信息安全保障协议书

信息安全保障协议书1.甲方（买方/出租方/委托方）：

甲方名称：中国智联科技有限公司

甲方地址：北京市海淀区中关村南大街1号智联大厦A座15层

甲方法定代表人/负责人：张明

甲方联系方式/p>

2.乙方（卖方/承租方/服务提供方）：

乙方名称：华安数据安全技术有限公司

乙方地址：上海市浦东新区张江高科技园区科苑路88号华安科技广场B座20层

乙方法定代表人/负责人：李强

乙方联系方式/p>

**协议简介**

鉴于甲方为提升自身信息安全防护能力，保障其业务运营数据的安全性和完整性，经友好协商，决定委托乙方提供专业的信息安全保障服务。乙方作为业内领先的信息安全服务提供商，具备丰富的技术经验和专业的服务团队，能够为甲方提供全面的信息安全解决方案。双方基于平等、自愿、公平的原则，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规，结合信息安全保障的实际需求，特订立本协议，以明确双方的权利与义务。本协议的签订与履行，旨在通过乙方的专业服务，帮助甲方构建完善的信息安全管理体系，防范网络攻击和数据泄露风险，确保甲方业务连续性和信息安全合规性。双方同意，本协议项下的所有服务内容均需符合国家及行业相关法律法规的要求，并接受双方共同监督与执行。

第一条协议目的与范围

本协议的主要目的是通过乙方的专业服务，帮助甲方构建并完善其信息安全保障体系，有效防范网络攻击、数据泄露及其他信息安全风险，确保甲方业务运营的连续性与数据安全合规性。协议范围包括但不限于：乙方为甲方提供信息系统安全评估、漏洞扫描与修复、安全加固、安全监测与响应、数据加密与备份、安全意识培训等全方位信息安全服务。具体服务内容详见本协议附件一《信息安全服务清单》，该附件为本协议不可分割的一部分。

