2025年网络安全等级保护测评整改确认协议

2025年网络安全等级保护测评整改确认协议合同编号：__________

第一章总则

第一条本协议由以下双方于2025年[具体日期]在[具体地点]签订：

甲方（委托方）：[此处填写甲方公司全称]

法定代表人：[此处填写甲方法定代表人姓名]

注册地址：[此处填写甲方注册地址]

统一社会信用代码：[此处填写甲方统一社会信用代码]

乙方（测评方）：[此处填写乙方公司全称]

法定代表人：[此处填写乙方法定代表人姓名]

注册地址：[此处填写乙方注册地址]

统一社会信用代码：[此处填写乙方统一社会信用代码]

第二条本协议的目的是确认甲方就其信息系统网络安全等级保护测评整改工作的具体内容，乙方依据国家相关法律法规及标准，对甲方信息系统进行等级保护测评整改确认，以保障甲方信息系统的安全稳定运行。

第三条本协议依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》以及《网络安全等级保护条例》（试行）、《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）等相关法律法规及标准签订。

第四条本协议的签订、履行及争议解决均适用中华人民共和国法律。

第二章测评范围及内容

第五条测评范围

甲方同意将其位于[具体地点]的[具体系统名称]信息系统纳入本次网络安全等级保护测评整改确认范围。该系统主要功能包括[此处填写系统主要功能描述]，服务对象为[此处填写服务对象描述]，系统重要性等级为[此处填写系统重要性等级]。

第六条测评内容

乙方将依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）及相关配套标准，对甲方信息系统进行等级保护测评整改确认，主要内容包括但不限于：

（一）信息系统定级及备案情况；

（二）安全保护制度及措施；

（三）安全技术要求；

（四）安全管理要求；

（五）安全建设与运维；

（六）应急响应能力。

第七条测评方法

乙方将采用现场访谈、文档查阅、技术检测、模拟攻击等多种方法对甲方信息系统进行等级保护测评整改确认，确保测评结果的客观、公正、准确。

第三章甲乙双方的权利义务

第八条甲方的权利义务

（一）甲方有权要求乙方按照本协议约定提供等级保护测评整改确认服务；

（二）甲方有权要求乙方对测评过程中涉及的商业秘密进行保密；

（三）甲方应积极配合乙方开展测评工作，提供必要的文档资料、设备环境等；

（四）甲方应按照本协议约定支付测评费用；

（五）甲方应按照乙方提出的整改建议，及时完成信息系统安全整改工作。

第九条乙方的权利义务

（一）乙方有权要求甲方按照本协议约定提供必要的测评条件；

（二）乙方应按照本协议约定对甲方信息系统进行等级保护测评整改确认，并出具测评报告；

（三）乙方应确保测评过程中涉及的商业秘密得到有效保护；

（四）乙方应按照本协议约定收取测评费用；

（五）乙方应对测评过程中知悉的甲方信息系统技术秘密承担保密义务。

第四章测评过程及结果

第十条测评流程

乙方将按照以下流程对甲方信息系统进行等级保护测评整改确认：

（一）签订测评协议；

（二）组建测评团队；

（三）开展现场调研；

（四）进行文档查阅；

（五）实施技术检测；

（六）模拟攻击测试；

（七）出具测评报告。

第十一条测评报告

乙方应在完成测评工作后[具体天数]内向甲方提交《网络安全等级保护测评报告》。测评报告应包括以下内容：

（一）测评背景及依据；

（二）测评范围及内容；

（三）测评方法及过程；

（四）测评结果及发现的问题；

（五）整改建议及措施。

第十二条测评结果确认

甲方应在收到测评报告后[具体天数]内对测评结果进行确认。如有异议，甲乙双方应进行沟通协商，必要时可邀请第三方机构进行复核。

第五章费用及支付

第十三条测评费用

乙方应根据测评范围及内容，向甲方收取等级保护测评整改确认费用。具体费用标准如下：

（一）基础测评费用：人民币[具体金额]元；

（二）增值服务费用：人民币[具体金额]元。

第十四条支付方式

甲方应在本协议签订后[具体天数]内支付基础测评费用，乙方完成测评工作并提交测评报告后[具体天数]内支付增值服务费用。支付方式为银行转账，甲方应将款项转入乙方指定账户：

