信息安全維護(hù)服務(wù)協(xié)議安全運(yùn)維協(xié)議

1、信息系統(tǒng)安全年度服務(wù)協(xié)議 合冋編肓. 甲 方: 地 址: 聯(lián)系 人: 電 話: 傳 真: 郵政編碼： 乙 方: 地 址: 聯(lián)系 人: 電 話: 傳 真: 郵政編碼: 1. 協(xié)議內(nèi)容 3 1.1 前期系統(tǒng)評估 . 3 1.2 整理工作 . 4 1.3 服務(wù)內(nèi)容 . 4 1.3.1 信息安全風(fēng)險評估 4 1.3.2 信息系統(tǒng)安全加固 4 1.3.3 信息系統(tǒng)實(shí)時監(jiān)測 4 1.3.4 安全事件應(yīng)急響應(yīng) 5 1.3.5 等級保護(hù)安全建設(shè)整改 5 1.3.6 信息系統(tǒng)安全通告 6 1.3.7 信息安全管理策略 6 1.3.8 管理人員安全培訓(xùn) 7 1.3.9 信息系統(tǒng)安全測評 7 1.3.10 咨詢服務(wù)

2、 7 1.3.11 呼叫中心服務(wù) 7 1.4 安全服務(wù)所包括的設(shè)備范圍 . 8 1.7 下屬情況不在乙方服務(wù)范圍之列 . 8 1.8 其他服務(wù)約定 . 8 2. 合同價格 8 3. 合同有效期 9 4. 付款條款 9 5. 違約責(zé)任 9 6. 技術(shù)支持服務(wù)項(xiàng)目組成員 9 7. 優(yōu)惠措施 10 8. 服務(wù)保證 10 9. 不可抗力 10 10. 仲裁條款 10 11. 保密條款 11 12. 合同變更、補(bǔ)充及終止 11 13, 合同效力 11 甲方向乙方購買信息系統(tǒng)安全服務(wù)。 甲乙雙方本著相互信任、 真誠合作、 共同發(fā)展的原 則，在友好協(xié)商的基礎(chǔ)上達(dá)成如下協(xié)議。 1. 協(xié)議內(nèi)容 我們?yōu)槟峁┑膶?/p>

3、業(yè)安全服務(wù)包括： 1. 是否對網(wǎng)絡(luò)基礎(chǔ)平臺熟悉：熟悉。 2. 是否提供 24 小時技術(shù)支持：提供。 3. 是否提供365 X 7 X 24熱線支持：提供。 4. 是否提供工程師到廠安全巡檢：提供每月一次的網(wǎng)絡(luò)安全巡檢，并提交巡檢報告。 5. 是否提供服務(wù)器及網(wǎng)絡(luò)設(shè)置安全策略優(yōu)化服務(wù)：提供。 6. 是否提供 24 小時熱線支持電話：提供。 7. 重大事件響應(yīng)時間： 12 個小時內(nèi)到達(dá)甲方現(xiàn)場。 8. 是否對現(xiàn)有信息安全進(jìn)行風(fēng)險評估：在甲方許可的情況下可提供風(fēng)險評估，或每季 度進(jìn)行一次風(fēng)險評估。 9. 是否對信息系統(tǒng)安全加固：可按照等級相關(guān)要求、標(biāo)準(zhǔn)進(jìn)行安全加固 10. 是否對互聯(lián)網(wǎng)網(wǎng)站實(shí)時監(jiān)測：

4、提供實(shí)時監(jiān)測服務(wù)。 11. 當(dāng)發(fā)生安全事件后是否提供應(yīng)急響應(yīng)：提供 12. 是否提供等級保護(hù)測評服務(wù)：由專業(yè)測評師提供每年不少于一次的測評服務(wù)。 13. 是否提供等級保護(hù)安全建設(shè)整改：針對甲方現(xiàn)狀提供整改意見。 14. 是否第一時間提供重大信息系統(tǒng)安全通告： 以郵件、 短信、微信、傳真等方式提供。 15. 是否提供信息安全管理策略 ：提供 16. 是否提供管理人員安全培訓(xùn)：提供 個工作 1.1 前期系統(tǒng)評估 在簽訂合同并且生效后，乙方需按甲方的要求在協(xié)商好的時間之內(nèi)（一般在 日內(nèi)），對甲方的計算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)備的安全狀況、運(yùn)行狀況進(jìn)行全面檢查，做出詳細(xì)的報 告，記錄所有設(shè)備清單中關(guān)鍵設(shè)備的當(dāng)前安

