信息安全維護(hù)服務(wù)協(xié)議安全運(yùn)維協(xié)議

信息系統(tǒng)安全年度服務(wù)協(xié)議協(xié)議編號(hào)：甲方：地址：聯(lián)系人：電話：傳真：郵政編碼：乙方：地址：聯(lián)系人：電話：傳真：郵政編碼：TOC\o"1-3"\h\z1.協(xié)議內(nèi)容 31.1前期系統(tǒng)評(píng)估 31.2整理工作 41.3服務(wù)內(nèi)容 41.3.1信息安全風(fēng)險(xiǎn)評(píng)估 41.3.2信息系統(tǒng)安全加固 41.3.3信息系統(tǒng)實(shí)時(shí)監(jiān)測(cè) 41.3.4安全事件應(yīng)急響應(yīng) 51.3.5等級(jí)保護(hù)安全建設(shè)整改 51.3.6信息系統(tǒng)安全通告 51.3.7信息安全管理策略 61.3.8管理人員安全培訓(xùn) 71.3.9信息系統(tǒng)安全測(cè)評(píng) 71.3.10征詢(xún)服務(wù) 71.3.11呼喊中心服務(wù) 71.4安全服務(wù)所涉及的設(shè)備范圍 81.7下屬情況不在乙方服務(wù)范圍之列 81.8其他服務(wù)約定 82.協(xié)議價(jià)格 83.協(xié)議有效期 94.付款條款 95.違約責(zé)任 96.技術(shù)支持服務(wù)項(xiàng)目組成員 97.優(yōu)惠措施 98.服務(wù)保證 109.不可抗力 1010.仲裁條款 1011.保密條款 1112.協(xié)議變更、補(bǔ)充及終止 1113,協(xié)議效力 11甲方向乙方購(gòu)買(mǎi)信息系統(tǒng)安全服務(wù)。甲乙雙方本著互相信任、真誠(chéng)合作、共同發(fā)展的原則，在和諧協(xié)商的基礎(chǔ)上達(dá)成如下協(xié)議。1.協(xié)議內(nèi)容我們?yōu)槟峁┑膶?zhuān)業(yè)安全服務(wù)涉及：是否對(duì)網(wǎng)絡(luò)基礎(chǔ)平臺(tái)熟悉：熟悉。是否提供24小時(shí)技術(shù)支持：提供。是否提供365×7×24熱線支持：提供。是否提供工程師到廠安全巡檢：提供每月一次的網(wǎng)絡(luò)安全巡檢，并提交巡檢報(bào)告。是否提供服務(wù)器及網(wǎng)絡(luò)設(shè)立安全策略?xún)?yōu)化服務(wù)：提供。是否提供24小時(shí)熱線支持電話：提供。重大事件響應(yīng)時(shí)間：12個(gè)小時(shí)內(nèi)到達(dá)甲方現(xiàn)場(chǎng)。是否對(duì)現(xiàn)有信息安全進(jìn)行風(fēng)險(xiǎn)評(píng)估：在甲方許可的情況下可提供風(fēng)險(xiǎn)評(píng)估，或每季度進(jìn)行一次風(fēng)險(xiǎn)評(píng)估。是否對(duì)信息系統(tǒng)安全加固：可按照等級(jí)相關(guān)規(guī)定、標(biāo)準(zhǔn)進(jìn)行安全加固是否對(duì)互聯(lián)網(wǎng)網(wǎng)站實(shí)時(shí)監(jiān)測(cè)：提供實(shí)時(shí)監(jiān)測(cè)服務(wù)。當(dāng)發(fā)生安全事件后是否提供應(yīng)急響應(yīng)：提供是否提供等級(jí)保護(hù)測(cè)評(píng)服務(wù)：由專(zhuān)業(yè)測(cè)評(píng)師提供每年不少于一次的測(cè)評(píng)服務(wù)。是否提供等級(jí)保護(hù)安全建設(shè)整改：針對(duì)甲方現(xiàn)狀提供整改意見(jiàn)。是否第一時(shí)間提供重大信息系統(tǒng)安全通告：以郵件、短信、微信、傳真等方式提供。