办公系统防入侵技术服务合同.docVIP

办公系统防入侵技术服务合同

甲方（委托方）：________________________

地址：________________________

法定代表人/授权代表：________________________

乙方（服务方）：________________________

地址：________________________

资质证明：具备《网络安全等级保护测评机构资质》《信息安全服务资质》等相关合法资质（可提供复印件作为附件）

法定代表人/授权代表：________________________

甲乙双方就甲方办公系统防入侵技术服务事宜，经平等协商，达成如下协议：

一、服务内容与范围

1.系统范围：甲方内部使用的OA系统、财务核算系统、邮件系统、客户管理系统（CRM）等核心办公系统（以下简称“目标系统”）。

2.具体服务：

（1）安全评估：

-首次服务：全面漏洞扫描（含Web应用、数据库、服务器）、渗透测试（模拟黑客攻击，覆盖已知漏洞、配置缺陷）；

-常规服务：每季度1次全维度评估，每月1次重点模块抽查；

-交付物：评估报告（含漏洞等级、修复建议、风险影响分析），3个工作日内提交。

（2）入侵检测/防御运维：

-部署/优化目标系统边界的IDS（入侵检测系统）、IPS（入侵防御系统）；

-7×24小时实时监控（乙方远程值守+甲方本地辅助），异常行为（如暴力破解、SQL注入、恶意文件上传）15分钟内触发告警；

-每月调整告警阈值（结合甲方业务变化），确保误报率≤5%。

（3）应急响应：

-响应流程：甲方通知→乙方1小时内远程接入/现场抵达（市区内）→4小时内定位入侵源→24小时内出具《应急处置报告》→72小时内完成系统修复（含数据备份恢复、漏洞封堵）；

-特殊情况：若入侵导致数据泄露，乙方需协助甲方履行《网络安全法》规定的通报义务（24小时内报当地网信部门）。

（4）安全加固：

-依据评估报告，对目标系统进行漏洞修复（如更新补丁、配置防火墙规则、优化密码策略）；

-加固后需通过乙方复评（漏洞等级“高危”“中危”全部消除，“低危”≤2项/系统）；

-交付物：加固记录单（甲方签字确认），5个工作日内提交。

（5）安全培训：

-每年至少2次：针对甲方IT人员的“入侵应急处置”培训，针对全体员工的“钓鱼邮件识别”“密码安全”培训；

-培训时长：每次不少于2小时，含案例分析与实操模拟。

（6）日志审计：

-收集目标系统的操作日志、安全日志，存储期限≥6个月；

-每月1次日志审计，生成《日志分析报告》（含异常操作记录、风险预警）。

二、服务期限

自______年______月______日起至______年______月______日止，共______个月。

期满前30日，双方可协商续约，未续约则本合同自动终止。

三、双方权利义务

（一）甲方权利义务

1.义务：

（1）提供目标系统的合法访问权限（书面授权，明确权限范围：仅用于本合同约定的评估、加固、运维）；

（2）配合乙方工作：提供系统架构图、业务流程文档，安排对接人（24小时内响应乙方需求）；

（3）按约定支付服务费用；

（4）发生入侵事件时，立即停止可疑操作并通知乙方，不得擅自删除日志或篡改系统数据；

（5）落实乙方提出的非技术安全建议（如员工密码定期更换）。

2.权利：

（1）监督乙方服务进度与质量，对不合格服务要求整改（乙方需在5个工作日内完成）；

（2）查阅乙方提交的所有服务报告与记录；

（3）对乙方超出授权范围的操作有权立即制止。

（二）乙方权利义务

1.义务：

（1）保证服务人员具备CISP（注册信息安全专业人员）等专业资质，不得转包/分包服务；

（2）严格按照本合同约定执行服务，不得泄露甲方目标系统数据、业务信息；

（3）应急响应超时的，需向甲方说明原因并采取补救措施；

（4）服务期间，若发现甲方系统存在未告知的新漏洞，需24小时内通报甲方并制定修复方案；

（5）合同终止后，需将所有甲方数据、文档返还，不得留存副本。

2.权利：

（1）收取约定服务费用；

（2）要求甲方提供必要的配合（如系统downtime时间窗口）；

（3）对甲方不合理的服务要求（如超出合同范围的额外渗透测试）有权拒绝，但需书面说明理由。

四、费用与支付

1.总费用：人民币______元（大写：______圆整），包含所有服务内容（不含目标系统硬件采购、第三方软件授权费）。

2.支付方式：

（1）合同签订后5日内，支付总费用的40%：______元；

（2）每季度末，支付当季度费用（总费用÷12×3）：______元，共支付4次；

（3）乙方需在收到款项后5日内，提供合法有效的增值税专用发票（税率6%）。

3.额外费用：若甲方要求超出本合同约定的服务（如针对特定模块的专项渗透测试），需另