5、全狀況， 并且結(jié)合甲方網(wǎng)絡(luò)的實(shí)際運(yùn)行情況對于 可以進(jìn)行安全優(yōu)化的內(nèi)容與甲方協(xié)商，確定安全的方案，在與甲方和乙方進(jìn)行充分論證后， 由甲方?jīng)Q定是否實(shí)施。 1.2 整理工作 在甲方確認(rèn)乙方的安全建議后， 雙方協(xié)商好實(shí)施的時間， 由乙方完成優(yōu)化工作， 并記錄 配置情況和運(yùn)行情況。 1.3 服務(wù)內(nèi)容 1.3.1 信息安全風(fēng)險評估 信息安全風(fēng)險評估是從風(fēng)險管理的角度， 運(yùn)用科學(xué)的方法和手段， 結(jié)合信息安全全面檢 測網(wǎng)絡(luò)和信息系統(tǒng)存在的脆弱性， 系統(tǒng)分析和評估安全防護(hù)水平， 從而有針對性地提出抵御 威脅的防護(hù)對策和整改措施， 將風(fēng)險控制在可接受的水平， 最大限度的保障網(wǎng)絡(luò)和信息安全。 我公司提供的風(fēng)險評估內(nèi)

6、容包括： 物理環(huán)境安全檢查及建議、 網(wǎng)絡(luò)設(shè)備風(fēng)險評估、 操作 系統(tǒng)風(fēng)險評估、應(yīng)用系統(tǒng)風(fēng)險評估、數(shù)據(jù)庫風(fēng)險評估、計算機(jī)終端風(fēng)險評估等。 評估的主要手段包括：安全點(diǎn)檢查、漏洞掃描、滲透測試、配置檢查等多種方式。 1.3.2 信息系統(tǒng)安全加固 安全加固是指通過一定的技術(shù)手段，提高操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安 全設(shè)備等的安全性和抗攻擊能力， 經(jīng)過良好配置的系統(tǒng)或設(shè)備的抗攻擊性有極大的增強(qiáng)。 在 對系統(tǒng)作相應(yīng)的安全配置后， 結(jié)合定期的安全評估和維護(hù)服務(wù)就使得系統(tǒng)保持在一個較高的 安全線之上。 1.3.3 信息系統(tǒng)實(shí)時監(jiān)測 信息系統(tǒng)實(shí)時監(jiān)測服務(wù)全面覆蓋網(wǎng)站代碼安全檢測、 網(wǎng)頁內(nèi)容安全監(jiān)測、 網(wǎng)

7、站服務(wù)質(zhì)量 監(jiān)測， 為網(wǎng)站提供全方位、全天候的安全監(jiān)測服務(wù)；通過主動發(fā)現(xiàn)網(wǎng)站漏洞、實(shí)時監(jiān)測網(wǎng)頁 內(nèi)容、及時發(fā)現(xiàn)網(wǎng)站服務(wù)可用性問題三大維度保障網(wǎng)站持續(xù)穩(wěn)定提供服務(wù)， 主要提供以下服 務(wù)： 網(wǎng)站漏洞檢測 網(wǎng)頁木馬檢測 網(wǎng)頁惡意鏈接檢測 網(wǎng)頁敏感內(nèi)容監(jiān)測 網(wǎng)頁篡改監(jiān)測 網(wǎng)頁壞鏈檢測 網(wǎng)站 DNS 監(jiān)測 網(wǎng)站可用性監(jiān)測 1.3.4 安全事件應(yīng)急響應(yīng) 針對用戶信息系統(tǒng)可能發(fā)生的信息安全事件，通過引入專業(yè)的安全事件應(yīng)急相應(yīng)服務(wù)： 在接到用戶應(yīng)急響應(yīng)服務(wù)請求后， 由專業(yè)安全公司的安全專家提供遠(yuǎn)程安全支持和現(xiàn)場安全 支持，判斷事件類型，協(xié)助客戶降低影響，并提供分析建議。對攻擊進(jìn)行抑制，降低損失。 應(yīng)急響應(yīng)服務(wù)

