安全委外协议书

安全委外协议书1.甲方（买方/出租方/委托方）：

甲方名称：XX科技有限公司（以下简称“甲方”），统一社会信用代码：91450100MA01XXXX9，注册地址位于中国北京市海淀区XX路XX号XX大厦X层X室。甲方的法定代表人/负责人为张三，联系电话甲方是一家从事计算机软硬件研发、销售及相关技术服务的公司，具备合法的企业法人资格，拥有独立签订和履行本协议的完全民事行为能力。甲方在信息技术领域拥有丰富的行业经验，目前因业务发展需要，拟委托乙方提供专业的安全咨询服务，以提升自身信息系统的安全防护能力，保障公司核心数据资产的安全与完整。

2.乙方（卖方/承租方/服务提供方）：

乙方名称：XX信息安全服务有限公司（以下简称“乙方”），统一社会信用代码：91450100MA02XXXX8，注册地址位于中国上海市浦东新区XX路XX号XX科技园X号楼X层X室。乙方的法定代表人/负责人为李四，联系电话乙方是一家专注于提供网络安全咨询、技术实施及运维服务的专业机构，具备国家信息系统安全等级保护认证及ISO27001信息安全管理体系认证，拥有丰富的企业级安全解决方案服务经验。乙方在网络安全领域与多家知名企业建立了长期合作关系，具备为甲方提供高质量安全委外服务的专业能力和技术实力。

协议简介：

本协议的签订背景源于甲方在业务运营过程中对信息系统安全防护的迫切需求。随着信息化建设的深入推进，甲方业务系统日益复杂，数据交互频繁，面临的网络攻击风险随之增加。为有效应对潜在的安全威胁，确保业务连续性和数据完整性，甲方经审慎评估后决定，委托具备专业资质和丰富经验的乙方提供安全委外服务，协助甲方构建全面的安全防护体系。乙方基于其在网络安全领域的专业优势和技术积累，同意接受甲方的委托，按照本协议约定的内容、标准和费用，为甲方提供包括但不限于安全评估、漏洞修复、应急响应、安全培训等服务。双方基于平等、自愿、公平的原则，经友好协商，达成如下协议。本协议的履行将有助于甲方提升安全防护水平，降低安全风险，同时确保乙方能够按照行业最佳实践和协议约定，提供符合甲方需求的安全服务，双方的合作基于对信息安全共同责任的认知和履行，旨在通过专业化分工，实现安全管理的协同增效。

第一条协议目的与范围

本协议的主要目的在于委托乙方为甲方提供专业的安全咨询服务，以提升甲方信息系统的安全防护能力，保障甲方核心数据资产的安全与完整。具体范围包括但不限于：

1.对甲方指定的信息系统进行安全评估，识别潜在的安全风险和脆弱性；

2.根据评估结果，为甲方提供定制化的安全加固方案和优化建议；

3.实施安全漏洞修复和系统加固工作，确保系统符合安全基线要求；

4.建立应急响应机制，为甲方提供安全事件应急处理和事后复盘服务；

5.开展安全意识培训和知识普及，提升甲方员工的安全防范能力；

6.提供定期的安全巡检和报告，跟踪安全措施的落实情况。双方合作范围覆盖甲方指定的服务器、网络设备、应用系统及数据存储等关键信息资产，确保安全防护的全面性和有效性。