开户行：[此处填写乙方开户行名称]

户名：[此处填写乙方户名]

账号：[此处填写乙方账号]

第六章保密条款

第十五条保密义务

甲乙双方应对在本协议签订及履行过程中知悉的对方商业秘密、技术秘密等承担保密义务。未经对方书面同意，任何一方不得向任何第三方泄露。保密期限为本协议终止后[具体年限]年。

第十六条保密例外

本协议所称商业秘密包括但不限于技术信息、经营信息、客户信息、财务信息等。下列信息不属于保密信息：

（一）已进入公共领域的信息；

（二）已向公众公开的信息；

（三）已向第三方披露且已获得对方书面同意的信息；

（四）因法律规定或司法要求必须披露的信息。

第七章违约责任

第十七条违约情形

（一）甲方未按时支付测评费用，每逾期一日，应向乙方支付逾期金额[具体比例]%的违约金；

（二）乙方未按时提交测评报告，每逾期一日，应向甲方支付逾期金额[具体比例]%的违约金；

（三）甲方未按照乙方提出的整改建议完成信息系统安全整改工作，导致信息系统安全事件发生的，应承担相应法律责任；

（四）乙方在测评过程中泄露甲方商业秘密，应赔偿甲方因此遭受的损失。

第十八条违约处理

甲乙双方发生违约行为时，守约方有权要求违约方停止违约行为、赔偿损失。如违约行为严重影响本协议履行，守约方有权解除本协议。

第八章争议解决

第十九条争议解决方式

甲乙双方因本协议引起的或与本协议有关的任何争议，应首先通过友好协商解决。协商不成的，任何一方均可向[具体仲裁委员会名称]申请仲裁，仲裁裁决是终局的，对双方均有约束力。

第二十条争议适用法律

本协议争议解决适用中华人民共和国法律。

第九章协议生效及终止

第二十一条协议生效

本协议自甲乙双方签字盖章之日起生效。

第二十二条协议终止

本协议在以下情形下终止：

（一）双方约定的测评工作完成；

（二）甲乙双方协商一致终止；

（三）因不可抗力导致本协议无法履行。

第二十三条终止后果

本协议终止后，双方应按照本协议约定履行保密义务、结算费用等事宜。本协议终止不影响双方在本协议终止前已产生的权利义务。

第十章其他

第二十四条通知

本协议项下的所有通知均应以书面形式送达至本协议首部载明的地址。一方变更联系方式，应提前[具体天数]书面通知对方。

第二十五条附件

本协议附件为本协议不可分割的一部分，与本协议具有同等法律效力。

第二十六条修改

对本协议的任何修改，均须经甲乙双方书面同意。

第二十七条全部协议

本协议及其附件构成双方就本协议主题达成的全部协议，取代双方此前就此达成的所有口头或书面协议、谅解及承诺。

第二十八条可分割性

本协议任何条款的无效或不可执行，不影响其他条款的效力。

第二十九条法律适用

本协议受中华人民共和国法律管辖并按其解释。

（以下无正文）

###特殊应用场景一：政府机构信息系统安全等级保护

**应用场景说明：**政府机构的信息系统通常涉及国家安全、公共利益等敏感信息，对系统的安全性要求极高。在此场景下，本合同可应用于政府机构的信息系统安全等级保护测评整改工作中，以确保其信息系统符合国家网络安全等级保护制度的要求。

**需要注意的条款及修正：**

1.**第五条测评范围**：需要明确政府机构信息系统的敏感信息等级，并根据《网络安全等级保护条例》的相关规定，确定系统的安全保护等级。

2.**第六条测评内容**：应增加对信息系统安全策略、安全管理制度、安全责任落实等方面的测评内容，确保政府机构信息系统符合国家网络安全等级保护制度的要求。

3.**第十五条保密义务**：需要增加对政府机构信息系统的特殊保密要求，如对敏感信息的保护措施、数据备份与恢复机制等。

###特殊应用场景二：金融机构信息系统安全等级保护

**应用场景说明：**金融机构的信息系统通常涉及大量客户资金和个人信息，对系统的安全性要求极高。在此场景下，本合同可应用于金融机构的信息系统安全等级保护测评整改工作中，以确保其信息系统符合国家网络安全等级保护制度的要求，并保护客户资金和个人信息安全。