8、完成后服務(wù)人員會整理詳細(xì)的事故處理報告， 內(nèi)容包括事故原因分析、 已 造成的影響、處理辦法、處理結(jié)果、預(yù)防和改進(jìn)建議等提交給用戶相關(guān)人員。 1.3.5 等級保護(hù)安全建設(shè)整改 按照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范的要求， 對現(xiàn)有信息系統(tǒng)開展信息安全等級保護(hù)安全建設(shè) 整改工作。 通過落實(shí)安全責(zé)任制，開展管理制度建設(shè)、技術(shù)措施建設(shè)， 落實(shí)等級保護(hù)制度的 各項(xiàng)要求， 使現(xiàn)有信息系統(tǒng)安全管理水平明顯提高， 安全保護(hù)能力明顯增強(qiáng)， 安全隱患和安 全事故明顯減少。 并堅持管理和技術(shù)并重的原則， 將技術(shù)措施和管理措施有機(jī)結(jié)合， 建立信 息系統(tǒng)綜合防護(hù)體系， 提高信息系統(tǒng)整體安全保護(hù)能力。 同時依據(jù) 信息系統(tǒng)安全等級保護(hù)

9、 基本要求 建立并落實(shí)各類安全管理制度， 開展人員安全管理、 系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管 理等工作， 落實(shí)物理安全、 網(wǎng)絡(luò)安全、 主機(jī)安全、 應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施。 1.3.6 信息系統(tǒng)安全通告 信息安全是動態(tài)發(fā)展的。 面對日益演變的安全攻擊手段和系統(tǒng)安全漏洞的不斷發(fā)現(xiàn)和利 用，信息系統(tǒng)所面臨的風(fēng)險也在不斷變化?；诖?，建議客戶實(shí)時關(guān)注安全動態(tài)， 了解最新 的安全技術(shù)和安全理念。我們建議安全公告服務(wù)主要包括： 系統(tǒng)漏洞信息 將一段時期內(nèi)， 各操作系統(tǒng)、應(yīng)用系統(tǒng)、 網(wǎng)絡(luò)設(shè)備等的最新安全漏洞進(jìn)行通告，包括漏 洞威脅、影響平臺及修補(bǔ)方法等。 病毒信息 將一段時期內(nèi)， 最具威脅性的病毒信

10、息進(jìn)行通告， 包括病毒危害、 感染原理及防護(hù)措施 等。 安全預(yù)警 一旦出現(xiàn)將可能造成大規(guī)模網(wǎng)絡(luò)攻擊事件的安全漏洞或病毒木馬，進(jìn)行及時的安全預(yù) 警，積極進(jìn)行補(bǔ)丁修復(fù)和安全防護(hù)。 信息安全事件 將一段時期內(nèi)， 相關(guān)信息安全事件進(jìn)行通告， 避免客戶信息系統(tǒng)遭遇同樣安全攻擊事件， 造成嚴(yán)重?fù)p失。 安全技術(shù)研究 專業(yè)信息安全團(tuán)隊(duì)對最新安全技術(shù)進(jìn)行深入研究， 包括信息系統(tǒng)漏洞挖掘、 風(fēng)險分析以 及安全防護(hù)技術(shù)。 1.3.7 信息安全管理策略 信息安全管理策略是信息系統(tǒng)生命周期的重要環(huán)節(jié)， 管理策略制定服務(wù)是根據(jù)應(yīng)用系統(tǒng) 面臨的安全威脅分析或評估結(jié)果， 對客戶授權(quán)的信息系統(tǒng)進(jìn)行安全策略設(shè)計、 部署， 并對已

11、 經(jīng)制定實(shí)施的系統(tǒng)安全管理策略效果進(jìn)行驗(yàn)證、 調(diào)整和改進(jìn)， 我們建議系統(tǒng)安全策略涉及到 的主要內(nèi)容為： WEB 應(yīng)用安全管理制度 日志管理與審核制度 賬號口令管理制度 防病毒服務(wù)器日常維護(hù)制度 補(bǔ)丁加載管理制度 風(fēng)險評估實(shí)施細(xì)則 安全事件應(yīng)急響應(yīng)流程 1.3.8 管理人員安全培訓(xùn) 通過信息安全培訓(xùn)服務(wù)，加強(qiáng)廣大員工的信息安全意識，提高客戶應(yīng)對信息安全風(fēng)險 的能力， 同時提高系統(tǒng)管理員的安全運(yùn)維水平， 為企業(yè)創(chuàng)造一個良好的信息安全氛圍。 建議安全培訓(xùn)服務(wù)主要包括： 信息系統(tǒng)安全威脅 常見信息系統(tǒng)入侵技術(shù) 信息系統(tǒng)防護(hù)體系 風(fēng)險評估與等級保護(hù) 1.3.9 信息系統(tǒng)安全測評 針對甲方現(xiàn)有信息系統(tǒng)進(jìn)行

