2026年等保测评协议

2026年等保测评协议

**2026年等保测评协议**

本协议由以下双方于[日期]在[地点]签订：

甲方：[甲方名称]

法定代表人：[甲方法定代表人姓名]

注册地址：[甲方注册地址]

统一社会信用代码：[甲方统一社会信用代码]

乙方：[乙方名称]

法定代表人：[乙方法定代表人姓名]

注册地址：[乙方注册地址]

统一社会信用代码：[乙方统一社会信用代码]

鉴于：

1.甲方根据国家相关法律法规及政策要求，需对其信息系统进行等级保护测评；

2.乙方具备开展等级保护测评的专业资质和能力，同意接受甲方的委托，为其信息系统提供等级保护测评服务。

双方本着平等互利、诚实信用的原则，经友好协商，达成如下协议：

**第一条测评范围及内容**

1.1测评对象：甲方位于[地点]的[系统名称]信息系统。

1.2测评依据：

(1)《中华人民共和国网络安全法》；

(2)《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）；

(3)《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）；

(4)其他相关法律法规和政策要求。

1.3测评内容：

(1)基础设施安全测评；

(2)应用系统安全测评；

(3)数据安全测评；

(4)网络安全测评；

(5)管理制度测评；

(6)其他双方约定的测评内容。

**第二条测评流程**

2.1准备阶段：

(1)乙方与甲方签订本协议；

(2)乙方组建测评团队，并向甲方提供测评方案；

(3)甲方配合乙方开展现场勘查，提供必要的技术文档和测试环境。

2.2实施阶段：

(1)乙方按照测评方案，对甲方信息系统进行现场测评；

(2)乙方对测评过程中发现的安全问题进行记录，并向甲方提交初步测评报告；

(3)甲方对初步测评报告进行审核，提出修改意见；

(4)乙方根据甲方意见，修改测评报告，并提交最终测评报告。

2.3报告阶段：

(1)乙方向甲方提交最终测评报告；

(2)甲方对测评报告进行确认；

(3)乙方根据甲方要求，提供后续的技术支持和咨询服务。

**第三条测评费用及支付方式**

3.1测评费用：

(1)本次测评费用共计人民币[金额]元（大写：[金额大写]）；

(2)测评费用包括但不限于现场勘查费、测评人员劳务费、测评工具使用费、报告编制费等。

3.2支付方式：

(1)合同签订后[天数]日内，甲方支付总费用的[百分比]%作为预付款；

(2)测评报告提交后[天数]日内，甲方支付剩余的[百分比]%作为尾款；

(3)甲方支付费用时，应将款项支付至乙方以下银行账户：

开户行：[开户行名称]

账户名称：[乙方账户名称]

账号：[乙方账号]

**第四条双方权利与义务**

4.1甲方的权利与义务：

(1)有权要求乙方按照协议约定，提供等级保护测评服务；

(2)有权对乙方测评过程进行监督，并提出合理意见；

(3)应配合乙方开展测评工作，提供必要的技术文档和测试环境；

(4)应对测评过程中涉及的商业秘密进行保密；

(5)按照协议约定，及时支付测评费用。

4.2乙方的权利与义务：

(1)有权按照协议约定，收取测评费用；

(2)应按照国家相关法律法规及标准，开展等级保护测评工作；

(3)应组建具备相应资质的测评团队，确保测评质量；

(4)应对测评过程中发现的安全问题，向甲方提出整改建议；

(5)应对测评过程中涉及的商业秘密进行保密；

(6)应按照协议约定，向甲方提交测评报告。

**第五条违约责任**

5.1甲方未按照协议约定支付测评费用的，每逾期一日，应向乙方支付逾期付款金额[利率]%的违约金。

5.2乙方未按照协议约定完成测评工作，或测评报告存在重大错误的，应承担相应的违约责任，并退还甲方已支付的部分或全部费用。

5.3任何一方违反保密义务，应承担相应的违约责任，并赔偿对方因此遭受的损失。

**第六条争议解决**

6.1双方在履行本协议过程中发生争议的，应首先通过友好协商解决。

6.2协商不成的，任何一方均可向[法院名称]提起诉讼。

**第七条其他**

7.1本协议未尽事宜，双方可另行签订补充协议，补充协议与本协议具有同等法律效力。

7.2本协议一式[份数]份，甲方执[份数]份，乙方执[份数]份，具有同等法律效力。

7.3本协议自双方签字盖章之日起生效。

甲方（盖章）：[甲方盖章]

法定代表人（签字）：[甲方法定代表人签字]

日期：[日期]

乙方（盖章）：[乙方盖章]

法定代表人（签字）：[乙方法定代表人签字]

