网络安全风险评估合同.docxVIP

网络安全风险评估合同

甲方（委托方）：[委托方全称]

法定代表人：[法定代表人姓名]

地址：[委托方地址]

联系人：[联系人姓名]

联系方式：[联系人电话]

乙方（风险评估方）：[风险评估方全称]

法定代表人：[法定代表人姓名]

地址：[风险评估方地址]

联系人：[联系人姓名]

联系方式：[联系人电话]

鉴于甲方拥有信息系统/网络，为保障信息安全，提升安全防护能力，委托乙方开展网络安全风险评估工作；乙方具备开展网络安全风险评估的专业能力和资质。双方根据《中华人民共和国合同法》及相关法律法规的规定，经友好协商，达成如下协议：

第一条服务范围和内容

1.1评估对象：甲方位于[具体地址]的[具体系统名称或网络名称]。

1.2评估范围：本次评估涵盖[具体范围描述，例如：网络边界、服务器系统、应用系统、数据存储、终端设备、业务流程等]，地理范围限于甲方指定地点。

1.3评估内容：

(1)资产识别与价值评估：识别评估范围内的信息资产，并对其重要性和价值进行评估。

(2)威胁识别：识别可能对资产造成威胁的来源和事件，包括外部威胁和内部威胁。

(3)脆弱性识别：通过访谈、配置核查、技术扫描等方式，识别资产存在的安全漏洞和配置弱点。

(4)现有安全控制措施评估：评估甲方已部署的安全控制措施的有效性及其对风险的缓解程度。

(5)风险分析和评估：采用[具体风险评估方法名称，例如：NISTSP800-30]方法，分析已知威胁利用已知脆弱性攻击资产的可能性和潜在影响，评估风险等级。

(6)风险评估结果和建议：根据评估结果，提出针对不同风险等级的整改建议和改进措施。

1.4评估方法：本次评估采用[具体风险评估方法名称，例如：NISTSP800-30]方法进行。

1.5评估流程：

(1)信息收集：甲方提供与评估对象相关的文档、配置信息等，乙方进行初步信息收集。

(2)现场勘查：乙方工作人员赴甲方指定地点进行现场访谈、配置核查、设备测试等工作。

(3)测试验证：根据需要，乙方进行安全漏洞扫描、渗透测试等验证性测试。

(4)数据分析：乙方对收集到的信息、测试结果进行综合分析。

(5)报告撰写：乙方根据分析结果，撰写网络安全风险评估报告。

(6)报告交付：乙方将评估报告交付给甲方。

第二条双方的权利和义务

2.1甲方的权利和义务：

(1)甲方的权利：有权要求乙方按照本合同约定提供服务；有权获取乙方提交的评估报告和其他相关资料；有权对评估过程进行监督；有权要求乙方对涉及商业秘密的信息保密。

(2)甲方的义务：应向乙方提供真实、完整、准确的信息和资料，包括但不限于网络拓扑图、系统架构图、安全策略、配置文档、访问控制列表等；应配合乙方进行现场勘查和测试验证工作，提供必要的条件和支持；应按照本合同约定按时支付服务费用；应承担评估过程中涉及的商业秘密的保密义务。

2.2乙方的权利和义务：

(1)乙方的权利：有权按照本合同约定收取服务费用；有权要求甲方提供必要的信息和资料；有权对评估过程进行独立、客观、公正的评估。

(2)乙方的义务：应按照本合同约定的服务范围和内容，采用专业的评估方法和技术手段，客观、公正地开展风险评估工作；应按时提交符合要求的评估报告；应确保评估结果的质量；应承担评估过程中获取的甲方信息的保密义务。

第三条费用和支付方式

3.1服务费用：本次网络安全风险评估服务的总费用为人民币[金额]元（大写：[金额大写]）。

3.2支付方式：双方采用银行转账方式支付服务费用。

3.3付款节点：

(1)合同签订后[天数]日内，甲方向乙方支付总费用的[百分比]%，即人民币[金额]元（大写：[金额大写]）作为预付款。

(2)乙方完成现场勘查和主要测试工作后[天数]日内，甲方向乙方支付总费用的[百分比]%，即人民币[金额]元（大写：[金额大写]）作为中期款。

(3)乙方提交最终评估报告后[天数]日内，甲方向乙方支付剩余的[百分比]%，即人民币[金额]元（大写：[金额大写]）作为尾款。

第四条评估报告

4.1报告内容：乙方提交的评估报告应包含资产识别、威胁分析、脆弱性分析、现有控制措施评估、风险评估结果（包括风险矩阵、风险等级划分、风险描述）、以及针对不同风险等级的整改建议和改进措施等内容。

4.2报告形式：评估报告以电子版形式提交，同时提供一份纸质版。

4.3报告提交时间：乙方应在本合同约定的评估流程完成后[天数]日内，将评估报告提交给甲方。

第五条保密条款

5.1保密信息：本合同所称保密信息是指双方在履行本合同过程中接触到的、未公开的、对另一