第二条定义

在本协议中，除非上下文另有明确说明，下列术语具有以下含义：

1.“信息系统”指甲方用于业务运营、数据存储和传输的计算机硬件、网络设备、软件系统及数据资源的总称；

2.“安全评估”指乙方依据国家相关标准和行业最佳实践，对甲方信息系统进行的安全状况检查和风险分析；

3.“安全加固”指乙方采取技术手段增强信息系统抗攻击能力的措施，包括系统配置优化、漏洞修复、访问控制强化等；

4.“应急响应”指在发生安全事件时，乙方协助甲方进行事件识别、处置、恢复和总结的全过程服务；

5.“安全报告”指乙方定期或根据甲方需求提供的关于系统安全状况、风险变化及建议的报告；

6.“保密信息”指双方在合作过程中知悉的、未公开的与对方业务、技术、客户等相关的敏感信息。

第三条双方权利与义务

1.甲方的权力和义务：

（1）甲方有权要求乙方按照本协议约定提供安全咨询服务，并对服务质量和效果进行监督和评估；

（2）甲方有权获得乙方提供的安全评估报告、加固方案、应急响应记录及安全培训材料等完整服务文档；

（3）甲方有权要求乙方在提供服务时遵守国家法律法规及行业规范，保护甲方信息系统的合法使用；

（4）甲方应向乙方提供必要的信息系统访问权限和技术支持，配合乙方完成安全评估、漏洞修复等工作的开展；

（5）甲方应指定专门联系人负责与乙方对接服务事宜，并及时反馈服务需求变更或紧急情况；

（6）甲方应按照本协议约定按时足额支付服务费用，并对支付金额无异议；

（7）甲方应确保所提供的信息真实、准确、完整，并对因信息错误导致的服务问题承担相应责任；

（8）甲方应配合乙方进行安全事件的应急处置，提供必要的技术支持和资源协调；

（9）甲方应建立内部信息安全管理制度，并对员工进行安全意识培训，减少人为因素导致的安全风险；

（10）甲方应遵守保密义务，对乙方在服务过程中获悉的甲方商业秘密和技术信息承担保密责任。

2.乙方的权力和义务：

（1）乙方有权按照本协议约定收取服务费用，并有权要求甲方按时支付；

（2）乙方应组建专业的服务团队，配备具备资质的安全工程师，确保服务质量符合行业标准和甲方需求；

（3）乙方应按照本协议约定的服务范围和标准，为甲方提供全面的安全咨询服务，包括但不限于安全评估、漏洞修复、应急响应、安全培训等；

（4）乙方应制定详细的服务方案和实施计划，经甲方确认后方可执行，并在服务过程中保持与甲方的良好沟通；

（5）乙方应采用合法的技术手段和方法提供服务，确保操作过程不影响甲方正常业务运行，并在服务结束后及时恢复系统原状；

（6）乙方应建立完善的服务记录和文档管理制度，定期向甲方提交安全报告，汇报服务进展和风险变化；

（7）乙方应严格遵守保密义务，对甲方提供的商业秘密和技术信息以及服务过程中获知的甲方敏感数据承担终身保密责任；

（8）乙方应配备应急响应团队，确保在发生安全事件时能够及时响应，按照预案进行处理，并协助甲方完成事件恢复；

（9）乙方应定期对服务团队进行专业培训，保持技术能力与行业发展同步，确保持续提供高质量的服务；

（10）乙方应遵守国家网络安全法律法规及行业规范，确保服务过程合法合规，并对服务结果承担法律责任；

（11）乙方有权要求甲方提供必要的技术配合和资源支持，如因甲方原因导致服务受阻，乙方有权暂停服务并相应顺延履行期限；

（12）乙方应建立服务质量监控机制，主动收集甲方对服务质量的反馈意见，并根据反馈持续改进服务内容和方式；

（13）乙方应配合甲方完成内部及外部相关安全认证的准备工作，提供必要的技术咨询和文档支持；

（14）乙方应建立服务退出机制，在服务期限届满或提前终止时，完成所有服务内容的交接和文档归档，确保甲方能够顺利接管后续安全管理工作。

第四条价格与支付条件

1.服务费用：乙方根据本协议约定的服务范围和标准，为甲方提供安全咨询服务，服务费用总额为人民币叁拾万元整（¥300,000.00）。该费用包含但不限于安全评估、漏洞修复方案设计、技术实施、应急响应支持、安全培训等全部服务内容。

2.费用构成：具体费用构成如下：

（1）前期安全评估费用：人民币拾万元整（¥100,000.00），用于完成对甲方信息系统的全面安全评估工作；

（2）安全加固实施费用：人民币拾万元整（¥100,000.00），用于根据评估结果实施系统加固和漏洞修复；

（3）应急响应及培训费用：人民币伍仟元整（¥5,000.00），包含应急响应支持和安全意识培训服务。

3.支付方式：甲方应通过银行转账方式向乙方支付服务费用。支付账户信息如下：

开户名称：XX信息安全服务有限公司

开户银行：中国工商银行XX支行

银行账号：622202********1234567

4.支付时间：

（1）合同签订后七日内，甲方向乙方支付总服务费用的50%，即人民币壹拾伍万元整（¥150,000.00）；

（2）安全评估工作完成并通过甲方验收后七日内，甲方向乙方支付剩余服务费用的30%，即人民币玖万元整（¥90,000.00）；

（3）安全加固工作完成并通过甲方验收后七日内，甲方向乙方支付最终服务费用的20%，即人民币陆万元整（¥60,000.00）。

5.付款凭证：乙方应在每次收到甲方付款后，向甲方出具等额正规发票。甲方在收到发票后应及时核对并履行报销程序。如甲方对服务费用或发票内容有异议，应在收到发票后三个工作日内提出，双方应友好协商解决。