日期：[日期]

**一、所需附件列表**

根据合同文本描述，虽然没有明确列出，但根据协议内容，实际执行过程中通常需要以下附件：

1.**测评方案：**乙方在准备阶段需向甲方提供的详细工作计划，包括测评范围细化、测评方法、时间安排、人员安排等。

2.**测评机构资质证明：**乙方应提供其具备等保测评资质的相关证明文件复印件。

3.**测评人员资质证明：**乙方参与本次测评项目的人员，应提供相应的等级保护测评人员资格证书复印件。

4.**现场勘查记录：**记录现场勘查情况、发现的问题及双方确认的事项。

5.**初步测评报告：**乙方在实施阶段提交，供甲方审核的初步测评结果文档。

6.**最终测评报告：**乙方根据甲方意见修改后，最终提交的符合要求的等级保护测评报告（正本及副本）。

7.**双方沟通确认函/邮件：**对于重要的沟通事项、修改意见等，建议保留书面记录，如确认函或往来邮件。

8.**支付凭证：**甲方支付预付款和尾款的银行转账凭证复印件。

9.**相关法律法规及标准文本列表：**明确指出本次测评依据的具体标准版本，如《GB/T22239-2019》等。

**二、违约行为罗列及认定**

根据合同第五条“违约责任”，可罗列以下主要违约行为及其认定：

1.**甲方违约行为：**

***未按时支付费用：**甲方未按第三条约定的支付时间和金额支付预付款或尾款。

***认定：**根据第五条5.1款，构成违约。逾期支付则需支付违约金（逾期付款金额×利率）。

***未配合测评工作：**甲方未能按照协议约定，提供必要的技术文档、测试环境，或拒绝乙方合理进入现场进行测评。

***认定：**甲方有义务配合（第四条4.3款），若其行为构成实质性阻碍，导致乙方无法按计划完成测评，可视为违约。后果可能包括影响测评进度、甚至无法按时提交报告。

***泄露商业秘密：**甲方在协议履行期间，泄露了从乙方获取或因测评工作知悉的商业秘密。

***认定：**根据第四条4.4款和第五条5.3款，构成违约。需承担保密义务。

2.**乙方违约行为：**

***未按时完成测评/提交报告：**乙方未按第二条约定的流程和时间节点完成测评工作，或未在规定时间内提交最终测评报告。

***认定：**根据第五条5.2款，构成违约。可能需要承担相应责任，如赔偿损失（根据实际情况判断，可能涉及退还部分或全部费用）。

***测评报告存在重大错误或不符合标准：**提交的最终测评报告内容严重失实、遗漏关键测评项、或未依据国家规定标准进行，导致报告无效或需要重大修改。

***认定：**构成违约。表明乙方未能提供合格的服务。需承担相应责任，可能包括修改、重做测评，并根据情况退还部分或全部费用。

***未保持资质或人员资格：**在测评过程中，乙方使用的测评人员不具备相应资质，或乙方自身测评资质过期或被吊销。

***认定：**虽然合同未明确，但这属于严重违约。可能影响测评结果的效力，乙方需承担由此产生的一切责任。

***泄露商业秘密：**乙方及其测评人员在协议履行期间，泄露了从甲方获取或因测评工作知悉的商业秘密。

***认定：**根据第四条4.5款和第五条5.3款，构成违约。需承担保密义务。

**三、法律名词及解释**

1.**等级保护（网络安全等级保护）：**依据《网络安全法》等规定，对在中国境内运营、处理公民个人信息或重要数据的网络和信息系统，按照其重要程度和面临的安全风险等级，分为五个保护级别（一级至五级），并规定相应的安全保护要求。本协议的测评对象即为需要进行等级保护测评的系统。

2.**测评依据：**指开展等级保护测评所遵循的国家标准、法律法规、政策文件等。本协议明确列出了GB/T22239、GB/T28448等作为依据。

3.**测评范围：**指本次等级保护测评所覆盖的具体系统、网络设备、应用软件、数据等的边界和内容。

4.**测评流程：**指完成等级保护测评所应遵循的一系列步骤，包括准备、实施、报告等阶段。

5.**测评费用：**指乙方为完成约定的等级保护测评服务而向甲方收取的费用总额。

6.**预付款/尾款：**指按照协议约定，甲方分阶段支付给乙方的测评费用。

7.**违约责任：**指协议一方当事人不履行协议义务或履行义务不符合约定条件时，依法或依据协议约定应承担的民事责任（如支付违约金、赔偿损失等）。

8.**商业秘密：**指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。本协议中特指双方在合作过程中获悉的对方未公开的重要信息。

