2026年等级保护测评合同

2026年等级保护测评合同

**2026年等级保护测评合同**

本合同由以下双方于2026年1月1日在中国北京市签订：

甲方（委托方）：[甲方名称]

法定代表人：[甲方法定代表人姓名]

注册地址：[甲方注册地址]

联系电话：[甲方联系电话]

电子邮箱：[甲方电子邮箱]

乙方（服务方）：[乙方名称]

法定代表人：[乙方法定代表人姓名]

注册地址：[乙方注册地址]

联系电话：[乙方联系电话]

电子邮箱：[乙方电子邮箱]

鉴于甲方希望对自身信息系统进行等级保护测评，以符合国家相关法律法规及行业监管要求；乙方具备相应的资质和技术能力，能够提供等级保护测评服务。双方经友好协商，达成如下协议：

###第一部分：服务内容与范围

####1.1测评对象

甲方委托乙方对以下信息系统进行等级保护测评：

1.信息系统名称：[信息系统名称1]

等级保护级别：[等级保护级别1]

所在地点：[信息系统所在地点1]

主要功能：[信息系统主要功能1]

2.信息系统名称：[信息系统名称2]

等级保护级别：[等级保护级别2]

所在地点：[信息系统所在地点2]

主要功能：[信息系统主要功能2]

（注：如有更多信息系统，可在此处逐项列明）

####1.2测评范围

乙方将根据国家网络安全等级保护2.0标准及相关法律法规，对甲方的信息系统进行全面测评，具体包括但不限于以下内容：

**1.2.1基础测评**

-**安全管理**：包括组织机构、人员安全管理、系统建设管理、系统运维管理、应急响应机制等。

-甲方需提供组织架构图、人员职责说明、管理制度文件等资料。

-**安全技术**：包括物理环境安全、网络通信安全、区域边界安全、计算环境安全等。

-甲方需配合乙方进行现场勘查，提供机房环境、网络拓扑图、设备清单等技术文档。

-**安全管理测评**：包括安全策略、安全制度、安全操作流程等。

-甲方需提供相关管理制度及执行记录。

**1.2.2技术测评**

-**物理环境安全测评**：包括机房环境、供配电系统、消防系统、门禁系统等。

-**网络通信安全测评**：包括网络边界防护、通信传输安全、网络设备安全配置等。

-**计算环境安全测评**：包括服务器安全、操作系统安全、数据库安全、应用系统安全等。

-乙方将采用漏洞扫描、渗透测试、配置核查等技术手段进行测评。

-**数据安全测评**：包括数据备份、数据恢复、数据加密等。

-甲方需提供数据管理相关制度及操作记录。

**1.2.3应急响应测评**

-测试甲方的应急响应预案是否完备，实际操作是否可行。

-乙方将模拟安全事件，评估甲方的应急响应能力。

####1.3测评方法

乙方将采用以下方法进行测评：

-**文档审查**：审查甲方提供的安全管理制度、操作流程等文档。

-**现场勘查**：对信息系统进行现场检查，核实物理环境、网络设备、计算设备等。

-**技术检测**：采用漏洞扫描、渗透测试、配置核查等技术手段进行测评。

-**模拟演练**：模拟安全事件，测试甲方的应急响应能力。

###第二部分：服务期限与费用

####2.1服务期限

乙方应在收到甲方全部必要资料及测评费用后，于2026年3月1日前完成全部测评工作。如有特殊情况需延期，双方应协商一致。

####2.2测评费用

本次测评费用共计人民币[具体金额]元（大写：[具体金额大写]），具体包括：

-**基础测评费用**：人民币[金额]元。

-**技术测评费用**：人民币[金额]元。

-**应急响应测评费用**：人民币[金额]元。

-**报告编写费用**：人民币[金额]元。

-**税费**：人民币[金额]元。

甲方应在签订本合同后3个工作日内支付总费用的50%，即人民币[金额]元；测评工作完成后支付剩余50%，即人民币[金额]元。

####2.3付款方式

甲方应通过银行转账方式支付测评费用至乙方指定账户：

账户名称：[乙方账户名称]

开户银行：[乙方开户银行]

银行账号：[乙方银行账号]

