信息系统安全服务协议(XXX学院)

XXX学院

信息系统安全服务合同

委托人（甲方）：XXX学院

受托人（乙方）：XXX信息中心

甲方委托乙方对其指定的信息系统进行安全服务。为保证安全服务工作顺利进行，经协商一致，双方达成以下协议：

一、安全服务依据

1、安全服务合法性依据，主要包括如下文件：

1）公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）；

2）公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定的《信息安全等级保护管理办法》（公通字〔2007〕43号）。

2、安全服务技术规范依据，包括但不限于如下技术标准：

1）《信息安全技术信息系统安全等级保护基本要求》；

2）《信息安全技术信息系统安全等级保护测评要求》；

3）《信息安全技术信息系统安全等级保护测评过程指南》。

二、安全服务内容

乙方应在坚持科学、客观、公正原则的基础上，如实反映信息系统的真实情况，不受第三方干扰，完整、准确地向甲方提供其信息系统安全等级保护职责履行情况的数据和信息，并给出相应的安全服务报告，其结果不受他方干扰。

乙方对信息系统进行如下内容的安全服务工作：

●安全差距分析

乙方结合甲方信息系统的实际情况，进行安全现状调研，针对本项目信息系统，依据第一章“安全服务依据”第二点相关技术标准，对项目信息系统进行差距分析和风险评估，并对分析和评估的结果进行归纳整理，形成信息系统差距分析报告并提供安全整改建议。

●安全技术评估

乙方通过物理安全、网络安全、主机安全、应用安全和数据安全等五个层面测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况。

●安全管理评估

乙方通过查阅文档、抽样调查等方法，针对甲方在信息安全方面制定规章制度的合理性、适用性等进行评估，主要包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等内容。

●系统整体评估

乙方依据《信息系统安全等级保护基本要求》和《信息系统安全等级保护测评准则》，根据现场评估记录和甲方提供的安全体系相关的设计和建设方案历史数据，并结合业务特点，对信息系统进行整体安全等级符合性分析。

三、服务标的

1） XXX网站系统（二级）；

2） XXX系统（二级）；

3） XXX系统（二级）；

四、服务方式

服务方式：人员访谈、文档审查、配置核查、工具测试、实地查看、测评报告等。

五、服务开始时间、地点和期限

开始时间：合同签订后10日内；

服务地点：XX学院；

完成期限：合同签订后2个月内。

六、服务费用及其支付方式

本项目服务费用共计人民币元整（￥）。

甲方按照以下条款向乙方支付合同总价：

1）首付款

甲方于本合同生效之日起10 个工作日内向乙方支付合同金额的50 %，

即人民币：￥（大写人民币：元整）。

2）验收付款

甲方于收到公安部门颁发的《信息系统安全等级保护备案证明》及相关

系统的测评报告起10 个工作日内向乙方支付合同金额的50%，即人民

币：￥（大写人民币：元整）。

3）开具发票

乙方收到甲方验收付款前10个工作日内向甲方开具符合国家及本合

同规定的相应数据额的发票。

七、合同责任

1）甲方应按合同要求向乙方交付服务费用。

2）甲、乙双方应积极配合保证服务工作顺利进行，因一方责任导致服务工作延

期的，应当以本项目服务费用的千分之二为标准按日向对方计付违约金；如确因乙方原因延期超过30日的，甲方有权要求乙方支付服务费的10%作为违约金，并另行委托第三方完成服务事项，相关费用由乙方承担。

3）乙方在安全服务开展之前，甲方应协调相关单位做好相应的系统数据备份等工作，乙方应明示具体的测试方法、采用的测试工具、操作步骤、参与的人员以及可能出现的风险。

4）乙方在现场服务时，应遵守甲方的工作纪律，不破坏甲方的工作设备和软、硬件设施；如果乙方对甲方的工作设备和软、硬件设施造成破坏，应承担相应的经济责任。

5）乙方应按时完成服务工作，服务完成后出具书面服务报告。

6）乙方出具的服务报告应包括对被测信息系统的检查结果及安全等级符合情况（或根据实际需要填写）。

7）乙方保证提供给甲方的等级保护测评报告符合国家和公安部颁布标准及合同规定的要求。

8）乙方保证在项目实施过程中甲方的网络正常运行。

9）乙方保证向甲方提供的技术资料是清晰的、正确的、完整的。

10)如因乙方提供的相关资料或提供的技术资料错误，或乙方在现场的技术人员指导有错误而使报告不能达到要求，乙方负责修改，由此引起的费用由乙方承担。乙方逾期40个工作日仍不能提供达到甲方要求的报告，甲方有权解除合同，乙方全额退回首付款，并支付相当于合同金额5%的违约金。

11)甲方应配合乙方的工作，按时提供相应的数据、信息和资料，并保证其正确性、真实性，如果由于甲方提供的数据、信息和资料有误或不能如期提供，影响工作质量和进度的，乙方无需承担逾期责任；甲方逾期22个工作日不提供约定的物质技术条件的，乙方有权解除合同，甲方应当支付相当于合同金额5%的违约金。

八、工作成果提交及项目验收方式

在安全服务工作完毕后，乙方将提交《信息系统安全差距分析与整改建议报告》、《信息系统安全等级测评报告》以及公安部门颁发的《信息系统安全等级保护备案证明》；甲方确认乙方完成上述各项工作后，在《信息系统安全等级测评报告验收单》上签字确认本项目验收完毕。

九、售后服务承诺

乙方承诺在项目实施完工后一年内，免费为甲方提供一年应急响应服务，并承诺在安全事件发生后2小时到达现场，24小时内定位问题。

十、免责条款

1）甲方应积极协调配合乙方进行安全服务工作，保证提供的相关资料真实可靠，在服务过程中不设置障碍，因非乙方原因导致服务工作无法正常进行或按时完成，乙方不承担违约责任。

2）甲方应在乙方开始服务前协调做好系统数据备份等准备工作，因非乙方的原因导致甲方的经济损失，乙方不承担责任。

3）乙方出具的测试结论只针对用户现有的网络与信息系统，不涉及该系统结构或功能等要素发生变化后的情况。

4）若由于甲方操作不当或其他原因造成的问题，乙方也应提供技术支持，所造成的费用由甲乙双方协商共同承担。

十一、本项目的技术秘密保密范围和期限

1）在服务期间及服务工作结束后，一方应将另一方提供的资料和信息限制在与本服务有关的人员、保密协议签署者范围内，不应发表或提供给第三方，并不得使用于本合同之外的目的。该条款不因合同的终止、解除而失效。

2）一方或其工作人员违反前款规定给对方造成损失的，应当负责赔偿。

十二、不可抗力

如果一方或双方因出现水灾、火灾、台风、地震、战争或其它不可抗力因素不能正常履行合同，须在15个工作日内通知对方，并出具证明文件。按事件对履行合同的影响程度，由双方协商决定是否解除合同，部分免除或延期履行合同的责任。

十三、争议解决

在本合同执行过程中发生纠纷时，双方应及时通过协商或第三方调解解决。协商、调解不成时，任何一方均可提请西安人民法院诉讼解决。

十四、其他

1）一方如提出停止安全服务的单方面要求，须经另一方签字确认并赔偿由此而对其造成的损失。该赔偿金额不少于服务费的20%。