信息安全維護(hù)服務(wù)協(xié)議書[安全運(yùn)維協(xié)議書]

1、. WORD 格式整理 . .信息系統(tǒng)安全年度服務(wù)協(xié)議合同編號：甲 方：地 址：聯(lián) 系 人：電 話：傳 真：郵政編碼：乙 方：地 址：聯(lián) 系 人：電 話：傳 真：郵政編碼：. .專業(yè)知識分享 . . WORD 格式整理 . .1.協(xié)議內(nèi)容 . 31.1 前期系統(tǒng)評估 . 31.2 整理工作 . 41.3 服務(wù)內(nèi)容 . 41.3.1 信息安全風(fēng)險(xiǎn)評估 . 41.3.2 信息系統(tǒng)安全加固 . 41.3.3 信息系統(tǒng)實(shí)時(shí)監(jiān)測 . 41.3.4 安全事件應(yīng)急響應(yīng) . 51.3.5 等級保護(hù)安全建設(shè)整改 . 51.3.6 信息系統(tǒng)安全通告 . 51.3.7 信息安全管理策略 . 61.3.8 管理人員安

2、全培訓(xùn) . 71.3.9 信息系統(tǒng)安全測評 . 71.3.10 咨詢服務(wù) . 71.3.11 呼叫中心服務(wù) . 71.4 安全服務(wù)所包括的設(shè)備范圍 . 81.7 下屬情況不在乙方服務(wù)范圍之列 . 81.8 其他服務(wù)約定 . 82.合同價(jià)格 . 83.合同有效期 . 94.付款條款 . 95.違約責(zé)任 . 96.技術(shù)支持服務(wù)項(xiàng)目組成員 . 97.優(yōu)惠措施 . 98.服務(wù)保證 . 109.不可抗力 . 1010.仲裁條款 . 1011.保密條款 . 1112.合同變更、補(bǔ)充及終止 . 1113,合同效力 . 11. .專業(yè)知識分享 . . WORD 格式整理 . .甲方向乙方購買信息系統(tǒng)安全服務(wù)。

3、 甲乙雙方本著相互信任、 真誠合作、 共同發(fā)展的原則，在友好協(xié)商的基礎(chǔ)上達(dá)成如下協(xié)議。1.協(xié)議內(nèi)容我們?yōu)槟峁┑膶I(yè)安全服務(wù)包括：1. 是否對網(wǎng)絡(luò)基礎(chǔ)平臺熟悉：熟悉。2. 是否提供 24 小時(shí)技術(shù)支持：提供。3. 是否提供 365 724 熱線支持：提供。4. 是否提供工程師到廠安全巡檢：提供每月一次的網(wǎng)絡(luò)安全巡檢，并提交巡檢報(bào)告。5. 是否提供服務(wù)器及網(wǎng)絡(luò)設(shè)置安全策略優(yōu)化服務(wù)：提供。6. 是否提供 24 小時(shí)熱線支持電話：提供。7. 重大事件響應(yīng)時(shí)間： 12 個(gè)小時(shí)內(nèi)到達(dá)甲方現(xiàn)場。8. 是否對現(xiàn)有信息安全進(jìn)行風(fēng)險(xiǎn)評估：在甲方許可的情況下可提供風(fēng)險(xiǎn)評估，或每季度進(jìn)行一次風(fēng)險(xiǎn)評估。9. 是否對信

4、息系統(tǒng)安全加固：可按照等級相關(guān)要求、標(biāo)準(zhǔn)進(jìn)行安全加固10. 是否對互聯(lián)網(wǎng)網(wǎng)站實(shí)時(shí)監(jiān)測：提供實(shí)時(shí)監(jiān)測服務(wù)。11. 當(dāng)發(fā)生安全事件后是否提供應(yīng)急響應(yīng)：提供12. 是否提供等級保護(hù)測評服務(wù)：由專業(yè)測評師提供每年不少于一次的測評服務(wù)。13. 是否提供等級保護(hù)安全建設(shè)整改：針對甲方現(xiàn)狀提供整改意見。14. 是否第一時(shí)間提供重大信息系統(tǒng)安全通告： 以郵件、 短信、 微信、 傳真等方式提供。15. 是否提供信息安全管理策略 ：提供16. 是否提供管理人員安全培訓(xùn)：提供1.1 前期系統(tǒng)評估在簽訂合同并且生效后， 乙方需按甲方的要求在協(xié)商好的時(shí)間之內(nèi) （一般在 _個(gè)工作日內(nèi)），對甲方的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)備的安全狀

