2025年5G网络切片安全协议（等保三级）

2025年5G网络切片安全协议（等保三级）本合同由以下双方于____年____月____日在中国____签订：甲方（服务提供方）：________________________法定代表人/授权代表：____________________注册地址：______________________________统一社会信用代码：______________________乙方（服务接受方）：________________________法定代表人/授权代表：____________________注册地址：______________________________统一社会信用代码：______________________鉴于：1.甲方拥有并运营5G网络，并具备提供5G网络切片服务的能力；2.乙方需要使用甲方提供的5G网络切片服务，以支持其业务需求；3.根据中华人民共和国《信息安全法》、《网络安全法》及《信息安全技术网络安全等级保护基本要求》（GB/T22239-2020）等相关法律法规的要求，乙方所使用的5G网络切片服务应满足网络安全等级保护三级（以下简称“等保三级”）的安全要求；4.甲乙双方经友好协商，就乙方使用甲方提供的满足等保三级要求的5G网络切片安全服务事宜，达成如下协议，以资共同遵守。第一条定义与术语1.1除非本合同另有约定，下列术语具有以下含义：1.1.15G网络切片：指在5G网络中，根据不同业务需求，逻辑上隔离并具有独立资源（如计算、存储、带宽等）的网络资源集合。1.1.2网络安全等级保护三级（等保三级）：指根据国家信息安全等级保护制度，对信息系统安全保护等级划分为三级的标准要求。1.1.3网络切片管理功能（NSMF）：负责网络切片的创建、配置、监控、删除等管理操作的功能实体。1.1.4安全域：指具有相同安全策略区域，并接受相同安全防护措施的设备或对象集合。1.1.5访问控制：指限制对信息资源的访问，确保只有授权用户能够访问授权资源的安全机制。1.1.6日志审计：指记录、监控和分析安全相关事件的过程。1.1.7应急响应：指在发生安全事件时，为减少损失、尽快恢复业务而采取的措施。1.1.8物理隔离：指通过网络物理上的分离，实现不同安全域之间隔离的一种方式。1.1.9逻辑隔离：指通过技术手段（如虚拟化、安全区域划分等）在不同安全域之间实现隔离的一种方式。1.2本合同中提及的“等保三级要求”均指《信息安全技术网络安全等级保护基本要求》（GB/T22239-2020）中规定的三级要求。第二条合同标的2.1甲方同意根据本合同约定及等保三级要求，为乙方提供的5G网络切片（以下简称“切片”）提供安全服务，确保切片的整体安全符合国家相关法律法规及标准的要求。2.2乙方同意按照本合同约定向甲方支付相应的服务费用。第三条双方权利与义务3.1甲方的权利与义务：3.1.1负责提供满足本合同要求的切片基础设施和网络环境，并确保其符合等保三级对物理环境、网络环境的基本要求。3.1.2负责设计和实施切片的安全架构，包括但不限于切片的隔离机制（物理或逻辑）、安全域划分、边界防护、访问控制策略等，确保满足等保三级的相关技术要求。3.1.3负责在切片中部署必要的安全设备和安全功能，如防火墙、入侵检测/防御系统（IDS/IPS）、安全审计系统、日志收集系统等，并确保其正常运行。3.1.4负责建立和维护切片的身份认证和授权机制，对管理平面和用户平面的访问进行严格控制，实施基于角色的访问控制（RBAC）。3.1.5负责确保切片内数据传输和存储的机密性、完整性和可用性，采取加密、签名等技术手段保护数据安全，符合等保三级对数据安全的要求。3.1.6负责建立切片安全监控体系，实时监测切片的安全状态，及时发现并告警安全事件。3.1.7负责建立切片安全日志审计机制，确保安全相关事件的可追溯性，日志的保存时间符合等保三级要求。3.1.8负责定期对切片进行安全漏洞扫描和风险评估，及时修复已知漏洞，并根据风险评估结果采取相应的安全措施。3.1.9负责制定和定期演练针对切片的应急响应预案，确保在发生安全事件时能够按照预案进行有效处置。