是否提供信息安全管理策略 ：提供是否提供管理人員安全培訓(xùn)：提供1.1前期系統(tǒng)評(píng)估在簽訂協(xié)議并且生效后，乙方需按甲方的規(guī)定在協(xié)商好的時(shí)間之內(nèi)（一般在__個(gè)工作日內(nèi)），對(duì)甲方的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)備的安全狀況、運(yùn)營(yíng)狀況進(jìn)行全面檢查，做出具體的報(bào)告，記錄所有設(shè)備清單中關(guān)鍵設(shè)備的當(dāng)前安全狀況，并且結(jié)合甲方網(wǎng)絡(luò)的實(shí)際運(yùn)營(yíng)情況對(duì)于可以進(jìn)行安全優(yōu)化的內(nèi)容與甲方協(xié)商，擬定安全的方案，在與甲方和乙方進(jìn)行充足論證后，由甲方?jīng)Q定是否實(shí)行。1.2整理工作在甲方確認(rèn)乙方的安全建議后，雙方協(xié)商好實(shí)行的時(shí)間，由乙方完畢優(yōu)化工作，并記錄配置情況和運(yùn)營(yíng)情況。1.3服務(wù)內(nèi)容1.3.1信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理的角度，運(yùn)用科學(xué)的方法和手段，結(jié)合信息安全全面檢測(cè)網(wǎng)絡(luò)和信息系統(tǒng)存在的脆弱性，系統(tǒng)分析和評(píng)估安全防護(hù)水平，從而有針對(duì)性地提出抵御威脅的防護(hù)對(duì)策和整改措施，將風(fēng)險(xiǎn)控制在可接受的水平，最大限度的保障網(wǎng)絡(luò)和信息安全。我公司提供的風(fēng)險(xiǎn)評(píng)估內(nèi)容涉及：物理環(huán)境安全檢查及建議、網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)評(píng)估、操作系統(tǒng)風(fēng)險(xiǎn)評(píng)估、應(yīng)用系統(tǒng)風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)評(píng)估、計(jì)算機(jī)終端風(fēng)險(xiǎn)評(píng)估等。評(píng)估的重要手段涉及：安全點(diǎn)檢查、漏洞掃描、滲透測(cè)試、配置檢查等多種方式。1.3.2信息系統(tǒng)安全加固安全加固是指通過(guò)一定的技術(shù)手段，提高操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的安全性和抗襲擊能力，通過(guò)良好配置的系統(tǒng)或設(shè)備的抗襲擊性有極大的增強(qiáng)。在對(duì)系統(tǒng)作相應(yīng)的安全配置后，結(jié)合定期的安全評(píng)估和維護(hù)服務(wù)就使得系統(tǒng)保持在一個(gè)較高的安全線之上。1.3.3信息系統(tǒng)實(shí)時(shí)監(jiān)測(cè)信息系統(tǒng)實(shí)時(shí)監(jiān)測(cè)服務(wù)全面覆蓋網(wǎng)站代碼安全檢測(cè)、網(wǎng)頁(yè)內(nèi)容安全監(jiān)測(cè)、網(wǎng)站服務(wù)質(zhì)量監(jiān)測(cè)，為網(wǎng)站提供全方位、全天候的安全監(jiān)測(cè)服務(wù)；通過(guò)積極發(fā)現(xiàn)網(wǎng)站漏洞、實(shí)時(shí)監(jiān)測(cè)網(wǎng)頁(yè)內(nèi)容、及時(shí)發(fā)現(xiàn)網(wǎng)站服務(wù)可用性問(wèn)題三大維度保障網(wǎng)站連續(xù)穩(wěn)定提供服務(wù