9.**争议解决：**指协议双方在履行协议过程中发生分歧或纠纷时，解决这些争议的途径和方法（如协商、调解、仲裁、诉讼）。

10.**补充协议：**指对原协议内容进行修改或增加的书面协议，与原协议具有同等法律效力。

**四、实际执行过程中可能遇到的问题及注意事项及解决办法**

1.**问题：甲方配合度低，不提供必要信息或环境。**

***注意事项：**甲方可能因内部流程、安全顾虑或部门间协调问题，延迟提供资料或拒绝访问。

***解决办法：**

*协议中明确约定甲方的配合义务（第四条4.3款）。

*测评前进行充分沟通，解释测评的必要性、范围和甲方配合的重要性。

*协助甲方梳理所需资料清单，提供标准化模板。

*如遇障碍，及时书面沟通，明确指出对测评进度的影响，并要求甲方限期解决。若甲方无正当理由拒不配合，乙方有权暂停或终止服务，并依据协议处理。

2.**问题：测评范围界定不清或发生变化。**

***注意事项：**甲方系统可能存在边界模糊、集成度高、或项目实施中系统发生变更。

***解决办法：**

*协议签订前，投入足够时间进行现场勘查和需求沟通，共同明确详细的测评范围。

*将范围明确写入附件“测评方案”。

*协议中约定，如因甲方原因导致范围变更，可能产生额外费用，并需签订补充协议。

3.**问题：测评过程中发现的安全问题过于敏感，甲方不愿接受。**

***注意事项：**甲方可能担心问题披露影响声誉、业务连续性或引发监管处罚。

***解决办法：**

*测评报告中对问题的描述应客观、专业，侧重于技术层面和合规性要求。

*强调整改是满足国家法规要求，有助于提升整体安全水平。

*提供分阶段整改建议，允许甲方根据自身情况逐步实施。

*在沟通中，采取建设性态度，帮助甲方理解风险，而非指责。

4.**问题：乙方测评人员变动或资质问题影响测评质量。**

***注意事项：**乙方可能临时更换核心人员，或参与测评的人员资格不足。

***解决办法：**

*乙方在签订协议前，应确保有足够且具备相应资质的测评资源。

*协议中可约定，如因乙方原因导致人员重大变动或资质问题，影响测评结果有效性，乙方应承担责任。

*及时通知甲方人员变动情况，并说明对测评的影响及应对措施。

5.**问题：双方对测评结果或报告内容存在争议。**

***注意事项：**甲乙双方可能对测评发现的问题严重性、整改建议的合理性等存在不同看法。

***解决办法：**

*在提交最终报告前，预留充分的沟通审核时间（第二条第2.4款）。

*鼓励双方基于事实和标准进行友好协商。

*如协商不成，可引入第三方专家进行咨询判断，或按照协议约定的争议解决方式处理。

6.**问题：商业秘密泄露风险。**

***注意事项：**双方接触大量敏感信息，存在无意或有意泄露的风险。

***解决办法：**

*协议中明确双方的保密义务（第四条4.4款,4.5款；第五条5.3款）。

*乙方应加强对测评人员的管理和培训，签订保密协议。

*在测评现场，采取必要的物理隔离、访问控制等措施。

*双方均应建立内部信息安全管理制度，规范信息处理流程。

**五、合同适用的所有场景**

本合同“2026年等保测评协议”主要适用于以下场景：

1.**所有需要进行网络安全等级保护测评的中华人民共和国境内组织或单位：**无论其属于政府部门、事业单位、国有企业还是民营企业。

2.**已定级系统需要进行年度测评或等级调整测评的场景：**等级保护要求系统需定期（通常每年）进行测评以持续符合要求。

3.**新部署系统或系统升级后需要进行等保测评的场景：**确保新系统或变更后的系统满足相应的安全保护级别要求。

4.**因业务发展、系统变更等原因，需要重新评估系统安全等级和进行测评的场景：**系统重要程度或面临的风险发生变化时。

5.**需要进行等保测评但缺乏内部技术能力或资源，需要委托第三方服务机构完成场景：**企业将测评任务外包给具备专业资质的测评机构。

6.**为满足合规性要求（如《网络安全法》）、获得业务许可或通过第三方审计等目的而进行等保测评的场景。**

**一、特殊应用场合及应增加的条款**

除了常规的等保测评，以下是一些特殊应用场合，以及针对这些场合应增加的条款：

1.**场合：关键信息基础设施（CII）系统的等保测评**

***说明：**CII系统的安全要求远高于一般信息系统，测评标准更严格，且需满足国家关于关键信息基础设施保护的特殊规定。

***应增加条款：**

***条款：CII特殊要求符合性声明与责任**

***内容：**明确双方确认本次测评将严格遵守《关键信息基础设施安全保护条例》及相关的CII安全保护标准（如信安标委发布的系列标准）。乙方承诺其测评流程和技术符合CII测评的特殊要求。甲方确认其系统已按CII要求进行建设和部署。如因甲方系统未满足CII特定要求导致测评困难或测评结果受限，甲方需承担相应责任。双方共同对测评结果的CII合规性负责。