**需要注意的条款及修正：**

1.**第五条测评范围**：需要明确金融机构信息系统涉及的客户资金和个人信息类型，并根据《网络安全等级保护条例》的相关规定，确定系统的安全保护等级。

2.**第六条测评内容**：应增加对信息系统安全审计、入侵检测与防御、应急响应等方面的测评内容，确保金融机构信息系统符合国家网络安全等级保护制度的要求，并保护客户资金和个人信息安全。

3.**第十五条保密义务**：需要增加对金融机构信息系统客户资金和个人信息的特殊保密要求，如对敏感信息的加密存储、访问控制等。

###特殊应用场景三：医疗信息系统安全等级保护

**应用场景说明：**医疗信息系统通常涉及患者隐私和医疗数据，对系统的安全性要求极高。在此场景下，本合同可应用于医疗信息系统安全等级保护测评整改工作中，以确保其信息系统符合国家网络安全等级保护制度的要求，并保护患者隐私和医疗数据安全。

**需要注意的条款及修正：**

1.**第五条测评范围**：需要明确医疗信息系统涉及的患者隐私和医疗数据类型，并根据《网络安全等级保护条例》的相关规定，确定系统的安全保护等级。

2.**第六条测评内容**：应增加对信息系统数据加密、访问控制、安全审计等方面的测评内容，确保医疗信息系统符合国家网络安全等级保护制度的要求，并保护患者隐私和医疗数据安全。

3.**第十五条保密义务**：需要增加对医疗信息系统患者隐私和医疗数据的特殊保密要求，如对患者隐私的匿名化处理、医疗数据的备份与恢复机制等。

###特殊应用场景四：教育机构信息系统安全等级保护

**应用场景说明：**教育机构的信息系统通常涉及学生个人信息和学术数据，对系统的安全性要求较高。在此场景下，本合同可应用于教育机构的信息系统安全等级保护测评整改工作中，以确保其信息系统符合国家网络安全等级保护制度的要求，并保护学生个人信息和学术数据安全。

**需要注意的条款及修正：**

1.**第五条测评范围**：需要明确教育机构信息系统涉及的学生个人信息和学术数据类型，并根据《网络安全等级保护条例》的相关规定，确定系统的安全保护等级。

2.**第六条测评内容**：应增加对信息系统身份认证、访问控制、安全审计等方面的测评内容，确保教育机构信息系统符合国家网络安全等级保护制度的要求，并保护学生个人信息和学术数据安全。

3.**第十五条保密义务**：需要增加对教育机构信息系统学生个人信息和学术数据的特殊保密要求，如对学生个人信息的匿名化处理、学术数据的备份与恢复机制等。

###特殊应用场景五：大型企业信息系统安全等级保护

**应用场景说明：**大型企业通常拥有复杂的信息系统，涉及大量商业秘密和客户数据，对系统的安全性要求较高。在此场景下，本合同可应用于大型企业信息系统安全等级保护测评整改工作中，以确保其信息系统符合国家网络安全等级保护制度的要求，并保护商业秘密和客户数据安全。

**需要注意的条款及修正：**

1.**第五条测评范围**：需要明确大型企业信息系统涉及的商业秘密和客户数据类型，并根据《网络安全等级保护条例》的相关规定，确定系统的安全保护等级。

2.**第六条测评内容**：应增加对信息系统数据加密、访问控制、安全审计等方面的测评内容，确保大型企业信息系统符合国家网络安全等级保护制度的要求，并保护商业秘密和客户数据安全。