5、況、 運(yùn)行狀況進(jìn)行全面檢查， 做出詳細(xì)的報(bào)告，. .專業(yè)知識分享 . . WORD 格式整理 . .記錄所有設(shè)備清單中關(guān)鍵設(shè)備的當(dāng)前安全狀況， 并且結(jié)合甲方網(wǎng)絡(luò)的實(shí)際運(yùn)行情況對于可以進(jìn)行安全優(yōu)化的內(nèi)容與甲方協(xié)商， 確定安全的方案， 在與甲方和乙方進(jìn)行充分論證后， 由甲方?jīng)Q定是否實(shí)施。1.2 整理工作在甲方確認(rèn)乙方的安全建議后， 雙方協(xié)商好實(shí)施的時(shí)間， 由乙方完成優(yōu)化工作， 并記錄配置情況和運(yùn)行情況。1.3 服務(wù)內(nèi)容1.3.1 信息安全風(fēng)險(xiǎn)評估信息安全風(fēng)險(xiǎn)評估是從風(fēng)險(xiǎn)管理的角度， 運(yùn)用科學(xué)的方法和手段， 結(jié)合信息安全全面檢測網(wǎng)絡(luò)和信息系統(tǒng)存在的脆弱性， 系統(tǒng)分析和評估安全防護(hù)水平， 從而有針對性

6、地提出抵御威脅的防護(hù)對策和整改措施， 將風(fēng)險(xiǎn)控制在可接受的水平， 最大限度的保障網(wǎng)絡(luò)和信息安全。我公司提供的風(fēng)險(xiǎn)評估內(nèi)容包括： 物理環(huán)境安全檢查及建議、 網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)評估、 操作系統(tǒng)風(fēng)險(xiǎn)評估、應(yīng)用系統(tǒng)風(fēng)險(xiǎn)評估、數(shù)據(jù)庫風(fēng)險(xiǎn)評估、計(jì)算機(jī)終端風(fēng)險(xiǎn)評估等。評估的主要手段包括：安全點(diǎn)檢查、漏洞掃描、滲透測試、配置檢查等多種方式。1.3.2 信息系統(tǒng)安全加固安全加固是指通過一定的技術(shù)手段，提高操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的安全性和抗攻擊能力， 經(jīng)過良好配置的系統(tǒng)或設(shè)備的抗攻擊性有極大的增強(qiáng)。 在對系統(tǒng)作相應(yīng)的安全配置后， 結(jié)合定期的安全評估和維護(hù)服務(wù)就使得系統(tǒng)保持在一個(gè)較高的安全線之上

7、。1.3.3 信息系統(tǒng)實(shí)時(shí)監(jiān)測信息系統(tǒng)實(shí)時(shí)監(jiān)測服務(wù)全面覆蓋網(wǎng)站代碼安全檢測、 網(wǎng)頁內(nèi)容安全監(jiān)測、 網(wǎng)站服務(wù)質(zhì)量監(jiān)測， 為網(wǎng)站提供全方位、全天候的安全監(jiān)測服務(wù)；通過主動(dòng)發(fā)現(xiàn)網(wǎng)站漏洞、實(shí)時(shí)監(jiān)測網(wǎng)頁內(nèi)容、及時(shí)發(fā)現(xiàn)網(wǎng)站服務(wù)可用性問題三大維度保障網(wǎng)站持續(xù)穩(wěn)定提供服務(wù)， 主要提供以下服. .專業(yè)知識分享 . . WORD 格式整理 . .務(wù)：網(wǎng)站漏洞檢測網(wǎng)頁木馬檢測網(wǎng)頁惡意鏈接檢測網(wǎng)頁敏感內(nèi)容監(jiān)測網(wǎng)頁篡改監(jiān)測網(wǎng)頁壞鏈檢測網(wǎng)站 DNS 監(jiān)測網(wǎng)站可用性監(jiān)測1.3.4 安全事件應(yīng)急響應(yīng)針對用戶信息系統(tǒng)可能發(fā)生的信息安全事件，通過引入專業(yè)的安全事件應(yīng)急相應(yīng)服務(wù)：在接到用戶應(yīng)急響應(yīng)服務(wù)請求后， 由專業(yè)安全公司的安全