6.费用调整：如因甲方需求变更或增加新的服务内容，导致服务范围扩大或工作量增加，双方应在协商一致的基础上另行签订补充协议，调整服务费用。乙方应在收到甲方需求变更通知后五个工作日内提供书面报价方案，经甲方确认后执行。

7.不可抗力条款：如发生不可抗力事件导致服务无法按原计划履行，经双方书面确认后，可根据事件影响程度协商调整服务费用。不可抗力事件包括但不限于自然灾害、战争、政府行为等无法预见、无法避免且无法克服的客观情况。

第五条履行期限

1.协议有效期：本协议自双方签字盖章之日起生效，有效期为壹年，自202X年X月X日至202X年X月X日止。协议期满前一个月，如双方均未提出书面终止意向，本协议自动续延壹年，续延次数不限。

2.服务期限：

（1）前期安全评估工作：自本协议生效之日起三十日内完成，即最晚于202X年X月X日前交付评估报告；

（2）安全加固实施工作：在甲方确认评估报告后六十日内完成，即最晚于202X年X月X日前完工；

（3）应急响应及培训服务：在安全加固工作完成后持续提供，直至协议终止。

3.关键时间节点：

（1）协议签订日：202X年X月X日

（2）首期款项支付日：202X年X月X日前

（3）评估报告提交日：202X年X月X日前

（4）安全加固完工日：202X年X月X日前

（5）协议终止日：202X年X月X日

4.期限顺延：如遇以下情况，经双方书面协商一致，可相应顺延履行期限：

（1）因乙方原因导致服务无法按计划推进，经甲方书面通知后仍未在合理期限内解决；

（2）因甲方原因导致乙方需要额外获取系统访问权限或技术资料，经甲方书面通知后未能及时提供；

（3）发生不可抗力事件导致服务中断，根据不可抗力影响程度协商调整服务期限；

（4）双方协商一致的其他情况。

5.提前终止：本协议任何一方有权在提前三十日向对方发出书面通知后终止本协议，但乙方已完成的服务费用应按实际工作量比例结算，甲方已支付但尚未提供的服务费用不予退还。提前终止不影响任何一方因违约行为应承担的责任。

第六条违约责任

1.甲方违约责任：

（1）付款延迟责任：甲方未按本协议第四条约定按时支付服务费用，每逾期一日，应向乙方支付逾期付款金额千分之五的违约金。逾期超过三十日，乙方有权暂停服务直至甲方付清全部款项及违约金，且甲方仍需承担全部服务费用。若因甲方付款延迟导致乙方额外产生催收费用或法律费用，由甲方承担。

（2）配合义务违反责任：甲方未按约定提供必要的技术支持、系统访问权限或信息资料，导致乙方服务受阻或延误，每延误一日，甲方应向乙方支付合同总金额千分之五的违约金。违约金累计不超过合同总金额的30%。如因甲方配合不力导致乙方无法完成约定服务内容，甲方仍需支付全额服务费用，乙方有权解除协议并要求甲方承担合同总金额20%的违约金。

（3）需求变更责任：甲方在服务过程中单方面要求重大需求变更，且该变更导致乙方服务成本增加或工作量显著扩大，甲方应承担由此产生的额外服务费用。如变更内容超出原协议范围，双方应另行协商费用，甲方拒绝支付合理费用且乙方无法继续履行的，乙方有权解除协议并要求甲方支付已完成工作量80%的服务费用及合同总金额15%的违约金。

2.乙方违约责任：

（1）服务质量违约责任：乙方提供的服务不符合本协议约定的标准和要求，经甲方书面指出后未能及时整改或整改效果不达标的，甲方有权要求乙方采取补救措施。若乙方未能在合理期限内完成补救，甲方有权解除协议并要求乙方退还已支付但未提供合格服务的费用，并支付合同总金额10%的违约金。如服务质量严重不合格导致甲方信息系统遭受损失，乙方应承担直接经济损失的50%赔偿责任，但赔偿上限不超过合同总金额的200万元人民币。

