信息安全评估服务协议

信息安全评估服务协议鉴于委托方希望对自身信息安全状况进行评估，以识别风险并提升信息安全防护水平；服务商具备开展信息安全评估服务的专业能力和资质。双方基于平等、自愿、公平和诚实信用的原则，经友好协商，达成以下协议：第一条评估范围1.1本次信息安全评估的对象包括委托方位于[具体地址]的办公网络环境、服务器[列出服务器IP或名称]、应用系统[列出系统名称，如CRM、ERP等]、存储个人信息的数据库[列出数据库名称]以及相关的管理流程。1.2评估范围具体涵盖：(1)网络边界安全防护措施的有效性；(2)服务器操作系统和应用程序的安全配置；(3)数据库的访问控制和数据加密措施；(4)终端设备的安全管理策略执行情况；(5)个人信息处理活动的合规性；(6)相关安全管理制度和流程的健全性。1.3本协议约定的评估范围不包括委托方位于[另一个地址]的分支机构网络、第三方云服务提供商托管的系统[列出具体系统名称]以及历史遗留的非关键业务系统[列出系统名称]。第二条服务内容与标准2.1服务商将采用渗透测试、漏洞扫描、配置核查、访谈、文档审查相结合的方法进行信息安全评估。2.2评估将主要依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）和《信息安全技术个人信息安全规范》（GB/T35273-2020）的相关要求进行。2.3服务流程包括：初步沟通与方案确认、现场勘查与准备、实施评估（测试环境搭建、扫描测试、渗透测试、访谈记录、文档审查）、结果分析与报告撰写、报告交付与解读沟通。2.4服务商将在协议签订后[具体天数，如10]个工作日内完成现场勘查和方案确认；在[具体天数，如30]个工作日内完成现场评估工作；并在评估工作完成后[具体天数，如7]个工作日内提交评估初步报告；最终正式评估报告在初步报告确认或评估工作结束后[具体天数，如10]个工作日内提交。第三条双方义务3.1服务商的义务：(1)按照协议约定的范围、方法和标准按时、保质完成评估工作；(2)指派[数量]名具备相应资质（如CISP、CISSP等）的评估人员执行任务，并提供其简历；(3)确保评估过程中遵守国家法律法规及委托方现场的安全管理规定；(4)对在评估过程中接触到的委托方商业秘密和技术信息承担保密义务；(5)按时提交符合约定的评估报告。3.2委托方的义务：(1)指定[姓名]，职务为[职务]，作为本次评估的接口人，负责沟通协调工作；(2)在评估开始前，提供评估所需的相关文档，包括网络拓扑图、系统架构图、安全策略、应急预案等，并保证其真实性；(3)根据服务商的要求，提供必要的系统访问权限，包括但不限于管理员账户、扫描工具测试环境、访谈对象等；(4)协调内部资源，配合服务商完成现场访谈和测试环境部署；(5)对在评估过程中接触到的服务商的商业秘密和技术信息承担保密义务。第四条费用与支付4.1本协议项下的信息安全评估服务费总额为人民币[具体金额]元（大写：[大写金额]）。4.2费用包含评估过程中产生的所有费用，如人员成本、工具使用费、报告编写费等。4.3支付方式：委托方通过银行转账方式支付。(1)首付款：本协议签订后[具体天数，如5]个工作日内支付总费用的50%，即人民币[具体金额]元；(2)尾款：服务商提交最终正式评估报告并经委托方确认后[具体天数，如5]个工作日内支付剩余的50%，即人民币[具体金额]元。4.4服务商应在收到每一笔款项后，向委托方开具等额的增值税[普通/专用]发票。第五条评估报告与结果5.1评估报告应包括但不限于：执行摘要、评估背景与范围、评估方法、评估过程、发现的安全问题（详细描述、风险等级评估）、风险评估矩阵、改进建议（技术层面和管理层面）等内容。5.2服务商应在约定的日期向委托方交付评估初步报告。委托方在收到初步报告后[具体天数，如5]个工作日内提出书面反馈意见或确认。如无反馈，视为确认。