8、專家提供遠(yuǎn)程安全支持和現(xiàn)場安全支持，判斷事件類型，協(xié)助客戶降低影響，并提供分析建議。對攻擊進(jìn)行抑制，降低損失。應(yīng)急響應(yīng)服務(wù)完成后服務(wù)人員會(huì)整理詳細(xì)的事故處理報(bào)告， 內(nèi)容包括事故原因分析、 已造成的影響、處理辦法、處理結(jié)果、預(yù)防和改進(jìn)建議等提交給用戶相關(guān)人員。1.3.5 等級保護(hù)安全建設(shè)整改按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范的要求， 對現(xiàn)有信息系統(tǒng)開展信息安全等級保護(hù)安全建設(shè)整改工作。 通過落實(shí)安全責(zé)任制，開展管理制度建設(shè)、技術(shù)措施建設(shè)， 落實(shí)等級保護(hù)制度的各項(xiàng)要求， 使現(xiàn)有信息系統(tǒng)安全管理水平明顯提高， 安全保護(hù)能力明顯增強(qiáng)， 安全隱患和安全事故明顯減少。 并堅(jiān)持管理和技術(shù)并重的原則， 將技術(shù)措施和管

9、理措施有機(jī)結(jié)合， 建立信息系統(tǒng)綜合防護(hù)體系， 提高信息系統(tǒng)整體安全保護(hù)能力。 同時(shí)依據(jù) 信息系統(tǒng)安全等級保護(hù)基本要求 建立并落實(shí)各類安全管理制度， 開展人員安全管理、 系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等工作， 落實(shí)物理安全、 網(wǎng)絡(luò)安全、 主機(jī)安全、 應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施。1.3.6 信息系統(tǒng)安全通告信息安全是動(dòng)態(tài)發(fā)展的。 面對日益演變的安全攻擊手段和系統(tǒng)安全漏洞的不斷發(fā)現(xiàn)和利. .專業(yè)知識分享 . . WORD 格式整理 . .用，信息系統(tǒng)所面臨的風(fēng)險(xiǎn)也在不斷變化?；诖?，建議客戶實(shí)時(shí)關(guān)注安全動(dòng)態(tài)， 了解最新的安全技術(shù)和安全理念。我們建議安全公告服務(wù)主要包括：系統(tǒng)漏洞信息將一段時(shí)期內(nèi)

10、， 各操作系統(tǒng)、應(yīng)用系統(tǒng)、 網(wǎng)絡(luò)設(shè)備等的最新安全漏洞進(jìn)行通告，包括漏洞威脅、影響平臺及修補(bǔ)方法等。病毒信息將一段時(shí)期內(nèi)， 最具威脅性的病毒信息進(jìn)行通告， 包括病毒危害、 感染原理及防護(hù)措施等。安全預(yù)警一旦出現(xiàn)將可能造成大規(guī)模網(wǎng)絡(luò)攻擊事件的安全漏洞或病毒木馬，進(jìn)行及時(shí)的安全預(yù)警，積極進(jìn)行補(bǔ)丁修復(fù)和安全防護(hù)。信息安全事件將一段時(shí)期內(nèi)， 相關(guān)信息安全事件進(jìn)行通告， 避免客戶信息系統(tǒng)遭遇同樣安全攻擊事件，造成嚴(yán)重?fù)p失。安全技術(shù)研究專業(yè)信息安全團(tuán)隊(duì)對最新安全技術(shù)進(jìn)行深入研究， 包括信息系統(tǒng)漏洞挖掘、 風(fēng)險(xiǎn)分析以及安全防護(hù)技術(shù)。1.3.7 信息安全管理策略信息安全管理策略是信息系統(tǒng)生命周期的重要環(huán)節(jié)， 管

11、理策略制定服務(wù)是根據(jù)應(yīng)用系統(tǒng)面臨的安全威脅分析或評估結(jié)果， 對客戶授權(quán)的信息系統(tǒng)進(jìn)行安全策略設(shè)計(jì)、 部署， 并對已經(jīng)制定實(shí)施的系統(tǒng)安全管理策略效果進(jìn)行驗(yàn)證、 調(diào)整和改進(jìn)， 我們建議系統(tǒng)安全策略涉及到的主要內(nèi)容為：WEB 應(yīng)用安全管理制度日志管理與審核制度賬號口令管理制度防病毒服務(wù)器日常維護(hù)制度補(bǔ)丁加載管理制度風(fēng)險(xiǎn)評估實(shí)施細(xì)則. .專業(yè)知識分享 . . WORD 格式整理 . .安全事件應(yīng)急響應(yīng)流程1.3.8 管理人員安全培訓(xùn)通過信息安全培訓(xùn)服務(wù)，加強(qiáng)廣大員工的信息安全意識，提高客戶應(yīng)對信息安全風(fēng)險(xiǎn)的能力， 同時(shí)提高系統(tǒng)管理員的安全運(yùn)維水平， 為企業(yè)創(chuàng)造一個(gè)良好的信息安全氛圍。 我們建議安全培訓(xùn)

