企业信息安全及风险评估服务协议.docVIP

企业信息安全及风险评估服务协议

第一章定义与解释

1.1定义

1.1.1“企业信息安全”指企业内部信息系统的安全防护措施，包括但不限于物理安全、网络安全、数据安全、应用安全等。

1.1.2“风险评估”指对企业信息系统进行的安全威胁、安全事件的可能性和影响进行评估。

1.1.3“服务协议”指本协议所约定的企业信息安全及风险评估服务内容和双方的权利义务。

1.1.4“乙方”指提供企业信息安全及风险评估服务的服务商。

1.1.5“甲方”指委托乙方提供企业信息安全及风险评估服务的企业。

1.2解释

1.2.1本协议中的术语和表达，除非上下文另有说明，否则具有以下含义：

1.2.1.1“服务期限”指本协议约定的乙方提供服务的起始日期至终止日期。

1.2.1.2“保密信息”指任何一方在履行本协议过程中知悉的对方商业秘密、技术秘密或其他非公开信息。

1.2.1.3“变更通知”指一方根据本协议约定，向另一方发出的关于服务内容、费用、期限等变更的通知。

第二章服务内容

2.1乙方服务范围

2.1.1乙方根据甲方需求，提供企业信息安全及风险评估服务，包括但不限于以下内容：

2.1.1.1信息系统安全评估；

2.1.1.2安全漏洞扫描；

2.1.1.3安全事件响应；

2.1.1.4安全意识培训；

2.1.1.5安全管理体系建设；

2.1.1.6安全产品及服务推荐。

2.2服务交付

2.2.1乙方应在服务期限内，按照约定的方式、质量标准，完成服务内容。

2.2.2乙方应保证服务交付及时、准确，并符合甲方要求。

第三章服务期限和费用

3.1服务期限

3.1.1本协议的服务期限为____年，自____年____月____日起至____年____月____日止。

3.2费用

3.2.1本协议的服务费用为人民币____元整。

3.2.2费用支付方式：甲方应在本协议签订后____日内，向乙方支付首期费用人民币____元整。

3.2.3乙方在服务期间如需调整服务内容或费用，应提前____个工作日通知甲方，并经甲方书面同意后方可执行。

第四章保密条款

4.1保密信息

4.1.1双方在本协议履行过程中知悉的对方保密信息，包括但不限于技术秘密、商业计划、客户信息等。

4.2保密义务

4.2.1双方对本协议项下的保密信息负有保密义务，未经对方同意，不得向任何第三方泄露或披露。

4.2.2双方对本协议项下的保密信息负有保护义务，采取合理措施防止保密信息被泄露或未经授权的披露。

第五章服务质量和验收

5.1服务质量

5.1.1乙方提供的服务应满足国家相关安全标准和甲方的要求。

5.1.2乙方应保证提供的服务具有以下特点：

5.1.2.1高效性；

5.1.2.2可靠性；

5.1.2.3完整性；

5.1.2.4可维护性。

5.2验收

5.2.1甲方有权对乙方提供的服务进行验收。

5.2.2乙方应在服务完成后，向甲方提供验收所需的必要文件和资料。

5.2.3甲方应在收到乙方提供的验收资料后____个工作日内完成验收，并出具验收报告。

5.2.4如甲方对验收报告不满意，有权要求乙方在____个工作日内进行整改，直至甲方满意为止。

第六章信息安全评估与建议

6.1评估方法

6.1.1乙方将采用以下方法进行信息安全评估：

6.1.1.1内部文档审查；

6.1.1.2系统和网络扫描；

6.1.1.3符合性测试；

6.1.1.4安全审计；

6.1.1.5漏洞分析。

6.2评估报告

6.2.1乙方将在评估完成后，向甲方提交详细的安全评估报告，内容包括但不限于：

6.2.1.1评估目的和范围；

6.2.1.2评估方法；

6.2.1.3安全风险概述；

6.2.1.4风险等级和影响；

6.2.1.5安全控制措施；

6.2.1.6建议的改进措施。

6.3评估结果应用

6.3.1甲方应根据评估报告，制定或更新信息安全策略和措施。

6.3.2乙方应协助甲方实施评估报告中提出的安全改进措施。

第七章安全漏洞扫描与修复

7.1扫描频率

7.1.1乙方将按照以下频率对甲方信息系统进行安全漏洞扫描：

7.1.1.1定期扫描：每月至少一次；

7.1.1.2紧急扫描：在发觉重大安全事件或系统变更后立即进行。

7.2漏洞修复

7.2.1乙方在发觉安全漏洞后，将向甲方提供修复建议，包括但不限于：

7.2.1.1修复方法；

7.2.1.2修复优先级；

7.2.1.3修复时间表。

7.3漏洞修复跟踪

7.3.1甲方应在收到乙方提供的修复建议后，按照约定的时间表进行漏洞修复。

7.3.2乙方将跟踪漏洞修复进度，保证漏洞得到有效解决。

第八章安全事件响应