5.3最终正式评估报告将在委托方确认初步报告或评估工作结束后[具体天数，如10]个工作日内提交给委托方。5.4双方将安排时间对评估结果进行沟通讨论，服务商应向委托方解释报告内容和建议。5.5评估报告的知识产权在评估服务费全部付清后归委托方所有。服务商有权在内部存档及履行税务义务的前提下，保留评估报告的副本。第六条保密条款6.1双方确认，在本协议有效期内及协议终止后[具体年限，如三年]内，双方均不得向任何第三方（包括关联公司，但为履行法律法规要求或提供审计目的且已获得对方书面同意的除外）泄露在合作过程中获知的对方的任何保密信息。6.2保密信息包括但不限于：(a)本协议的全部内容；(b)委托方的业务信息、技术秘密、客户数据、财务数据、系统配置、访问权限等；(c)服务商的评估方法、工具、流程、客户信息、技术秘密等；(d)双方讨论的改进建议和解决方案。6.3双方应对保密信息采取不低于保护自身同类保密信息的谨慎程度进行保护，并仅为履行本协议之目的使用保密信息。6.4任何一方因法律规定或有权机关要求披露保密信息时，应在法律允许的范围内尽力提前通知对方，并仅披露法律或有权机关要求的必要部分。第七条违约责任7.1若服务商未能按时提交最终正式评估报告，每逾期一日，应向委托方支付合同总金额[具体百分比，如0.1]%的违约金，但累计违约金不超过合同总金额的[具体百分比，如10]%。逾期超过[具体天数，如30]日，委托方有权解除协议，并要求服务商退还已支付的全部款项并支付相当于合同总金额[具体百分比，如20]%的违约金。7.2若服务商提供的评估服务不符合协议约定的标准和要求，委托方有权要求服务商在[具体天数，如15]个工作日内免费修正或重做，若服务商未能按时修正或重做，或修正后的服务仍不符合约定，委托方有权解除协议，并要求退还已支付的服务费用并赔偿由此造成的直接损失。7.3若委托方未能按时支付服务费用，每逾期一日，应向服务商支付逾期付款金额[具体百分比，如0.1]%的违约金，但累计违约金不超过逾期付款金额的[具体百分比，如10]%。逾期超过[具体天数，如30]日，服务商有权暂停服务或解除协议，并要求委托方支付全部应付费用及违约金。7.4任何一方违反保密义务，给对方造成损失的，应赔偿对方的全部直接损失。第八条协议期限与终止8.1本协议自双方授权代表签字并加盖公章（或合同专用章）之日起生效，有效期为[具体天数或日期]。8.2协议期满前[具体天数，如30]日，如双方无书面异议，本协议自动续展[具体年限，如一年]。8.3发生下列情形之一，守约方有权书面通知违约方解除本协议：(a)一方严重违反本协议约定，经守约方书面催告后[具体天数，如10]日内仍未纠正的；(b)一方进入破产、清算或解散程序的；(c)无法继续履行本协议主要义务的。8.4协议终止或解除后，双方应在[具体天数，如10]个工作日内完成工作交接，包括评估报告、数据备份（如适用）等，并继续履行保密义务。尚未支付的款项按协议约定处理。第九条法律适用与争议解决9.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国大陆地区法律。9.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权将争议提交至[具体仲裁委员会名称]，按照申请仲裁时该会现行有效的仲裁规则进行仲裁。仲裁裁决是终局的，对双方均有约束力。或提交至[具体法院名称，如北京市海淀区人民法院]诉讼解决。第十条其他条款10.1本协议构成双方就本协议主题达成的完整协议，取代之前所有的口头或书面的约定、谅解和承诺。10.2对本协议的任何修改或补充，均须经双方书面签署补充协议后方能生效。补充协议与本协议具有同等法律效力。10.3若本协议任何条款被有管辖权的法院认定为无效或不可执行，该条款的无效或不可执行不影响其他条款的效力。10.4本协议未尽事宜，由双方另行协商签订补