第二条定义

1.“信息安全保障服务”指乙方根据本协议约定，为甲方提供的信息安全评估、技术防护、应急响应、安全培训等服务总和。

2.“信息系统”指甲方用于业务运营的所有硬件设备、软件系统、网络设施及存储数据的载体。

3.“数据泄露”指因非授权访问、系统漏洞、人为操作失误等原因导致甲方敏感数据被非法获取或公开。

4.“安全事件”指对甲方信息系统造成或可能造成损害的安全威胁或行为，包括但不限于病毒入侵、拒绝服务攻击、勒索软件等。

5.“服务水平协议（SLA）”指本协议附件二约定的乙方服务响应时间、解决时限等量化标准。

第三条双方权利与义务

**1.甲方的权力与义务**

（1）甲方有权要求乙方按照本协议约定提供信息安全保障服务，并监督服务质量的履行情况。

（2）甲方有权获取乙方提供服务的详细报告，包括安全评估结果、漏洞修复进度、安全事件处置记录等。

（3）甲方有权对乙方服务人员的行为提出合理建议，并要求乙方对不当行为进行整改。

（4）甲方应向乙方提供必要的信息系统访问权限，配合乙方开展安全测试、漏洞扫描等工作。

（5）甲方应确保其信息系统管理制度的合法性，并遵守国家关于数据安全保护的法律法规。

（6）甲方应指定专门联系人（信息安全主管），负责与乙方对接服务事宜，并及时反馈安全需求。

（7）甲方应对其信息系统中的数据进行分类分级管理，明确敏感数据的范围与保护级别。

（8）甲方应建立安全事件应急响应机制，并在发生安全事件时第一时间通知乙方。

（9）甲方应按照本协议约定支付服务费用，逾期支付应承担违约责任。

（10）甲方应对其提供的数据及信息系统配置信息承担保密义务，未经乙方同意不得向第三方披露。

**2.乙方的权力与义务**

（1）乙方有权按照本协议约定收取服务费用，并有权要求甲方按时足额支付。

（2）乙方应组建专业的信息安全团队，配备具备资质的工程师为甲方提供服务。

（3）乙方应建立完善的服务流程，确保服务内容符合国家信息安全标准及行业最佳实践。

（4）乙方应定期（每月/季度）向甲方提交服务报告，详细说明服务执行情况及发现的安全问题。

（5）乙方应在收到甲方安全事件通知后，按照SLA要求启动应急响应，并在约定时限内完成处置。

（6）乙方应对服务过程中接触到的甲方数据严格保密，未经授权不得用于任何商业用途。

（7）乙方应建立服务知识库，并将服务过程中积累的技术方案无偿分享给甲方作为参考。

（8）乙方应配合甲方参与信息安全监管机构的检查，并提供必要的技术支持。

（9）乙方应建立服务质量监控体系，定期对自身服务能力进行评估，并持续改进服务。

（10）乙方应保证服务人员具备国家认可的信息安全职业资格，并定期进行专业培训。

（11）乙方在提供服务过程中发现甲方信息系统存在重大安全隐患时，有权要求甲方立即整改，并书面通知相关监管部门。

（12）乙方应建立客户服务投诉处理机制，对甲方提出的合理诉求应在24小时内予以答复。

（13）乙方应确保提供的安全产品和技术方案具有合法的知识产权，无侵权风险。

（14）乙方应向甲方提供必要的安全意识培训，包括但不限于密码管理、邮件安全、社交工程防范等内容。

（15）乙方应建立备份数据管理制度，确保甲方重要数据的可恢复性，并定期进行恢复测试。

（16）乙方在服务过程中获取的甲方技术资料应按照约定归档保存，保存期限不少于协议终止后2年。

（17）乙方应主动向甲方通报行业安全威胁动态，并提供防范建议。

第四条价格与支付条件

1.本协议项下的信息安全保障服务费用采用以下方式确定：

（1）基础服务费：人民币伍拾万元整（￥500,000.00），包含但不限于系统安全评估、漏洞扫描（每月一次）、安全意识培训等标准服务内容，自本协议生效之日起支付。

（2）定制服务费：根据甲方具体需求另行协商确定，包括高级渗透测试、应急响应支持、数据加密方案实施等，具体金额及服务范围以双方签订的《服务补充协议》为准。

2.支付方式：

（1）甲方应通过银行转账方式将服务费用支付至乙方指定账户：

开户行：华安数据安全技术有限公司账户

户名：华安数据安全技术有限公司

账号：6222020100301234567

（2）首期付款应在本协议签订后7个工作日内支付总额的50%（即人民币贰拾伍万元整），剩余50%作为尾款，于乙方完成年度服务总结报告后30日内付清。

（3）乙方应在收到甲方款项后开具等额增值税专用发票，发票开具时间为收到款项后的5个工作日内。

3.付款条件：

（1）甲方逾期支付服务费用，每逾期一日，应按逾期金额的万分之五向乙方支付违约金，但累计违约金不超过合同总金额的10%。

（2）若因甲方原因导致乙方无法按时收款（如账户信息错误），乙方有权要求甲方在收到通知后3日内更正，逾期未更正的，乙方有权暂停服务直至款项到账，由此产生的损失由甲方承担。

（3）如甲方因自身原因要求变更付款方式或账户信息，应提前30日书面通知乙方，并承担相应的银行手续费。

第五条履行期限

1.本协议有效期为壹年，自2024年1月1日起至2025年12月31日止。协议期满前3个月，如双方无书面异议，本协议自动续展壹年，续展次数不限。

2.服务执行节点：

（1）安全评估报告应在服务启动后30日内提交甲方。

（2）漏洞修复服务应在收到甲方确认后的15个工作日内完成。

（3）每月安全监测报告应在次月5日前提交。

（4）年度服务总结报告应在合作期满前45日内提交。

3.紧急响应服务：

（1）乙方承诺在接到甲方安全事件通知后的2小时内响应，4小时内到达现场（特殊情况除外）。

（2）重大安全事件处置期限不超过24小时，特殊情况需经双方书面确认。

4.协议终止条件：

（1）甲方提前终止：需支付已完成服务部分的80%费用，并承担乙方已投入的成本。

（2）乙方提前终止：仅限于甲方严重违约（如拒绝配合必要工作）导致协议无法继续履行，乙方不退还任何已收取费用。

（3）不可抗力导致协议无法继续履行时，双方可协商解除，不承担违约责任。

第六条违约责任

**一、甲方违约责任**

1.付款违约：

（1）甲方未按本协议第四条约定的期限和金额支付服务费用，每逾期一日，应按应付未付金额的万分之五向乙方支付违约金。逾期超过30日，乙方有权暂停服务，并要求甲方一次性支付全部剩余款项及违约金。

（2）因甲方原因导致乙方收款账户信息错误，造成乙方资金损失（包括但不限于手续费、追讨费用），甲方应全额赔偿。

2.配合义务违约：

（1）甲方未按约定提供必要的信息系统访问权限或技术资料，导致乙方服务无法正常开展，每影响一日，应按当月服务费的1%支付违约金，但累计不超过当月服务费的50%。

（2）甲方故意隐瞒重要安全风险或提供虚假信息，导致乙方服务失效或产生损失，应承担全部赔偿责任，包括但不限于第三方索赔、监管罚款等。

3.保密义务违约：

（1）甲方在服务期间或协议终止后，未经乙方书面同意，泄露乙方提供的专有技术方案或服务过程中获知的商业信息，应向乙方支付违约金人民币伍拾万元整，并承担乙方因此遭受的全部损失。

（2）若甲方违约行为构成犯罪，乙方有权移交司法机关处理，并保留进一步索赔的权利。

4.协议解除违约：

（1）甲方单方面解除协议，应按已完成服务部分的150%支付费用，并赔偿乙方因人员遣散、资产闲置等造成的直接损失。

（2）甲方解除协议后，不得要求乙方退还任何已支付费用，但涉及保密内容的条款仍然有效。

**二、乙方违约责任**

1.服务质量违约：

（1）乙方未达到本协议第二条约定的服务标准（如SLA要求），每发生一次，应向甲方支付当次服务金额的10%作为违约金。当次违约金累计超过当月服务费的50%时，甲方有权要求乙方减免后续服务费或解除协议。