)，重要提供以下服務(wù)：網(wǎng)站漏洞檢測(cè)網(wǎng)頁(yè)木馬檢測(cè)網(wǎng)頁(yè)惡意鏈接檢測(cè)網(wǎng)頁(yè)敏感內(nèi)容監(jiān)測(cè)網(wǎng)頁(yè)篡改監(jiān)測(cè)網(wǎng)頁(yè)壞鏈檢測(cè)網(wǎng)站DNS監(jiān)測(cè)網(wǎng)站可用性監(jiān)測(cè)1.3.4安全事件應(yīng)急響應(yīng)針對(duì)用戶(hù)信息系統(tǒng)也許發(fā)生的信息安全事件，通過(guò)引入專(zhuān)業(yè)的安全事件應(yīng)急相應(yīng)服務(wù)：在接到用戶(hù)應(yīng)急響應(yīng)服務(wù)請(qǐng)求后，由專(zhuān)業(yè)安全公司的安全專(zhuān)家提供遠(yuǎn)程安全支持和現(xiàn)場(chǎng)安全支持，判斷事件類(lèi)型，協(xié)助客戶(hù)減少影響，并提供分析建議。對(duì)襲擊進(jìn)行克制，減少損失。應(yīng)急響應(yīng)服務(wù)完畢后服務(wù)人員會(huì)整理具體的事故解決報(bào)告，內(nèi)容涉及事故因素分析、已導(dǎo)致的影響、解決辦法、解決結(jié)果、防止和改善建議等提交給用戶(hù)相關(guān)人員。1.3.5等級(jí)保護(hù)安全建設(shè)整改按照國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范的規(guī)定，對(duì)現(xiàn)有信息系統(tǒng)開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作。通過(guò)貫徹安全責(zé)任制，開(kāi)展管理制度建設(shè)、技術(shù)措施建設(shè)，貫徹等級(jí)保護(hù)制度的各項(xiàng)規(guī)定，使現(xiàn)有信息系統(tǒng)安全管理水平明顯提高，安全保護(hù)能力明顯增強(qiáng)，安全隱患和安全事故明顯減少。并堅(jiān)持管理和技術(shù)并重的原則，將技術(shù)措施和管理措施有機(jī)結(jié)合，建立信息系統(tǒng)綜合防護(hù)體系，提高信息系統(tǒng)整體安全保護(hù)能力。同時(shí)依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本規(guī)定》建立并貫徹各類(lèi)安全管理制度，開(kāi)展人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等工作，貫徹物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施。1.3.6信息系統(tǒng)安全通告信息安全是動(dòng)態(tài)發(fā)展的。面對(duì)日益演變的安全襲擊手段和系統(tǒng)安全漏洞的不斷發(fā)現(xiàn)和運(yùn)用，信息系統(tǒng)所面臨的風(fēng)險(xiǎn)也在不斷變化?；诖耍ㄗh客戶(hù)實(shí)時(shí)關(guān)注安全動(dòng)態(tài)，了解最新的安全技術(shù)和安全理念。我們建議安全公告服務(wù)重要涉及：系統(tǒng)漏洞信息將一段時(shí)期內(nèi)，各操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備等的最新安全漏洞進(jìn)行通告，涉及漏洞威脅、影響平臺(tái)及修補(bǔ)方法等。病毒信息將一段時(shí)期內(nèi)，最具威脅性的病毒信息進(jìn)行通告，涉及病毒危害、感染原理及防護(hù)措施等。