（2）响应延迟责任：乙方未按本协议约定及时响应甲方安全事件或应急支持请求，每延迟响应一日，应向甲方支付合同总金额千分之五的违约金。延迟超过五日且未提供合理解释的，甲方有权解除协议并要求乙方支付合同总金额15%的违约金。违约金累计不超过合同总金额的30%。

（3）保密义务违反责任：乙方及其员工在服务过程中违反保密义务，泄露甲方商业秘密或敏感信息，给甲方造成直接经济损失的，乙方应承担全部赔偿责任，赔偿金额不低于实际损失金额的120%，且甲方有权解除协议。如乙方故意泄露或因重大过失导致甲方遭受监管处罚或声誉损失的，乙方应承担全部责任并支付合同总金额200%的违约金，但赔偿上限不超过1000万元人民币。

3.协议解除责任：

（1）单方解除权：如一方严重违约，守约方有权书面通知违约方解除本协议。违约方应在收到通知后十日内纠正违约行为，如未能纠正或违约行为已实质性影响协议目的实现的，守约方有权立即解除协议。

（2）解除后果：协议解除后，乙方应立即停止所有服务活动，返回甲方提供的所有系统访问权限和资料，并按已完成工作量比例结算服务费用。甲方已支付但尚未提供服务的费用不予退还。解除协议不影响任何一方因违约行为已产生的权利义务。

4.赔偿范围：

（1）直接经济损失：包括但不限于系统修复费用、业务中断损失、数据恢复费用、监管罚款等直接产生的实际损失。

（2）间接经济损失：包括但不限于商誉损失、客户流失、股价波动等间接损失，但乙方仅对因自身违约行为导致的间接损失承担赔偿责任，且赔偿比例不超过直接经济损失的30%。

5.免责条款：因不可抗力导致协议无法履行的，双方互不承担违约责任，但应及时通知对方并采取措施减少损失。不可抗力事件消除后，双方应继续履行协议剩余义务。如不可抗力持续超过三十日，双方可协商解除协议。

6.责任上限：无论本协议约定何种违约责任，任何一方对甲方的总赔偿责任不超过合同总金额的300%，且甲方有权要求乙方赔偿因违约行为导致的全部直接经济损失及合理的律师费、诉讼费等法律成本。

第七条不可抗力

1.定义：本协议所称不可抗力，是指不能预见、不能避免并不能克服的客观情况，包括但不限于：

（1）自然灾害，如地震、台风、洪水、海啸、火山爆发等；

（2）战争、军事冲突、恐怖袭击、暴乱等；

（3）政府行为，如法律、法规的变更、行政命令、政策调整等；

（4）疫情或公共卫生事件，如传染病爆发及政府采取的隔离、封锁等措施；

（5）网络攻击或系统故障，如大规模DDoS攻击、关键基础设施瘫痪等；

（6）罢工、骚乱或其他社会事件，影响正常生产经营或服务提供；

（7）火灾、爆炸等意外事故，非因乙方故意或重大过失造成；

（8）其他无法预见、不能避免并不能克服的客观情况。

2.通知义务：任何一方因不可抗力不能履行本协议义务的，应在不可抗力事件发生后七个工作日内书面通知对方，并提供相关证明材料。通知内容包括不可抗力事件的性质、影响范围、预计持续期限以及已采取的应对措施。如不可抗力持续超过三十日，双方应再次协商处理方案。

3.责任免除：因不可抗力导致本协议部分或全部不能履行的，根据不可抗力的影响程度，部分或全部免除违约责任。不可抗力影响消除后，受影响方应尽快恢复履行本协议义务，并采取必要措施减少损失。因不可抗力造成的损失，由双方各自承担。

4.协议解除：如不可抗力持续超过六十日，双方仍无法克服或无法继续履行本协议的，经协商一致，可以解除本协议。解除协议后，双方应按已完成工作量比例结算服务费用，互不承担违约责任，但已产生的实际损失仍需承担赔偿责任。