###第三部分：双方权利与义务

####3.1甲方权利与义务

-**提供资料**：甲方应按照乙方要求，及时提供相关文档及资料，并保证资料的真实性、完整性。

-**配合测评**：甲方应配合乙方进行现场勘查、技术检测、模拟演练等工作，确保测评顺利进行。

-**保密义务**：甲方应对测评过程中涉及的商业秘密及敏感信息进行保密，未经乙方同意不得泄露。

####3.2乙方权利与义务

-**按约服务**：乙方应按照合同约定，按时完成测评工作，并保证测评质量。

-**报告交付**：乙方应在测评完成后10个工作日内，向甲方交付测评报告。

-**保密义务**：乙方应对测评过程中涉及甲方的商业秘密及敏感信息进行保密，未经甲方同意不得泄露。

###第四部分：违约责任

####4.1甲方违约责任

-如甲方未按时支付测评费用，每逾期一日，应向乙方支付逾期金额的千分之五作为违约金。

-如甲方未按时提供必要资料或配合测评，导致测评工作延误，乙方有权顺延服务期限，并要求甲方承担相应损失。

####4.2乙方违约责任

-如乙方未按时完成测评工作，每逾期一日，应向甲方支付合同总金额的千分之五作为违约金。

-如乙方测评报告存在重大错误，导致甲方遭受损失，乙方应承担相应赔偿责任。

###第五部分：争议解决

双方在履行本合同过程中发生争议，应协商解决；协商不成的，任何一方均可向乙方所在地人民法院提起诉讼。

###第六部分：合同生效

本合同自双方签字盖章之日起生效，有效期为自2026年1月1日至2026年12月31日。

**甲方（盖章）：**[甲方盖章]

法定代表人（签字）：[甲方法定代表人签字]

日期：2026年1月1日

**乙方（盖章）：**[乙方盖章]

法定代表人（签字）：[乙方法定代表人签字]

日期：2026年1月1日

**2026年等级保护测评合同**

甲方（委托方）：[甲方公司全称]

法定代表人：[甲方法定代表人姓名]

注册地址：[甲方注册地址]

联系电话：[甲方联系电话]

电子邮箱：[甲方电子邮箱]

乙方（服务方）：[乙方公司全称]

法定代表人：[乙方法定代表人姓名]

注册地址：[乙方注册地址]

联系电话：[乙方联系电话]

电子邮箱：[乙方电子邮箱]

鉴于甲方根据国家网络安全等级保护2.0标准及相关法律法规，需要对自身运营的信息系统进行等级保护测评，以确保信息系统安全稳定运行，并满足监管要求；乙方具备相应的资质和技术能力，能够提供专业的等级保护测评服务。双方经友好协商，达成如下协议：

###第一部分：服务内容与范围

####1.1测评对象

甲方委托乙方对以下信息系统进行等级保护测评：

1.**信息系统名称**：[甲方信息系统名称1]

-**等级保护级别**：[例如：三级]

-**系统重要性**：[例如：核心系统/重要系统]

-**主要功能**：[例如：客户关系管理、财务核算等]

-**部署地点**：[例如：甲方总部数据中心/分支机构]

-**网络拓扑简述**：[例如：包含核心交换机、防火墙、服务器等设备]

2.**信息系统名称**：[甲方信息系统名称2]

-**等级保护级别**：[例如：二级]

-**系统重要性**：[例如：重要系统/一般系统]

-**主要功能**：[例如：办公自动化系统、人力资源系统等]

-**部署地点**：[例如：甲方各部门分散部署]

-**网络拓扑简述**：[例如：通过VPN接入总部系统]

（注：如有更多信息系统需测评，可在此处逐项补充）

####1.2测评范围

乙方将依据《信息安全技术网络安全等级保护2.0》（GB/T22239-2019）标准及相关法律法规，对甲方的信息系统进行全面、系统的等级保护测评。具体测评范围包括但不限于以下几个方面：