安全預(yù)警一旦出現(xiàn)將也許導(dǎo)致大規(guī)模網(wǎng)絡(luò)襲擊事件的安全漏洞或病毒木馬，進(jìn)行及時(shí)的安全預(yù)警，積極進(jìn)行補(bǔ)丁修復(fù)和安全防護(hù)。信息安全事件將一段時(shí)期內(nèi)，相關(guān)信息安全事件進(jìn)行通告，避免客戶(hù)信息系統(tǒng)遭遇同樣安全襲擊事件，導(dǎo)致嚴(yán)重?fù)p失。安全技術(shù)研究專(zhuān)業(yè)信息安全團(tuán)隊(duì)對(duì)最新安全技術(shù)進(jìn)行進(jìn)一步研究，涉及信息系統(tǒng)漏洞挖掘、風(fēng)險(xiǎn)分析以及安全防護(hù)技術(shù)。1.3.7信息安全管理策略信息安全管理策略是信息系統(tǒng)生命周期的重要環(huán)節(jié)，管理策略制定服務(wù)是根據(jù)應(yīng)用系統(tǒng)面臨的安全威脅分析或評(píng)估結(jié)果，對(duì)客戶(hù)授權(quán)的信息系統(tǒng)進(jìn)行安全策略設(shè)計(jì)、部署，并對(duì)已經(jīng)制定實(shí)行的系統(tǒng)安全管理策略效果進(jìn)行驗(yàn)證、調(diào)整和改善，我們建議系統(tǒng)安全策略涉及到的重要內(nèi)容為：WEB應(yīng)用安全管理制度日記管理與審核制度賬號(hào)口令管理制度防病毒服務(wù)器平常維護(hù)制度補(bǔ)丁加載管理制度風(fēng)險(xiǎn)評(píng)估實(shí)行細(xì)則安全事件應(yīng)急響應(yīng)流程1.3.8管理人員安全培訓(xùn)通過(guò)信息安全培訓(xùn)服務(wù)，加強(qiáng)廣大員工的信息安全意識(shí)，提高客戶(hù)應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的能力，同時(shí)提高系統(tǒng)管理員的安全運(yùn)維水平，為公司發(fā)明一個(gè)良好的信息安全氛圍。我們建議安全培訓(xùn)服務(wù)重要涉及：信息系統(tǒng)安全威脅常見(jiàn)信息系統(tǒng)入侵技術(shù)信息系統(tǒng)防護(hù)體系風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)1.3.9信息系統(tǒng)安全測(cè)評(píng)針對(duì)甲方現(xiàn)有信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，測(cè)評(píng)內(nèi)容涉及：測(cè)評(píng)涉及安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)兩大部分，其中安全技術(shù)測(cè)評(píng)涉及物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等五個(gè)技術(shù)層面，安全管理測(cè)評(píng)涉及安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)安全管理方面的內(nèi)容。1.3.10征詢(xún)服務(wù)乙方還為甲方提供如下一些免費(fèi)的征詢(xún)服務(wù)：安全產(chǎn)品采購(gòu)征詢(xún)服務(wù)最新網(wǎng)絡(luò)安全技術(shù)服務(wù)應(yīng)用系統(tǒng)安全相關(guān)的技術(shù)征詢(xún)服務(wù)1.3.11呼喊中心服務(wù)甲方的維護(hù)范圍內(nèi)的設(shè)備出現(xiàn)問(wèn)題，乙方提供12個(gè)月*7天工作日*24小時(shí)呼喊中心服務(wù)，專(zhuān)人專(zhuān)線接受維修請(qǐng)求，負(fù)責(zé)聯(lián)系相應(yīng)生產(chǎn)商、供應(yīng)商的售后服務(wù)部門(mén)、人員告知、和維護(hù)貫徹工作。