3.1.10负责定期（至少每年一次）委托具备资质的第三方机构对切片进行等保三级合规性测评，并将测评报告提交给乙方。3.1.11负责向乙方提供与切片安全相关的必要文档，包括但不限于安全架构设计文档、安全策略配置文档、安全事件处理报告、等保测评报告等。3.1.12负责配合乙方或其指定的第三方对切片安全状况进行审计，并根据审计意见进行整改。3.2乙方的权利与义务：3.2.1有权要求甲方提供满足本合同约定及等保三级要求的切片安全服务。3.2.2有权获取与切片安全相关的必要信息，包括安全架构、安全策略、安全事件告警信息、等保测评结果等。3.2.3有权对甲方提供的切片安全服务进行监督，并要求甲方按照本合同约定履行义务。3.2.4负责对其连接到切片的应用和终端进行安全加固，确保其符合基本的网络安全要求，并对自身应用和终端的安全负责。3.2.5有义务配合甲方进行切片安全策略的配置和安全设备的调试工作。3.2.6有义务及时向甲方通报任何可能影响切片安全的重大安全风险或已发生的安全事件。3.2.7有义务遵守本合同约定的安全操作规程和访问控制策略，不得进行任何违规操作。第四条技术要求与标准4.1甲方提供的切片安全服务必须全面满足《信息安全技术网络安全等级保护基本要求》（GB/T22239-2020）中规定的三级要求，包括但不限于物理安全、网络安全、主机安全（如适用）、应用安全（如适用）、数据安全、安全运维、安全管理等各方面的要求。4.2甲方需在切片层面实现有效的安全隔离机制，确保不同切片之间的安全边界，防止安全风险跨切片传播。切片隔离应满足等保三级关于网络区域划分的要求。4.3甲方需对切片的管理平面（MP）和用户平面（UP）流量实施有效的访问控制和安全防护，包括但不限于防火墙策略、入侵检测/防御、DDoS防护等，并满足等保三级关于网络边界防护的要求。4.4甲方需对切片内的传输数据进行加密保护，确保数据的机密性，满足等保三级关于数据传输保护的要求。4.5甲方需建立完善的安全审计和日志管理机制，对切片内的安全相关操作和事件进行记录、存储和分析，日志保存时间不少于6个月，并满足等保三级关于日志安全的要求。4.6甲方需定期（建议每季度或根据风险等级确定）对切片进行安全漏洞扫描，并及时修复高风险漏洞，满足等保三级关于漏洞管理的要求。4.7甲方需制定详细的应急响应预案，并至少每年进行一次应急演练，确保能够有效应对各类安全事件，满足等保三级关于应急响应的要求。第五条安全责任划分5.1甲方对切片本身的安全负主要责任，包括切片基础设施、管理平面、用户平面以及部署在切片中的安全设备和功能的安全。甲方应确保其提供的切片服务整体上满足等保三级的要求。5.2乙方对其连接到切片的应用系统、终端设备及其传输的数据的安全负主要责任。乙方应确保其应用和终端符合基本的网络安全要求，不危害切片的整体安全。5.3双方均应对因自身原因导致的安全事件承担相应的责任。如因双方共同过错导致安全事件，应根据各自过错程度承担相应责任。5.4甲方应负责处理发生在其切片范围内的安全事件，并应及时通知乙方可能受影响的安全事件。乙方应配合甲方进行安全事件的处置工作。第六条安全运营与维护6.1安全监控：甲方应建立7x24小时的安全监控机制，对切片的安全状态进行实时监控，包括网络流量、系统日志、安全设备告警等，并能够及时发现异常行为和安全事件。6.2日志管理：甲方应建立集中的日志收集和管理系统，对切片内所有安全相关设备和应用产生的日志进行统一收集、存储、查询和分析，日志存储时间不少于6个月，并确保日志的完整性和不可篡改性。6.3变更管理：任何涉及切片安全策略、配置、设备升级等变更，甲方应遵循严格的变更管理流程，包括变更申请、评估、审批、实施、验证和文档更新等环节，并提前通知乙方重大变更。6.4漏洞管理：甲方应建立漏洞管理流程，定期对切片进行漏洞扫描，对发现的安全漏洞进行风险评估，并及时修复高风险漏洞。甲方应将重要的漏洞信息和修复情况告知乙方。6.5应急响应协作：双方应建立安全事件应急响应沟通机制。甲方应在发生安全事件时，及时通知乙方，并根据事件情况和双方约定，协同进行事件处置和恢复工作。甲方应向乙方提供必要的应急响应支持。