5.不可抗力证明：本协议所称不可抗力证明材料包括但不限于政府公告、法院判决、新闻报道、第三方机构证明等。一方提供证明材料后，对方应在五个工作日内进行核实，如有异议可申请第三方机构鉴定。如双方对不可抗力证明存在争议，以有管辖权的人民法院或仲裁机构的认定为准。

6.不可抗力与免责限制：本协议不可抗力条款不影响任何一方因对方违约行为应承担的责任，也不影响本协议其他条款的效力。任何一方不得以不可抗力为由拒绝履行保密、通知等程序性义务。

第八条争议解决

1.争议类型：本协议履行过程中发生的任何争议，包括但不限于协议解释、权利义务、违约责任等，双方应首先通过友好协商解决。协商应本着公平合理、互谅互让的原则进行，直至达成书面协议。

2.协商程序：协商应自争议发生之日起三十日内进行，双方可指定专门联系人负责协商事宜。如协商未能在三十日内达成一致，任何一方可提出书面解决方案，经对方收到后十日内答复。双方在协商过程中应保留完整记录，作为后续争议解决的证据材料。

3.调解程序：如协商不成，双方可共同委托中国国际贸易促进委员会或北京市商务委员会等中立第三方机构进行调解。调解应遵循自愿、公平、保密的原则，调解员应在收到调解申请后六十日内提出调解方案。如双方在调解期限内达成调解协议，应签订书面调解书并履行。调解不成的，可进入仲裁或诉讼程序。

4.仲裁程序：本协议争议解决优先采用仲裁方式。任何一方在协商或调解未果后三十日内，可向中国国际经济贸易仲裁委员会（CIETAC）申请仲裁，仲裁地点为甲方所在地。仲裁应适用中华人民共和国法律，仲裁裁决是终局的，对双方均有约束力。仲裁费用由败诉方承担，双方均应承担各自仲裁费用的一半。

5.诉讼程序：如双方明确约定选择诉讼方式解决争议，或仲裁协议无效、失效或被撤销，任何一方可直接向有管辖权的人民法院提起诉讼。诉讼地点为甲方住所地，适用中华人民共和国法律。如一方选择诉讼，应书面通知对方，并积极配合法院审理工作。诉讼期间，除争议事项外，双方应继续履行本协议其他条款。

6.争议解决原则：无论采用何种争议解决方式，双方均应遵守诚实信用原则，提供真实、完整的证据材料，并配合争议解决机构的工作。争议解决期间，双方应避免采取任何可能加剧争议或损害对方利益的行为，包括但不限于公开披露争议内容、采取报复性措施等。任何一方违反本条款，应承担相应的法律责任。

7.争议管辖的优先顺序：本协议约定争议解决方式依次为：友好协商→调解（如有需要）→仲裁（优先）→诉讼（备选）。如双方在协商或调解中明确选择诉讼方式，则后续争议解决应直接适用诉讼程序。任何一方在优先程序中未行使权利，不影响其在后续程序中的权利主张。

第九条其他条款

1.通知方式：本协议项下的所有通知、文件及其他通讯，均应以书面形式（包括但不限于信函、传真、电子邮件、挂号信）发送至本协议首部载明的地址或联系方式。任何一方变更联系方式，应至少提前七个工作日书面通知对方。通过电子邮件发送的，发出时视为送达；通过传真发送的，成功发送后十五分钟视为送达；通过挂号信发送的，寄出后五个工作日视为送达。

2.协议变更：对本协议的任何修改或补充，均须经双方协商一致，并以书面形式作出，作为本协议不可分割的一部分。任何一方不得单方面变更本协议内容。通过电子邮件或传真等非正式方式作出的变更提议或确认，均需后续以书面形式正式确认方为有效。

3.法律适用与解释：本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。任何一方在本协议履行过程中作出的任何弃权或延迟行使权利的行为，均不构成对该行为或该行为的再弃权或权利再行使的许可，且不影响本协议其他条款的效力。本协议条款的任何部分若被认定为无效或不可执行，不影响其他条款的继续有效。

4.完整协议：本协议及其附件构成双方就本协议标的达成的完整协议，取代双方此前就此达成的所有口头或书面协议、谅解及承诺。除非本协议另有约定，任何一方均不得依据本协议之外的其他事由向对方提出任何要求或索赔。

5.分离性：本协议各条款为相互独立的部分。如任何条款被有管辖权的人民法院或仲裁机构认