12、服務(wù)主要包括：信息系統(tǒng)安全威脅常見信息系統(tǒng)入侵技術(shù)信息系統(tǒng)防護(hù)體系風(fēng)險(xiǎn)評估與等級保護(hù)1.3.9 信息系統(tǒng)安全測評針對甲方現(xiàn)有信息系統(tǒng)進(jìn)行等級測評，測評內(nèi)容包括：測評包括安全技術(shù)測評和安全管理測評兩大部分，其中安全技術(shù)測評包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等五個(gè)技術(shù)層面， 安全管理測評包括安全管理制度、 安全管理機(jī)構(gòu)、 人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)安全管理方面的內(nèi)容。1.3.10 咨詢服務(wù)乙方還為甲方提供如下一些免費(fèi)的咨詢服務(wù)：1. 安全產(chǎn)品采購咨詢服務(wù)2. 最新網(wǎng)絡(luò)安全技術(shù)服務(wù)3. 應(yīng)用系統(tǒng)安全相關(guān)的技術(shù)咨詢服務(wù)1.3.11 呼叫中心服務(wù)甲方的維護(hù)

13、范圍內(nèi)的設(shè)備出現(xiàn)問題，乙方提供 12 個(gè)月*7 天工作日 *24 小時(shí)呼叫中心服務(wù)，專人專線接受維修請求，負(fù)責(zé)聯(lián)系相應(yīng)生產(chǎn)商、供應(yīng)商的售后服務(wù)部門、人員通知、和維護(hù)落實(shí)工作。工作服務(wù)熱線：. .專業(yè)知識分享 . . WORD 格式整理 . .1.4 安全服務(wù)所包括的設(shè)備范圍每年的常規(guī)服務(wù)費(fèi)用包括的設(shè)備范圍在附件的設(shè)備清單。1.7 下屬情況不在乙方服務(wù)范圍之列1. 電信線路故障。2. 合同在任一方由于不可抗力的原因，及該方不能控制的事件發(fā)生如戰(zhàn)爭、暴亂、罷工、禁運(yùn)、 自然力或政府干涉的條件下無法正常履行合同， 則合同應(yīng)延期執(zhí)行， 延期的時(shí)間應(yīng)與時(shí)間的持續(xù)時(shí)間相等，合同雙方不必承擔(dān)延誤責(zé)任。1.8

14、 其他服務(wù)約定1. 甲方應(yīng)該配合乙方真實(shí)地列出需要維護(hù)的設(shè)備清單。2. 在現(xiàn)場維護(hù)時(shí)， 甲方應(yīng)及時(shí)向乙方提供一個(gè)有效運(yùn)行的系統(tǒng)環(huán)境、 必要的系統(tǒng)技術(shù)和相關(guān)信息和數(shù)據(jù)， 并保證乙方的網(wǎng)絡(luò)工程師能夠接觸到所需維護(hù)的軟硬件。 并在維護(hù)工作結(jié)束后，在乙方的維護(hù)記錄單上簽字確認(rèn)本次維護(hù)工作，并提出相應(yīng)的意見。3. 如果甲方對乙方工程師的服務(wù)不滿意時(shí)，有權(quán)要求乙方更換工程師。4. 當(dāng)乙方為甲方提供了備件時(shí)， 如果甲方設(shè)備確實(shí)已經(jīng)損壞無法修復(fù)時(shí)， 甲方需要購買新的替代設(shè)備或?qū)浼I下，不能無故不歸還乙方的備件設(shè)備。5. 乙方員工嚴(yán)格按照相關(guān)的中國數(shù)據(jù)保護(hù)法律，保證對在甲方所接觸到的一切企業(yè)數(shù)據(jù)，不泄露給其他

15、個(gè)人和公司， 更不作為商業(yè)的目的而出售， 如果違反則乙方須承擔(dān)相應(yīng)的法律責(zé)任。2.合同價(jià)格1. 合同設(shè)備的價(jià)格 （以下稱為： 合同總價(jià)） 為：￥ 元（大寫： 元整）。2. 開始提供服務(wù)的時(shí)間為，收到甲方合同款開始的 2 天內(nèi)開始。. .專業(yè)知識分享 . . WORD 格式整理 . .3.合同有效期1. 本合同的有效期為從合同簽訂起的一年時(shí)間， 但本合同僅在乙方收到第一次服務(wù)款后對乙方具有約束力。2. 合同到期后， 本維護(hù)服務(wù)合同可根據(jù)當(dāng)時(shí)的情況自動(dòng)延長一年， 合同雙方中的任何一方也可以提前一個(gè)月書面通知對方解除合同。4.付款條款1. 甲方每年支付給乙方的服務(wù)費(fèi)用為人民幣： 元整（ 元）。2.

