[外包安全协议书]外包安全责任书协议.docxVIP

[外包安全协议书]外包安全责任书协议

甲方（发包方）：________（注：填写公司全称，无敏感信息）

注册地址：________（注：填写公司注册地址，无具体门牌号等敏感信息）

法定代表人：________（注：填写姓名）

乙方（承包方）：________（注：填写公司全称，无敏感信息）

注册地址：________（注：填写公司注册地址，无具体门牌号等敏感信息）

法定代表人：________（注：填写姓名）

鉴于甲方拟将________（注：填写具体外包服务内容，如“信息系统开发”“数据处理”“设备维护”等）外包给乙方实施，为明确双方在服务过程中的安全责任，防范安全风险，保障甲方信息资产、业务运营及第三方权益安全，根据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《个人信息保护法》等相关法律法规，经双方平等协商，达成如下协议：

一、定义

本协议中下列术语具有如下含义：

1.外包服务：指乙方按照甲方要求，为完成________（注：填写具体服务内容）所提供的全部活动，包括但不限于方案设计、实施、测试、维护及相关支持。

2.信息资产：指甲方所有或管理的，以电子、纸质或其他形式存在的信息资源，包括但不限于业务数据、客户信息、技术文档、商业秘密、知识产权成果等。

3.安全事件：指因乙方行为或管理疏漏导致的，对甲方信息资产、业务系统、物理环境或第三方权益造成或可能造成损害的事件，包括但不限于数据泄露、系统瘫痪、设备损坏、违规操作、第三方投诉等。

4.敏感数据：指涉及个人隐私、商业秘密、国家秘密或法律规定需特殊保护的数据，包括但不限于客户姓名、身份证号、联系方式、交易记录、技术专利、未公开财务数据等。

二、安全责任总则

1.双方遵循“安全第一、预防为主、责任明确、协同管控”的原则，共同保障外包服务全周期安全。

2.甲方作为外包服务的需求方和最终责任主体，有权对乙方安全管理进行监督；乙方作为服务实施方，对服务过程中的安全风险承担直接责任。

3.本协议未明确约定的安全责任，按照相关法律法规及行业惯例执行；法律法规无明确规定的，由双方协商解决。

三、甲方安全责任

1.基础信息与资源提供：

（1）甲方应在服务启动前，向乙方提供与外包服务相关的必要信息（如业务流程、系统架构、安全基线要求等），但不包括超出服务范围的敏感信息。

（2）甲方应为乙方提供服务所需的物理环境（如办公场所、设备接口）及系统访问权限（如账号、网络权限），并明确权限的使用范围和期限；乙方需配合甲方完成权限申请及审批流程。

2.安全要求制定与告知：

（1）甲方应在服务合同中明确安全目标（如数据泄露率≤0.01%、系统可用时间≥99.9%）、安全标准（如符合ISO27001信息安全管理体系、GDPR个人信息保护要求）及违规后果。

（2）甲方应向乙方书面告知与服务相关的法律法规、行业规范及甲方内部安全制度（如《信息安全管理办法》《数据分类分级规则》），并提供必要的培训或解读。

3.安全监督与检查：

（1）甲方有权定期或不定期对乙方的安全管理情况进行检查，包括但不限于查阅安全日志、核查人员资质、测试系统防护措施；乙方应配合提供相关资料，不得拒绝或隐瞒。

（2）甲方发现乙方存在安全隐患时，有权要求乙方限期整改（整改期限由甲方根据风险等级确定，一般不超过15个工作日）；乙方未按时完成整改的，甲方可暂停支付服务费用直至隐患消除。

4.应急响应支持：

（1）当安全事件涉及甲方核心系统或重大敏感数据时，甲方可启动自身应急响应机制，协调乙方共同处置；乙方应服从甲方的统一调度，提供技术支持（如数据溯源、漏洞修复）。

（2）甲方为乙方提供的应急联络方式（如安全负责人姓名、邮箱）应保持有效；如发生变更，甲方应在24小时内书面通知乙方。

四、乙方安全责任

（一）基础合规义务

1.乙方应严格遵守《网络安全法》《数据安全法》《个人信息保护法》等法律法规，以及甲方告知的行业规范和内部制度，确保服务过程合法合规。

2.乙方应建立与服务规模、风险等级相匹配的安全管理体系，包括但不限于安全管理制度（如《外包服务安全操作手册》）、组织架构（如安全负责人、专职安全员）、技术措施（如加密、访问控制）。

（二）人员安全管理

1.人员资质与审查：

（1）乙方参与服务的人员（以下简称“服务人员”）应具备与岗位相匹配的专业能力（如取得CISP、PMP等认证），并通过乙方的背景审查（包括无犯罪记录、无重大安全违规记录）；审查结果需留存备查，保存期不少于服务结束后3