**1.2.1安全管理测评**

甲方需配合乙方提供以下资料，并确保资料的真实性和完整性：

-**组织架构图**：包括安全组织架构、岗位职责说明等。

-**安全管理制度**：如《信息安全管理办法》《密码管理制度》《应急响应预案》等。

-**人员管理记录**：包括人员背景审查、安全意识培训记录等。

-**系统建设与运维管理**：如系统建设方案、运维日志、变更管理记录等。

-**应急响应管理**：包括应急响应预案、演练记录、事件处置报告等。

**1.2.2技术测评**

技术测评将覆盖信息系统全生命周期，包括物理环境、网络通信、计算环境、应用系统、数据安全等方面，具体内容如下：

-**物理环境安全测评**

-机房环境检查：包括温湿度、消防系统、门禁控制等。

-设备运行状态：服务器、网络设备、存储设备等是否正常运行。

-供配电系统：UPS、备用电源等是否满足要求。

-**网络通信安全测评**

-网络边界防护：防火墙、入侵检测/防御系统（IDS/IPS）配置及日志分析。

-通信传输安全：VPN加密、数据传输是否满足等级保护要求。

-网络设备安全：交换机、路由器等设备配置是否符合安全基线。

-**计算环境安全测评**

-**服务器安全**：操作系统版本、补丁更新、安全配置核查。

-**数据库安全**：数据库访问控制、数据加密、备份恢复测试。

-**应用系统安全**：Web应用漏洞扫描、SQL注入、跨站脚本（XSS）测试。

-**终端安全**：防病毒软件部署情况、补丁管理、移动存储介质管理。

-**数据安全测评**

-敏感数据识别：如个人身份信息（PII）、财务数据等。

-数据加密情况：传输加密、存储加密是否满足要求。

-数据备份与恢复：备份策略是否合理，恢复流程是否可行。

-**应急响应测评**

-模拟安全事件：如钓鱼邮件攻击、勒索病毒测试，评估甲方响应效果。

-应急处置能力：测试事件记录、分析、处置的完整性和有效性。

####1.3测评方法

乙方将采用以下方法开展测评工作：

1.**文档审查**：详细审查甲方提供的安全管理制度、操作流程等资料，评估合规性。

2.**现场勘查**：到甲方现场核查物理环境、网络设备、计算设备等，验证实际配置。

3.**技术检测**：

-**漏洞扫描**：使用专业工具扫描信息系统漏洞，评估风险等级。

-**渗透测试**：模拟黑客攻击，测试系统是否存在可利用漏洞。

-**配置核查**：对照安全基线标准，核查系统配置是否合规。

4.**模拟演练**：设计典型安全事件，测试甲方的应急响应流程。

###第二部分：服务期限与费用

####2.1服务期限

乙方应在收到甲方全部必要资料及测评预付款后，于2026年3月31日前完成全部测评工作。具体进度安排如下：

-**资料收集与确认**：2026年1月31日前完成。

-**现场测评**：2026年2月15日前完成。

-**报告编写与评审**：2026年3月15日前完成初稿，2026年3月31日前交付最终报告。

如因甲方原因（如资料提供延迟、配合度不足）或不可抗力因素导致延期，双方应协商调整服务期限。

####2.2测评费用

本次测评总费用为人民币[具体金额]元（大写：[金额大写]），具体费用构成如下：

-**基础测评费用**（含文档审查、现场勘查）：人民币[金额]元。

-**技术测评费用**（含漏洞扫描、渗透测试、配置核查）：人民币[金额]元。

-**应急响应测评费用**：人民币[金额]元。

-**报告编写与交付费用**：人民币[金额]元。

-**税费**：人民币[金额]元。

**费用支付方式**：

1.**预付款**：合同签订后3个工作日内，甲方支付总费用的50%，即人民币[金额]元。

2.**尾款**：测评工作完成且报告交付后10个工作日内，甲方支付剩余50%，即人民币[金额]元。

####2.3付款方式

甲方应通过银行转账方式支付测评费用至乙方指定账户：

-账户名称：[乙方账户名称]

-开户银行：[乙方开户银行]

-银行账号：[乙方银行账号]