（2）因乙方技术失误导致甲方信息系统受损或数据泄露，乙方应承担全部赔偿责任，包括但不限于恢复费用、业务中断损失、监管罚款及第三方索赔，但赔偿上限不超过协议总金额的200%。

2.保密义务违约：

（1）乙方在服务过程中泄露甲方商业秘密或技术方案，应向甲方支付违约金人民币壹佰万元整，并承担甲方因此遭受的全部损失。

（2）乙方员工未经授权访问甲方数据或滥用服务权限，造成甲方损失，乙方应承担双倍赔偿责任，并承担相应的行政处罚。

3.应急响应违约：

（1）乙方未按本协议第五条约定的时限响应安全事件，每延误一日，应按事件处理金额的5%支付违约金，但累计违约金不超过事件处理费用的30%。

（2）重大安全事件处置不力导致甲方损失扩大，乙方应补足全部差额，并承担连带责任。

4.协议解除违约：

（1）乙方无正当理由单方面解除协议，应向甲方支付已完成服务部分的200%作为赔偿金。

（2）乙方提前终止服务后，不得要求甲方退还任何费用，但需保证甲方已购服务的完整性。

**三、共同责任条款**

1.双方因不可抗力导致违约时，可减免相应责任，但应及时通知对方并提供证明文件。

2.任何一方违约导致协议无法继续履行时，守约方有权要求违约方承担实际损失，包括但不限于直接损失、预期利益损失及合理的维权费用。

3.本协议项下的违约金与赔偿金，如有不足弥补的损失，违约方仍应补足差额。

第七条不可抗力

1.定义：不可抗力是指不能预见、不能避免并不能克服的客观情况，包括但不限于以下情形：

（1）地震、台风、洪水、海啸等自然灾害；

（2）战争、动乱、恐怖袭击、暴乱等社会事件；

（3）政府行为，包括但不限于法律法规的变更、税收政策调整、行政命令等；

（4）火灾、爆炸、网络攻击等不可归责于任何一方的事故；

（5）疫情及其防控措施导致的服务中断；

（6）其他非因双方故意或重大过失造成的、无法预见的技术故障或系统瘫痪。

2.通知义务：发生不可抗力的一方应在事件发生后24小时内书面通知对方，并提供相关证明文件（包括但不限于政府公告、新闻报道、第三方机构报告等），如未能及时通知，应承担相应责任。

3.责任免除：

（1）因不可抗力导致协议部分或全部无法履行的，双方互不承担违约责任，但应采取措施减少损失。

（2）不可抗力影响持续超过30日的，双方有权协商解除协议，已发生的服务费用按实际履行比例结算，双方互不退还。

（3）不可抗力消除后，受影响方应立即恢复履行协议，因延迟履行产生的责任由不可抗力导致的一方承担。

4.减损义务：即使发生不可抗力，双方仍应尽合理努力采取措施控制损害扩大，因未履行减损义务造成的额外损失，不可抗力方仍需承担责任。

5.不可抗力证明：双方应妥善保管不可抗力证明文件，并在协议终止后30日内互相提供完整副本，作为责任划分的依据。

第八条争议解决

1.争议类型：本协议项下的任何争议包括但不限于协议解释、履行、违约及不可抗力等事项。

2.协商解决：双方应首先通过书面或口头形式协商解决争议，协商期间，除争议事项外，双方应继续履行协议其他条款。

3.调解程序：如协商未果，双方应在争议发生后30日内共同委托第三方调解机构（如中国国际经济贸易仲裁委员会）进行调解，调解协议经双方签署后具有约束力。

4.仲裁选择：若调解无效，任何一方均有权在争议发生后60日内向上海市浦东新区人民法院提起诉讼或申请仲裁。

5.仲裁规则：仲裁适用中华人民共和国法律，仲裁裁决是终局的，对双方均有约束力。仲裁过程中产生的费用由败诉方承担，但双方另有约定的除外。

6.专属管辖：本协议约定争议解决方式具有优先性，任何一方不得就同一争议事项向其他法院或仲裁机构提出诉讼或仲裁申请。

7.证据规则：双方应按照法律规定提交证据，仲裁机构或法院可根据需要自行收集证据，但双方提供的证据材料应真实有效。

第九条其他条款

1.通知方式：本协议项下的所有通知、请求、要求或其他通信均应以书面形式，通过专人递送、挂号信、传真、电子邮件或双方确认的电子数据交换系统发送至本协议首部列明的地址或联系方式。任何一方变更联系方式，应至少提前10日书面通知对方。

2.协议变更：对本协议的任何修改或补充，均须经双方授权代表签署书面文件方能生效。任何口头约定或非正式协议均不构成对本协议的修改，但双方另有约定的除外。

3.法律适用：本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律，不受任何外国法律或习惯的影响。

4.完整协议：本协议构成双方就本协议标的达成的完整协议，取代双方此前就此达成的所有口头或书面协议、谅解或安排。

5.分离性：本协议任何条款的无效或不可执行不影响其他条款的效力，双方应协商替换为内容最接近的有效条款。

6.转让限制：未经对方事先书面同意，任何一方不得将其在本协议项下的权利或义务部分或全部转让给第三方