16、付款方式：在本合同簽訂后一周內(nèi)支付全部合同金額。5.違約責(zé)任1. 無論甲乙雙方任何一方違約， 都需要對方支付一定的違約賠款， 每次違約賠款的多少由雙方友好協(xié)商確定，但是每次違約賠款不應(yīng)該超過本期合同總金額的 0.5% ，合同期內(nèi)的賠償總額不超過合同總額的 5%2. 甲方有責(zé)任更具合同按期支付服務(wù)費(fèi)用。 若甲方未能按期支付服務(wù)費(fèi)用， 則應(yīng)向乙方支付合同金額 5%的違約金，一方有權(quán)決定解除合同，停止對甲方提供維修服務(wù)。6.技術(shù)支持服務(wù)項(xiàng)目組成員甲方指定 為項(xiàng)目負(fù)責(zé)人， 來同乙方共同確定每次的服務(wù)內(nèi)容、 服務(wù)結(jié)果和服務(wù)時(shí)間，并代表甲方與乙方聯(lián)系。乙方定期向該負(fù)責(zé)人匯報(bào)網(wǎng)絡(luò)現(xiàn)狀。7.優(yōu)惠措施1. 乙方

17、在舉行各項(xiàng)安全技術(shù)推廣和安全培訓(xùn)活動(dòng)時(shí)，會(huì)優(yōu)先邀請甲方參加。如果是收費(fèi)培訓(xùn)時(shí)，甲方享有最低折扣優(yōu)惠，具體優(yōu)惠折扣根據(jù)培訓(xùn)相關(guān)事宜確定。. .專業(yè)知識分享 . . WORD 格式整理 . .2. 充分利用一方的培訓(xùn)中心， 為甲方提供認(rèn)證的專業(yè)工程師培訓(xùn)和資格考試， 同時(shí)定期向甲方提供培訓(xùn)信息。8.服務(wù)保證針對行業(yè)的特殊性，乙方為甲方提供高優(yōu)先級服務(wù)（ 12 個(gè)月*7 天*24 小時(shí)），乙方的工程師在接到甲方的電話后，常規(guī)事件時(shí)間小時(shí)之內(nèi)，重大事件時(shí)間 2 小時(shí)之內(nèi)趕到現(xiàn)場，并在最短的時(shí)間內(nèi)對產(chǎn)生的安全問題做出診斷并排除。 若乙方派出的工程師未能及時(shí)有效地解決問題，則由乙方在當(dāng)天之內(nèi)召集技術(shù)總監(jiān)和

18、專家顧問現(xiàn)場解決。9.不可抗力1. 如果雙方中的任何一方因?yàn)椴豢煽沽?,如:戰(zhàn)爭、火災(zāi)、臺風(fēng)、洪水、地震或其他雙方共認(rèn)為屬于不可抗力的原因而被迫停止或推遲合同的執(zhí)行 ,則合同執(zhí)行相應(yīng)延遲，延遲的時(shí)間等于不可抗力發(fā)生作用的時(shí)間。2. 受影響的一方應(yīng)將不可抗力的發(fā)生盡快通過電報(bào)、電傳或傳真通知另一方。3. 受影響的一方應(yīng)在不可抗力終止或被排除后盡快通過電報(bào)、電傳或傳真通知另一方 ,并通過航空掛號信通知另一方不可抗力已終結(jié)或排除。4. 如果不可抗力持續(xù)作用超過 30 天,雙方將通過友好協(xié)商解決未來的合同執(zhí)行問題 ,如果雙方在持續(xù) 60 天內(nèi)未能解決疑義 ,甲方有權(quán)利解除合同。10.仲裁條款1. 所有與合同及合同執(zhí)行有關(guān)的爭議將通過雙方友好協(xié)商解決 ,如果不能通過友好協(xié)商解決，則將該爭議提交合同簽訂所在地的仲裁委員會(huì)仲裁。2. 仲裁裁定是終局的， 對雙方均有約束力。 任何一方不得向法院或其他機(jī)構(gòu)申請改變仲裁裁定。3. 仲裁費(fèi)用及相關(guān)損失由敗方承擔(dān)。4. 仲裁進(jìn)行過程中，雙方將繼續(xù)執(zhí)行合同，但仲裁部分除外。. .專業(yè)知識分享 . . WORD 格式整理 . .11.保密條款1. 項(xiàng)目中所涉及的成交價(jià)格、雙方的內(nèi)部資料、 數(shù)據(jù)和其他