工作服務(wù)熱線：1.4安全服務(wù)所涉及的設(shè)備范圍每年的常規(guī)服務(wù)費(fèi)用涉及的設(shè)備范圍在附件的設(shè)備清單。1.7下屬情況不在乙方服務(wù)范圍之列電信線路故障。協(xié)議在任一方由于不可抗力的因素，及該方不能控制的事件發(fā)生如戰(zhàn)爭(zhēng)、暴動(dòng)、罷工、禁運(yùn)、自然力或政府干涉的條件下無(wú)法正常履行協(xié)議，則協(xié)議應(yīng)延期執(zhí)行，延期的時(shí)間應(yīng)與時(shí)間的連續(xù)時(shí)間相等，協(xié)議雙方不必承擔(dān)延誤責(zé)任。1.8其他服務(wù)約定甲方應(yīng)當(dāng)配合乙方真實(shí)地列出需要維護(hù)的設(shè)備清單。在現(xiàn)場(chǎng)維護(hù)時(shí)，甲方應(yīng)及時(shí)向乙方提供一個(gè)有效運(yùn)營(yíng)的系統(tǒng)環(huán)境、必要的系統(tǒng)技術(shù)和相關(guān)信息和數(shù)據(jù)，并保證乙方的網(wǎng)絡(luò)工程師可以接觸到所需維護(hù)的軟硬件。并在維護(hù)工作結(jié)束后，在乙方的維護(hù)記錄單上簽字確認(rèn)本次維護(hù)工作，并提出相應(yīng)的意見(jiàn)。假如甲方對(duì)乙方工程師的服務(wù)不滿(mǎn)意時(shí)，有權(quán)規(guī)定乙方更換工程師。當(dāng)乙方為甲方提供了備件時(shí)，假如甲方設(shè)備的確已經(jīng)損壞無(wú)法修復(fù)時(shí)，甲方需要購(gòu)買(mǎi)新的替代設(shè)備或?qū)浼I(mǎi)下，不能無(wú)端不歸還乙方的備件設(shè)備。乙方員工嚴(yán)格按照相關(guān)的中國(guó)數(shù)據(jù)保護(hù)法律，保證對(duì)在甲方所接觸到的一切公司數(shù)據(jù)，不泄露給其他個(gè)人和公司，更不作為商業(yè)的目的而出售，假如違反則乙方須承擔(dān)相應(yīng)的法律責(zé)任。2.協(xié)議價(jià)格協(xié)議設(shè)備的價(jià)格（以下稱(chēng)為：協(xié)議總價(jià)）為：￥元（大寫(xiě)：元整）。開(kāi)始提供服務(wù)的時(shí)間為，收到甲方協(xié)議款開(kāi)始的2天內(nèi)開(kāi)始。3.協(xié)議有效期本協(xié)議的有效期為從協(xié)議簽訂起的一年時(shí)間，但本協(xié)議僅在乙方收到第一次服務(wù)款后對(duì)乙方具有約束力。協(xié)議到期后，本維護(hù)服務(wù)協(xié)議可根據(jù)當(dāng)時(shí)的情況自動(dòng)延長(zhǎng)一年，協(xié)議雙方中的任何一方也可以提前一個(gè)月書(shū)面告知對(duì)方解除協(xié)議。4.付款條款甲方每年支付給乙方的服務(wù)費(fèi)用為人民幣：元整（元）。付款方式：在本協(xié)議簽訂后一周內(nèi)支付所有協(xié)議金額。5.違約責(zé)任無(wú)論甲乙雙方任何一方違約，都需要對(duì)方支付一定的違約賠款，每次違約賠款的多少由雙方和諧協(xié)商擬定，但是每次違約賠款不應(yīng)當(dāng)超過(guò)本期協(xié)議總金額的0.5%，協(xié)議期內(nèi)的補(bǔ)償總額不超過(guò)協(xié)議總額的5%甲方有責(zé)任更具協(xié)議按期支付服務(wù)費(fèi)用。若甲方未能按期支付服務(wù)費(fèi)用，則應(yīng)向乙方支付協(xié)議金額5%的違約金，一方有權(quán)決定解除協(xié)議，停止對(duì)甲方提供維修服務(wù)。