3.**第十五条保密义务**：需要增加对大型企业信息系统商业秘密和客户数据的特殊保密要求，如对商业秘密的加密存储、客户数据的备份与恢复机制等。

##实际操作过程中遇到的相关问题及注意事项

1.**测评范围界定不清**：在实际操作过程中，可能会遇到测评范围界定不清的问题，导致测评工作无法顺利进行。解决办法是：在签订合同前，应明确测评范围，并详细列出涉及的系统、数据、设备等，确保双方对测评范围有清晰的认识。

2.**测评内容不全面**：在实际操作过程中，可能会遇到测评内容不全面的问题，导致测评结果无法全面反映信息系统的安全性。解决办法是：应根据信息系统的特点和安全要求，制定详细的测评内容，并确保测评内容涵盖所有安全关键点。

3.**保密措施不到位**：在实际操作过程中，可能会遇到保密措施不到位的问题，导致信息泄露。解决办法是：应制定严格的保密措施，并对参与测评的人员进行保密培训，确保信息不被泄露。

4.**整改工作不彻底**：在实际操作过程中，可能会遇到整改工作不彻底的问题，导致信息系统安全性无法得到有效提升。解决办法是：应根据测评结果，制定详细的整改方案，并确保整改工作得到有效落实。

5.**争议解决机制不完善**：在实际操作过程中，可能会遇到争议解决机制不完善的问题，导致争议无法得到有效解决。解决办法是：应制定完善的争议解决机制，并选择合适的争议解决方式，确保争议能够得到及时、公正的解决。

##原始合同所需要的所有详细的附件

1.**《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）**

2.**《网络安全等级保护条例》（试行）**

3.**《中华人民共和国网络安全法》**

4.**《中华人民共和国数据安全法》**

5.**《中华人民共和国个人信息保护法》**

6.**《信息系统安全等级保护测评要求》（GB/T28448-2019）**

7.**《信息系统安全等级保护测评方法》（GB/T28449-2019）**

8.**《信息安全技术网络安全等级保护测评报告编制要求》（GB/T31166-2014）**

9.**《信息安全技术网络安全等级保护测评机构基本要求》（GB/T31167-2014）**

10.**《信息安全技术网络安全等级保护测评人员基本要求》（GB/T31168-2014）**

11.**《信息安全技术网络安全等级保护测评过程指南》（GB/T31169-2014）**

12.**《信息安全技术网络安全等级保护测评工具规范》（GB/T31170-2014）**

13.**《信息安全技术网络安全等级保护测评文档规范》（GB/T31171-2014）**

14.**《信息安全技术网络安全等级保护测评报告格式规范》（GB/T31172-2014）**

15.**《信息安全技术网络安全等级保护测评机构资质评定规范》（GB/T31173-2014）**

16.**《信息安全技术网络安全等级保护测评人员资质评定规范》（GB/T31174-2014）**

17.**《信息安全技术网络安全等级保护测评过程规范》（GB/T31175-2014）**

18.**《信息安全技术网络安全等级保护测评工具规范》（GB/T31176-2014）**

19.**《信息安全技术网络安全等级保护测评文档规范》（GB/T31177-2014）**

20.**《信息安全技术网络安全等级保护测评报告格式规范》（GB/T31178-2014）**

多方为主导时的，附件条款及说明

第五十一条多方主导情形界定

本协议项下可能存在甲方、乙方以及第三方中介等多方参与的情形。本条款旨在明确不同主导方下各方权利义务的调整机制。甲方为主导时，甲方对测评工作的方向、范围及关键节点拥有决策权；乙方为主导时，乙方在专业范围内对测评技术路线、方法及过程管理拥有主导权；存在第三方中介时，第三方中介依据其与甲乙双方签订的协议或约定，在协议授权范围内对测评工作进行协调、监督或提供专业支持。

第五十二条甲方为主导时的特殊条款

第五十二条之一方向性指导权

在测评过程中，甲方有权根据自身业务需求、管理要求及风险承受能力，向乙方提出具有方向性的指导性意见，包括但不限于重点关注的测评领域、需要优先整改的风险点、期望达成的安全目标等。乙方应在专业能力范围内，充分考虑甲方的意见，并调整测评方案或提出针对性的整改建议。甲方对乙方根据其意见调整后的测评方案或整改建议有最终确认权。