乙方应在收到款项后提供正规发票。

###第三部分：双方权利与义务

####3.1甲方的权利与义务

1.**配合义务**：

-及时提供合同约定的资料，并保证资料真实性。

-安排专人配合乙方开展现场测评、技术检测等工作。

-如发现测评过程中涉及甲方敏感信息，有权要求乙方保密。

2.**保密义务**：

-对测评过程中获知的乙方技术方案、测评方法等商业信息保密。

-测评报告涉及甲方敏感内容时，可要求乙方脱敏处理。

3.**费用支付**：

-按合同约定及时支付测评费用，逾期支付需承担违约责任。

####3.2乙方的权利与义务

1.**按约服务**：

-严格按照合同约定的时间、范围完成测评工作。

-测评报告需经双方确认或根据甲方要求进行调整。

2.**质量保证**：

-测评过程需符合国家相关标准，测评结果客观公正。

-对测评报告负责，如因报告错误导致甲方损失，乙方需承担相应责任。

3.**保密义务**：

-对测评过程中获知的甲方商业秘密、技术信息严格保密。

-未经甲方同意，不得向第三方泄露测评结果。

###第四部分：违约责任

####4.1甲方的违约责任

-**延迟付款**：每逾期一日，按逾期金额的千分之五支付违约金，逾期超过30日，乙方有权暂停服务或解除合同。

-**不配合测评**：因甲方原因导致测评工作延误，乙方服务期限相应顺延，且甲方需承担乙方因此产生的额外成本。

####4.2乙方的违约责任

-**延迟交付报告**：每逾期一日，按合同总金额的千分之五支付违约金，但最长不超过合同总金额的10%。

-**测评报告重大错误**：如因乙方测评疏忽导致报告错误，并由此给甲方造成直接经济损失，乙方需承担赔偿责任。

###第五部分：争议解决

双方在履行本合同过程中发生争议，应友好协商解决；协商不成的，任何一方均可向乙方所在地人民法院提起诉讼。

###第六部分：合同生效

本合同自双方签字盖章之日起生效，有效期为自2026年1月1日至2026年12月31日。如合同到期后双方仍有合作需求，可另行协商续签。

**甲方（盖章）：**[甲方公司盖章]

法定代表人（签字）：[甲方法定代表人签字]

日期：2026年1月1日

**乙方（盖章）：**[乙方公司盖章]

法定代表人（签字）：[乙方法定代表人签字]

日期：2026年1月1日

**2026年等级保护测评合同**

（续）

###第七部分：不可抗力

1.**定义**：不可抗力是指双方不能预见、不能避免并不能克服的客观情况，包括但不限于自然灾害（如地震、洪水、台风）、战争、政府行为（如法律变更、政策调整）、疫情等。

2.**通知义务**：如一方遭遇不可抗力事件，应在事件发生后7个工作日内书面通知对方，并提供相关证明材料。

3.**后果处理**：

-因不可抗力导致合同无法履行或延迟履行的，受影响方可部分或全部免除责任，但需采取措施减少损失。

-如不可抗力持续超过30日，双方可协商解除合同，并互不承担违约责任。

###第八部分：知识产权

1.**测评报告归属**：测评报告的知识产权归乙方所有，但甲方有权在自身信息系统安全建设中使用该报告。

2.**第三方软件**：乙方在测评过程中使用的专业软件（如漏洞扫描工具、渗透测试框架）均为乙方合法拥有或有权使用，甲方不得复制或传播。

###第九部分：保密条款

1.**保密内容**：双方应对在合同履行过程中知悉的对方商业秘密、技术信息、客户数据等采取严格保密措施，未经对方书面同意不得泄露。

2.**保密期限**：保密义务自合同签订之日起生效，并在合同终止后持续[具体年限，如：3]年。

3.**例外情况**：如法律法规要求披露或向司法机关提供，可在履行法定程序后披露，但需提前通知对方。

###第十部分：合同变更

1.**书面形式**：对本合同的任何修改或补充，均需以书面形式进行，并由双方签字盖章后生效。

2.**效力优先**：书面变更内容优于合同原条款。

###第十一部分：合同解除

1.**提前解除**：经双方协商一致，可提前解除本合同。

2.**单方解除条件**：

-一方严重违约（如延迟付款超过30日、泄露对方商业秘密），守约方有权书面通知解除合同，并要求赔偿损失。

-一方进入破产、清算程序，合同自动解除。

###第十二部分：通知与送达

1.**通知方式**：双方所有正式通知均需通过书面形式（纸质信函或电子邮件）发送至本合同