12、等級測評，測評內(nèi)容包括：測評包括安全技術(shù)測評和安全 管理測評兩大部分，其中安全技術(shù)測評包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù) 據(jù)安全及備份恢復(fù)等五個技術(shù)層面， 安全管理測評包括安全管理制度、 安全管理機(jī)構(gòu)、 安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個安全管理方面的內(nèi)容。 1.3.10 咨詢服務(wù) 乙方還為甲方提供如下一些免費(fèi)的咨詢服務(wù)： 1. 安全產(chǎn)品采購咨詢服務(wù) 2. 最新網(wǎng)絡(luò)安全技術(shù)服務(wù) 3. 應(yīng)用系統(tǒng)安全相關(guān)的技術(shù)咨詢服務(wù) 我們 人員 甲方的維護(hù)范圍內(nèi)的設(shè)備出現(xiàn)問題，乙方提供 12 個月 *7 天工作日 *24 小時呼叫中心服 1.3.11 呼叫中心服務(wù) 務(wù)，專人專線接受維修請求，

13、負(fù)責(zé)聯(lián)系相應(yīng)生產(chǎn)商、供應(yīng)商的售后服務(wù)部門、人員通知、和 維護(hù)落實(shí)工作。 工作服務(wù)熱線： 1.4 安全服務(wù)所包括的設(shè)備范圍 每年的常規(guī)服務(wù)費(fèi)用包括的設(shè)備范圍在附件的設(shè)備清單。 1.7 下屬情況不在乙方服務(wù)范圍之列 1. 電信線路故障。 2. 合同在任一方由于不可抗力的原因，及該方不能控制的事件發(fā)生如戰(zhàn)爭、暴亂、罷工、 禁運(yùn)、 自然力或政府干涉的條件下無法正常履行合同，則合同應(yīng)延期執(zhí)行， 延期的時間 應(yīng)與時間的持續(xù)時間相等，合同雙方不必承擔(dān)延誤責(zé)任。 1.8 其他服務(wù)約定 1. 甲方應(yīng)該配合乙方真實(shí)地列出需要維護(hù)的設(shè)備清單。 2. 在現(xiàn)場維護(hù)時， 甲方應(yīng)及時向乙方提供一個有效運(yùn)行的系統(tǒng)環(huán)境、 必要

14、的系統(tǒng)技術(shù)和相 關(guān)信息和數(shù)據(jù)， 并保證乙方的網(wǎng)絡(luò)工程師能夠接觸到所需維護(hù)的軟硬件。 并在維護(hù)工作 結(jié)束后，在乙方的維護(hù)記錄單上簽字確認(rèn)本次維護(hù)工作，并提出相應(yīng)的意見。 3. 如果甲方對乙方工程師的服務(wù)不滿意時，有權(quán)要求乙方更換工程師。 4. 當(dāng)乙方為甲方提供了備件時， 如果甲方設(shè)備確實(shí)已經(jīng)損壞無法修復(fù)時， 甲方需要購買新 的替代設(shè)備或?qū)浼I下，不能無故不歸還乙方的備件設(shè)備。 5. 乙方員工嚴(yán)格按照相關(guān)的中國數(shù)據(jù)保護(hù)法律，保證對在甲方所接觸到的一切企業(yè)數(shù)據(jù)， 不泄露給其他個人和公司， 更不作為商業(yè)的目的而出售， 如果違反則乙方須承擔(dān)相應(yīng)的 法律責(zé)任。 2. 合同價格 1.合同設(shè)備的價格（以下稱

15、為：合同總價）為： 元（大寫： 元整）。 2.開始提供服務(wù)的時間為，收到甲方合同款開始的 2天內(nèi)開始。 3. 合同有效期 1. 本合同的有效期為從合同簽訂起的一年時間，但本合同僅在乙方收到第一次服務(wù)款后對 乙方具有約束力。 合同雙方中的任何一方 2. 合同到期后，本維護(hù)服務(wù)合同可根據(jù)當(dāng)時的情況自動延長一年, 也可以提前一個月書面通知對方解除合同。 4. 付款條款 1. 甲方每年支付給乙方的服務(wù)費(fèi)用為人民幣：元整（元）。 2. 付款方式：在本合同簽訂后一周內(nèi)支付全部合同金額。 5. 違約責(zé)任 1. 無論甲乙雙方任何一方違約， 都需要對方支付一定的違約賠款，每次違約賠款的多少由 雙方友好協(xié)商確定，