第五十二条之二方案审核权

乙方在完成初步测评方案设计后，应向甲方提交方案草案。甲方应在[具体天数]内对方案草案进行审核，并提出书面修改意见。乙方应根据甲方的审核意见，对测评方案进行修订，并再次提交甲方确认。甲方对测评方案的最终确认构成其参与测评过程的重要环节。

第五十二条之三过程监督权

甲方有权对乙方开展的测评工作，特别是现场测评活动，进行必要的监督。甲方可指派内部人员列席乙方组织的测评会议，查阅乙方的工作底稿、测试记录等文档资料。乙方应积极配合甲方的监督活动，提供必要的解释和说明，但有权拒绝甲方不合理或超出协议约定的干预。

第五十二条之四结果评估权

乙方提交的《网络安全等级保护测评报告》初稿，应首先提交甲方审阅。甲方应在收到报告后[具体天数]内，结合自身实际运行情况，对测评报告的客观性、准确性、完整性进行独立评估，并有权提出修改或补充意见。乙方应根据甲方的评估意见，对测评报告进行修改完善，最终版本需经甲方书面确认。甲方的确认不等于对测评结论的绝对认可，但乙方应将甲方的重大异议纳入最终报告的讨论或附件中。

第五十二条之五保密信息特别授权

除本协议另有约定外，基于甲方为主导地位，甲方有权要求乙方对其在测评过程中接触到的、属于甲方核心商业秘密或高度敏感的信息，采取额外的保密措施。乙方承诺严格遵守甲方提出的更高标准的保密要求，并承担因违反该等特别保密要求而给甲方造成的损失。

第五十二条之六分包管理特别审查

若乙方在测评过程中需委托第三方机构进行部分测评工作（分包），除本协议一般性规定外，甲方有权对分包方的资质、能力及拟开展工作的方案进行特别审查，并有权要求乙方提供分包方的保密承诺及履约保证。乙方应向甲方提供分包方的相关资料，并确保分包工作符合本协议的整体要求。

第五十三条乙方为主导时的特殊条款

第五十三条之一专业路线主导权

在测评过程中，乙方依据国家相关标准规范及专业经验，对测评的技术路线、方法选择、测评工具使用及过程管理拥有专业主导权。乙方应确保测评工作的专业性、科学性和规范性，并有权拒绝执行违反相关标准规范或可能影响测评结果公正性的指令。

第五十三条之二方案初步确定权

乙方负责制定详细的测评方案，并在提交甲方审核前，完成内部技术评审，确保方案的合理性和可行性。乙方提交的测评方案草案，虽需经甲方审核，但方案的实质性技术内容以乙方专业判断为基础。

第五十三条之三过程管理权

乙方负责组织和管理整个测评过程，包括组建测评团队、制定详细工作计划、实施现场测评、质量控制等。乙方应定期向甲方汇报测评进展，并根据需要调整工作计划。甲方在行使监督权时，应通过合理途径提出意见，避免过度干预乙方正常的专业操作。

第五十三条之四报告专业性确认

乙方提交的《网络安全等级保护测评报告》，应全面反映测评过程和结果，并符合国家相关标准规范的要求。报告的专业性最终由乙方负责，甲方主要从管理需求和客观性角度进行评估和确认。乙方应确保报告内容专业、客观、准确，并清晰阐述测评发现的问题及整改建议。

第五十三条之五异议处理主导

对于甲方提出的对测评报告的异议，乙方应在收到后[具体天数]内，由项目负责人或指定专家进行核实，并给出专业解释和说明。若双方无法达成一致，乙方应详细记录分歧点，并在最终报告中予以反映或根据协商结果进行调整。

第五十三条之六质量保证责任

乙方对测评工作的最终质量及测评结论的专业性承担全部责任。乙方应建立完善的质量保证体系，确保测评过程符合预定方案，测评结果真实可靠。如因乙方工作失误导致测评结果重大偏差或给甲方造成损失，乙方应承担相应赔偿责任。