違約責(zé)任，但應(yīng)采取措施減少損失。

（2）任何一方違反保密條款的，應(yīng)支付違約金人民幣壹佰萬元整（￥1,000,000.00），并承擔(dān)對方的取證費用。

（3）本協(xié)議約定的違約金、賠償金等，如不足以彌補守約方損失的，守約方有權(quán)要求違約方補足差額。違約金不足以彌補損失的，守約方可選擇解除協(xié)議或繼續(xù)履行。

第七條不可抗力

1.定義：本協(xié)議所稱不可抗力，是指不能預(yù)見、不能避免并不能克服的客觀情況，包括但不限于：

（1）地震、臺風(fēng)、洪水、海嘯等自然災(zāi)害；

（2）戰(zhàn)爭、動亂、恐怖襲擊等社會事件；

（3）政府行為，如法律法規(guī)變更、行政命令、稅收政策調(diào)整等；

（4）嚴(yán)重疫情導(dǎo)致政府采取隔離、禁運等措施；

（5）網(wǎng)絡(luò)攻擊導(dǎo)致服務(wù)中斷（僅限于乙方無法控制的外部攻擊）；

（6）法律規(guī)定的其他不可抗力事件。

2.不可抗力影響：任何一方因不可抗力導(dǎo)致無法履行或延遲履行本協(xié)議義務(wù)的，不承擔(dān)違約責(zé)任，但應(yīng)在不可抗力發(fā)生后24小時內(nèi)通知對方，并在7日內(nèi)提供相關(guān)證明文件（包括但不限于政府公告、新聞報道、公證文書等）。

3.責(zé)任免除：

（1）因不可抗力導(dǎo)致的協(xié)議部分或全部不能履行，雙方應(yīng)協(xié)商調(diào)整履行期限或內(nèi)容，協(xié)商不成的，可部分或全部免除責(zé)任；

（2）不可抗力影響消除后，受影響方應(yīng)立即恢復(fù)履行義務(wù)，已產(chǎn)生的費用按實際服務(wù)比例結(jié)算；

（3）若不可抗力持續(xù)超過30日，雙方可協(xié)商解除協(xié)議，已產(chǎn)生的費用按實際履行比例退還，互不承擔(dān)違約責(zé)任；

（4）因不可抗力導(dǎo)致的系統(tǒng)數(shù)據(jù)損壞，責(zé)任按雙方過錯比例分擔(dān)，但乙方對核心安全機制（如防火墻、加密模塊）的免責(zé)不超過10%。

4.不可抗力證明：本協(xié)議所稱不可抗力證明需經(jīng)公證處認(rèn)證或由雙方共同認(rèn)可的第三方機構(gòu)出具，如中國國際貿(mào)易促進委員會出具的不可抗力證明書。任何一方隱瞞或虛構(gòu)不可抗力事件，應(yīng)承擔(dān)對方因此遭受的全部損失。

第八條爭議解決

1.爭議類型：本協(xié)議履行過程中發(fā)生的任何爭議，包括但不限于合同解釋、違約責(zé)任、賠償金額等，雙方應(yīng)首先通過書面形式友好協(xié)商解決，協(xié)商期限不超過30日。

2.協(xié)商不成處理：協(xié)商不成的，爭議應(yīng)提交北京市海淀區(qū)人民法院訴訟解決，雙方均應(yīng)遵守法院裁判。訴訟期間，除爭議事項外，雙方應(yīng)繼續(xù)履行本協(xié)議其他條款。

3.仲裁選擇：若雙方在本協(xié)議簽訂之日起60日內(nèi)未能就協(xié)商解決達成一致，則爭議應(yīng)提交中國國際經(jīng)濟貿(mào)易仲裁委員會（CIETAC），按照申請仲裁時該會現(xiàn)行有效的仲裁規(guī)則進行仲裁。仲裁地點為北京，仲裁語言為中文，仲裁裁決是終局的，對雙方均有約束力。

4.證據(jù)規(guī)則：雙方應(yīng)保存爭議發(fā)生前后的全部往來記錄，包括郵件、會議紀(jì)要、工作日志等，作為仲裁或訴訟證據(jù)。仲裁或訴訟期間產(chǎn)生的費用（包括律師費、保全費等）由敗訴方承擔(dān)，但雙方均需預(yù)付己方費用。

5.專屬管轄：任何一方在本協(xié)議簽訂前已就爭議事項向法院或仲裁機構(gòu)提起訴訟或仲裁的，應(yīng)將案件移送給本協(xié)議約定的管轄機構(gòu)，且在本協(xié)議有效期內(nèi)不得再以相同理由重復(fù)提起程序。

6.法律適用：本協(xié)議爭議解決條款獨立適用，不影響其他條款效力。雙方均應(yīng)遵守中華人民共和國法律（為免歧義，不包括香港、澳門及臺灣地區(qū)法律）的強制性規(guī)定。

第九條其他條款

1.通知方式：本協(xié)議項下的所有通知、文件及其他通訊應(yīng)以書面形式，通過專人遞送、掛號信（需回執(zhí)）、傳真或雙方確認(rèn)的電子郵箱發(fā)送至本協(xié)議首部列明的地址或聯(lián)系方式。任何一方變更聯(lián)系方式，應(yīng)至少提前10日書面通知對方。郵件通知以發(fā)送時郵戳或系統(tǒng)記錄為準(zhǔn)，傳真通知以發(fā)送成功回執(zhí)為準(zhǔn)。

2.協(xié)議變更：對本協(xié)議的任何修改或補充，均需經(jīng)雙方授權(quán)代表簽署書面文件方能生效?？陬^約定或一方單方作出的變更無效。變更內(nèi)容應(yīng)作為本協(xié)議不可分割的一部分。

3.保密義務(wù)：雙方應(yīng)對本協(xié)議內(nèi)容及在合作中獲知的對方商業(yè)秘密（包括技術(shù)信息、客戶資料、財務(wù)數(shù)據(jù)等）承擔(dān)保密責(zé)任，非經(jīng)對方書面同意或法律規(guī)定，不得向任何第三方泄露。保密期限為本協(xié)議有效期內(nèi)及終止后五年內(nèi)。但雙方均有權(quán)向員工、顧問及司法機關(guān)披露為履