2025年渗透测试安全服务评估保密协议.docxVIP

2025年渗透测试安全服务评估保密协议

引言

甲方：[甲方公司全称]

法定地址：[甲方公司地址]

统一社会信用代码：[甲方统一社会信用代码]

乙方：[乙方公司全称]

法定地址：[乙方公司地址]

统一社会信用代码：[乙方统一社会信用代码]

鉴于甲方需要评估其信息系统的安全性，同意由乙方提供渗透测试及安全服务评估（以下简称“服务”），双方根据《中华人民共和国民法典》、《中华人民共和国网络安全法》及相关法律法规，本着平等互利、诚实信用的原则，经友好协商，达成如下保密协议（以下简称“本协议”）：

第一条定义与解释

1.1保密信息指在本协议有效期内，一方（“披露方”）向另一方（“接收方”）披露或接收方在提供服务过程中接触到的，符合本协议第二条规定的，以任何形式存在的，标有“保密”、“机密”或类似字样，或根据其性质应被合理视为保密的所有技术信息、商业信息、运营信息、个人数据以及披露方拥有的知识产权等。具体包括但不限于：

(1)甲方提供的所有与测试目标相关的技术文档、系统架构图、网络拓扑图、数据库结构、应用程序代码及说明、访问凭证（包括但不限于用户名、密码、API密钥）、安全策略、业务流程等；

(2)乙方在服务过程中因提供服务而获取的属于甲方的上述信息以及其他非公开信息；

(3)乙方为提供服务而拥有的专有测试工具、方法、流程、技术秘密、未公开的研究成果、员工培训材料、以及乙方从其他客户处获取但未公开的信息；

(4)双方在协商、执行服务过程中讨论的报价、合作条款、服务细节、评估结果、风险评估报告等未公开的沟通内容；

(5)法律法规要求保护或甲方明确标识为保密的其他信息。

1.2服务期指乙方根据甲方要求提供渗透测试及安全服务评估服务的具体期限，自[起始日期]起至[结束日期]止。

1.3保密期限指接收方对保密信息承担保密义务的期限。自本协议终止之日或最后一次披露保密信息之日起算，保密期限为[例如：十年]。服务期间发现的漏洞信息及其评估结果的保密期限不受本协议终止的影响，应持续履行保密义务。

1.4返还/销毁指服务结束后，乙方应根据甲方要求或本协议约定，将所有包含保密信息的物理载体（包括但不限于硬盘、U盘、纸质文档、存储设备等）返还给甲方，或按照甲方指示安全销毁，并应甲方要求提供书面销毁证明。

1.5第三方指除本协议双方之外的任何个人、单位或组织。

1.6背景信息指在披露之前已经为公众所知的信息，或者接收方在披露前已经合法持有且无保密义务的信息。

1.7本协议中未定义的术语，其含义按照相关法律法规及行业惯例解释。

第二条保密义务

2.1甲方的义务：

(1)甲方可授权[授权代表姓名及职务]作为本协议的联系人。甲方仅将接收方根据本协议约定接触到的保密信息用于评估其信息系统安全性的目的，不得用于任何其他目的。

(2)甲方应对其员工、顾问、代理人等（以下简称“甲方代表”）进行合理指示，确保其仅根据甲方授权的范围接触接收方的保密信息，并承担相应的保密义务，且该义务不因本协议的终止而解除。

(3)未经接收方事先书面同意，甲方不得向任何第三方披露本协议项下的保密信息，但法律法规另有规定或甲方有权披露的除外。

2.2乙方的义务：

(1)乙方可授权[授权代表姓名及职务]作为本协议的联系人。乙方及其甲方代表在服务过程中仅有权在提供服务所必需的范围内接触甲方的保密信息，不得将其用于任何其他目的。

(2)乙方应对其所有员工、顾问、代理人、分包商等（以下简称“乙方代表”）进行合理指示和培训，确保其遵守本协议的保密义务，且该义务不因本协议的终止而解除。

(3)在服务结束后[例如：三十日]内，或根据甲方要求，乙方应立即将所有包含甲方的保密信息及其任何复制件、摘要、衍生作品等返还给甲方，或根据甲方指示进行安全销毁，并应甲方要求提供书面销毁证明。

(4)未经甲方事先书面同意，乙方不得向任何第三方披露本协议项下的保密信息，但法律法规、有权机关强制要求披露或为履行本协议所必需的除外。在法律法规或有权机关强制要求披露的情况下，乙方应尽力提前通知甲方，并在可能范围内寻求甲方的意见，并仅披露被强制要求的必要信息。

第三条例外情况

除本协议第二条所述的保密义务外，接收方因法律、法规、规章或有权机关的要求而披露保密信息，且接收方在披露前已尽合理努力通知披露方该等要求，或接收方在披露前已从第三方合法获得且该第三方无保密义务的，披露方不承担违约责任。但接收方仍应采取不低于保护自身同类保密信息的合理安全措施保护披露方的保密信息。

第四条期间与期限

4.1本协议自双方授权代表签字并加盖公司公章（或合同专用章）之日起生效，有效