6.技術(shù)支持服務(wù)項(xiàng)目組成員甲方指定為項(xiàng)目負(fù)責(zé)人，來(lái)同乙方共同擬定每次的服務(wù)內(nèi)容、服務(wù)結(jié)果和服務(wù)時(shí)間，并代表甲方與乙方聯(lián)系。乙方定期向該負(fù)責(zé)人報(bào)告網(wǎng)絡(luò)現(xiàn)狀。7.優(yōu)惠措施乙方在舉行各項(xiàng)安全技術(shù)推廣和安全培訓(xùn)活動(dòng)時(shí)，會(huì)優(yōu)先邀請(qǐng)甲方參與。假如是收費(fèi)培訓(xùn)時(shí)，甲方享有最低折扣優(yōu)惠，具體優(yōu)惠折扣根據(jù)培訓(xùn)相關(guān)事宜擬定。充足運(yùn)用一方的培訓(xùn)中心，為甲方提供認(rèn)證的專(zhuān)業(yè)工程師培訓(xùn)和資格考試，同時(shí)定期向甲方提供培訓(xùn)信息。8.服務(wù)保證針對(duì)行業(yè)的特殊性，乙方為甲方提供高優(yōu)先級(jí)服務(wù)（12個(gè)月*7天*24小時(shí)），乙方的工程師在接到甲方的電話后，常規(guī)事件時(shí)間４小時(shí)之內(nèi)，重大事件時(shí)間2小時(shí)之內(nèi)趕到現(xiàn)場(chǎng)，并在最短的時(shí)間內(nèi)對(duì)產(chǎn)生的安全問(wèn)題做出診斷并排除。若乙方派出的工程師未能及時(shí)有效地解決問(wèn)題，則由乙方在當(dāng)天之內(nèi)召集技術(shù)總監(jiān)和專(zhuān)家顧問(wèn)現(xiàn)場(chǎng)解決。9.不可抗力假如雙方中的任何一方由于不可抗力,如:戰(zhàn)爭(zhēng)、火災(zāi)、臺(tái)風(fēng)、洪水、地震或其他雙方共認(rèn)為屬于不可抗力的因素而被迫停止或推遲協(xié)議的執(zhí)行,則協(xié)議執(zhí)行相應(yīng)延遲，延遲的時(shí)間等于不可抗力發(fā)生作用的時(shí)間。受影響的一方應(yīng)將不可抗力的發(fā)生盡快通過(guò)電報(bào)、電傳或傳真告知另一方。受影響的一方應(yīng)在不可抗力終止或被排除后盡快通過(guò)電報(bào)、電傳或傳真告知另一方,并通過(guò)航空掛號(hào)信告知另一方不可抗力已終結(jié)或排除。假如不可抗力連續(xù)作用超過(guò)30天,雙方將通過(guò)和諧協(xié)商解決未來(lái)的協(xié)議執(zhí)行問(wèn)題,假如雙方在連續(xù)60天內(nèi)未能解決疑義,甲方有權(quán)利解除協(xié)議。10.仲裁條款所有與協(xié)議及協(xié)議執(zhí)行有關(guān)的爭(zhēng)議將通過(guò)雙方和諧協(xié)商解決,假如不能通過(guò)和諧協(xié)商解決，則將該爭(zhēng)議提交協(xié)議簽訂所在地的仲裁委員會(huì)仲裁。仲裁裁定是終局的，對(duì)雙方均有約束力。任何一方不得向法院或其他機(jī)構(gòu)申請(qǐng)改變仲裁裁定。仲裁費(fèi)用及相關(guān)損失由敗方承擔(dān)。仲裁進(jìn)行過(guò)程中，雙方將繼續(xù)執(zhí)行協(xié)議，但仲裁部分除外。11.保密條款項(xiàng)目中所涉及的成交價(jià)格、雙方的內(nèi)部資料、數(shù)據(jù)和其他商業(yè)信息，未經(jīng)對(duì)方許可，任何一方不得以任何形式用于協(xié)議之外的目的，不得以任何形式向其他方泄露。任何一方泄露，相關(guān)方有權(quán)追究泄露方的經(jīng)濟(jì)和法律責(zé)任。任何一方違反本保密條款，另一方保存向違約方追究法律責(zé)任及追