16、但是每次違約賠款不應(yīng)該超過本期合同總金額的0.5%，合同期內(nèi) 的賠償總額不超過合同總額的5% 2. 甲方有責(zé)任更具合同按期支付服務(wù)費(fèi)用。若甲方未能按期支付服務(wù)費(fèi)用，則應(yīng)向乙方支 付合同金額5%的違約金，一方有權(quán)決定解除合同，停止對甲方提供維修服務(wù)。 6. 技術(shù)支持服務(wù)項(xiàng)目組成員 甲方指定 為項(xiàng)目負(fù)責(zé)人，來同乙方共同確定每次的服務(wù)內(nèi)容、服務(wù)結(jié)果和服務(wù)時 間，并代表甲方與乙方聯(lián)系。乙方定期向該負(fù)責(zé)人匯報網(wǎng)絡(luò)現(xiàn)狀。 7. 優(yōu)惠措施 1. 乙方在舉行各項(xiàng)安全技術(shù)推廣和安全培訓(xùn)活動時，會優(yōu)先邀請甲方參加。如果是收費(fèi) 培訓(xùn)時，甲方享有最低折扣優(yōu)惠，具體優(yōu)惠折扣根據(jù)培訓(xùn)相關(guān)事宜確定。 2. 充分利用一方的培

17、訓(xùn)中心， 為甲方提供認(rèn)證的專業(yè)工程師培訓(xùn)和資格考試， 同時定期向 甲方提供培訓(xùn)信息。 8. 服務(wù)保證 針對行業(yè)的特殊性，乙方為甲方提供高優(yōu)先級服務(wù)（ 12 個月 *7 天*24 小時），乙方的工 程師在接到甲方的電話后，常規(guī)事件時間4小時之內(nèi)，重大事件時間2小時之內(nèi)趕到現(xiàn)場， 并在最短的時間內(nèi)對產(chǎn)生的安全問題做出診斷并排除。 若乙方派出的工程師未能及時有效地 解決問題，則由乙方在當(dāng)天之內(nèi)召集技術(shù)總監(jiān)和專家顧問現(xiàn)場解決。 9. 不可抗力 1. 如果雙方中的任何一方因?yàn)椴豢煽沽?如:戰(zhàn)爭、火災(zāi)、臺風(fēng)、洪水、地震或其他雙方共 認(rèn)為屬于不可抗力的原因而被迫停止或推遲合同的執(zhí)行,則合同執(zhí)行相應(yīng)延遲，延遲

18、的 時間等于不可抗力發(fā)生作用的時間。 2. 受影響的一方應(yīng)將不可抗力的發(fā)生盡快通過電報、電傳或傳真通知另一方。 3. 受影響的一方應(yīng)在不可抗力終止或被排除后盡快通過電報、電傳或傳真通知另一方,并 通過航空掛號信通知另一方不可抗力已終結(jié)或排除。 4. 如果不可抗力持續(xù)作用超過 30 天,雙方將通過友好協(xié)商解決未來的合同執(zhí)行問題,如果 雙方在持續(xù) 60 天內(nèi)未能解決疑義 ,甲方有權(quán)利解除合同。 ,如果不能通過友好協(xié)商解 10. 仲裁條款 1. 所有與合同及合同執(zhí)行有關(guān)的爭議將通過雙方友好協(xié)商解決 決，則將該爭議提交合同簽訂所在地的仲裁委員會仲裁。 2. 仲裁裁定是終局的，對雙方均有約束力。任何一方不得向法院或其他機(jī)構(gòu)申請改變仲裁 3. 仲裁費(fèi)用及相關(guān)損失由敗方承擔(dān)。 4. 仲裁進(jìn)行過程中，雙方將繼續(xù)執(zhí)行合同，但仲裁部分除外。 11. 保密條款 1. 項(xiàng)目中所涉及的成交價格、雙方的內(nèi)部資料、數(shù)據(jù)和其他商業(yè)信息，未經(jīng)對方許可，任 何一方不得以任何形式用于合同之外的目的，不得以任何形式向其他方泄露。任何一方 泄露，相關(guān)方有權(quán)追究泄露方的經(jīng)濟(jì)和法律責(zé)任。 2. 任何一方違反本保密條款，另一方保留向違約方追究法律責(zé)任及追討賠償損失的權(quán)利。 3.