第七条合规性要求7.1甲方应确保切片的设计、实施、运维等全过程均符合等保三级的要求。7.2甲方应按照合同约定，定期（至少每年一次）委托具备国家认可的等保测评资质的第三方机构对切片进行等保三级合规性测评，并将测评报告提交给乙方。测评费用由甲方承担。7.3如等保测评结果不符合三级要求，甲方应立即制定整改计划，并在规定时间内完成整改，直至重新通过测评。整改期间，甲方应采取额外的安全措施，并通知乙方。7.4乙方有权对甲方提供的切片安全服务是否符合本合同约定及等保三级要求进行监督。乙方或其指定的第三方有权对切片的安全状况进行审计，甲方应提供必要的配合。审计费用由乙方承担，除非审计结果表明甲方存在严重违约行为。第八条服务水平协议（SLA）8.1安全事件响应：甲方承诺在接到乙方关于安全事件的通报后，将在____小时内进行初步确认和评估，并在____小时内启动应急响应措施。对于不同的安全事件类型，甲方承诺提供相应的响应和处置服务，具体目标包括但不限于：a)入侵检测告警平均响应时间不超过____分钟；b)安全事件处置过程中，将及时向乙方通报进展情况；c)安全事件处置完成后，提供详细的事件报告。8.2安全服务可用性：甲方承诺其提供的安全监控、日志系统等安全相关服务的可用性不低于99.9%。8.3合规报告：甲方应按照本合同第七条的约定，按时提交等保测评报告。此外，甲方应每年向乙方提供至少一次的安全态势报告，内容包括但不限于安全事件统计、漏洞扫描结果、安全措施有效性评估等。第九条保密条款9.1甲乙双方应对在本合同签订及履行过程中知悉的对方的商业秘密、技术秘密、切片配置信息、用户信息以及其他未公开信息（以下简称“保密信息”）承担保密义务。9.2未经对方书面同意，任何一方不得向任何第三方泄露、披露或使用对方的保密信息，但法律法规另有规定或监管机构要求的除外。在法律或合同规定允许的范围内，一方有权向其员工、顾问、分包商等告知保密信息，但应要求这些人员承担保密义务，不得将其用于本合同目的之外。9.3本保密义务不因本合同的终止而失效，持续有效期限为本合同终止后____年。第十条知识产权10.1由甲方为履行本合同而专门开发或提供的与切片安全相关的软件、方案、文档等成果的知识产权归甲方所有。乙方获得该等成果的使用权，仅限于本合同约定的目的，不得进行复制、修改、反向工程或用于其他目的。10.2由乙方提供的技术资料或要求所对应的知识产权归乙方所有。第十一条违约责任11.1若甲方未能按照本合同约定提供满足等保三级要求的切片安全服务，或未能达到SLA中规定的服务目标，乙方有权要求甲方限期整改。逾期仍未改正的，乙方有权根据实际情况，要求减少服务费用或解除合同。11.2甲方因违反保密义务给乙方造成损失的，应承担赔偿责任。11.3若乙方未能履行本合同约定的义务，如未配合甲方进行安全配置、未及时通报安全风险等，影响甲方正常提供服务或导致安全事件扩大的，乙方应承担相应责任，并赔偿甲方因此遭受的损失。11.4因任何一方违约导致本合同无法继续履行的，守约方有权解除合同，并要求违约方赔偿损失。第十二条合同期限与终止12.1本合同有效期为____年，自双方签字盖章之日起生效。合同期满前____个月，如双方均未提出书面异议，本合同自动续展____年，续展次数不限。12.2任何一方可在合同有效期内，提前____日向对方发出书面通知，协商解除本合同。提前解除合同的，应支付对方相应的服务费用（按合同总费用的____%计算），并承担因解除合同给对方造成的损失。12.3如发生以下情况之一，守约方有权书面通知违约方解除本合同：a)一方严重违反本合同约定，经守约方书面催告后____日内仍未纠正的；b)一方进入破产、清算或解散程序的；c)乙方连续____次未能按时支付服务费用的。12.4合同终止时，甲方应负责安全地停止提供切片安全服务，确保乙方数据的完整性和可用性（如适用），并按照约定提供相关文档和交接事宜。双方应结清所有未付款项。第十三条争议解决13.1因本合同引起的或与本合同有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权将争议提交至____（选择：甲方所在地/乙方所在地