***条款：高层沟通机制（可选）**

***内容：**如涉及CII且风险等级高，可约定在必要时，双方各自指定高级别联系人（如部门负责人或更高层级），用于协调解决复杂问题或沟通重大风险。

***条款：应急响应联动（可选）**

***内容：**约定在测评过程中发现重大高危漏洞或潜在重大安全事件时，双方应急响应团队的沟通机制和协作流程。

2.**场合：涉及大量个人信息或重要数据的系统测评**

***说明：**此类系统除了满足等保基本要求，还需严格遵守《个人信息保护法》、《数据安全法》等法规，测评时需关注数据分类分级、合规性评估等。

***应增加条款：**

***条款：数据安全与个人信息保护特殊要求**

***内容：**明确测评范围不仅包括系统本身，也包括其处理的数据（特别是个人信息和重要数据）。乙方在测评中需特别关注数据收集、存储、使用、传输、销毁等环节是否符合数据安全法和个人信息保护法的要求。甲方需提供数据分类分级情况及相关的合规证明材料（如隐私政策、数据保护影响评估等）。双方承诺对涉及的个人身份信息等敏感数据进行严格保密。

***条款：数据脱敏与隐私保护措施**

***内容：**约定在测评过程中需要测试数据访问或分析功能的，甲方应提供脱敏处理后的数据集供乙方使用，或乙方在测评环境中采取严格的隐私保护措施（如访问控制、数据加密、匿名化处理），确保个人信息不被泄露。

3.**场合：系统集成商或开发商对其自研/自建系统进行测评，以证明合规性**

***说明：**此类场景下，甲方既是系统拥有者，也是系统开发者，可能需要测评结果用于对外展示、市场推广或满足特定客户要求。

***应增加条款：**

***条款：测评结果的使用范围与声明限制**

***内容：**明确乙方提供的最终测评报告的使用权归甲方所有，但甲方在对外引用或宣传测评结果时，必须获得乙方的书面同意，并确保引用内容准确、完整，不得断章取义或进行虚假宣传。明确声明测评结果是乙方基于现场测评得出的独立意见，不构成对甲方系统未来稳定运行或特定功能的绝对保证。

***条款：源代码或设计文档的提供（可选）**

***内容：**如乙方测评需要，可约定甲方有义务在合理范围内向乙方提供必要的源代码片段或设计文档，以支持更深入的安全分析，但需明确提供范围、方式和保密责任。

4.**场合：大型集团企业对其下属多家单位或复杂系统的集中测评**

***说明：**涉及多个独立的运营单元或复杂的网络拓扑，测评工作量大，协调难度高。

***应增加条款：**

***条款：子范围划分与协同机制**

***内容：**允许甲方根据其组织架构，将庞大的测评项目划分为若干个子范围，分别进行。明确各子范围之间的接口和依赖关系。约定甲方需指定总协调人及各子范围的接口人，负责沟通协调和信息传递。乙方需指派项目经理负责整体协调，并与甲方接口人保持密切沟通。

***条款：分阶段报告与验收**

***内容：**对于划分的子范围，可约定分阶段提交测评报告和进行验收，便于及时发现问题和管理风险。

5.**场合：测评服务包含安全加固或整改咨询服务**

***说明：**甲方不仅需要测评结果，还希望乙方能提供具体的整改建议，甚至协助实施整改。

***应增加条款：**

***条款：整改建议的可行性与协助范围**

***内容：**明确乙方提供的整改建议应基于测评发现的问题，并考虑甲方的技术能力和实际环境。如约定乙方提供整改方案设计服务，需明确其工作范围（如仅提供文档方案、配置指导等）和费用（通常另行协商）。明确乙方不负责提供现场实施服务，除非另行签订服务合同。

***条款：整改效果复测**

***内容：**如甲方根据乙方建议进行了整改，并希望乙方验证整改效果，可约定乙方提供有偿的整改效果复测服务，并明确复测范围、流程和费用。

**二、附件条款补充**

1.**当有第三方介入时，需要增加的第三方的款项（责权利）及具体内容（可作为附件或协议补充条款）**

***场景描述：**可能存在云服务商、系统集成商、数据提供方等其他参与方，其行为或系统状态会影响测评结果。

***附件条款：第三方参与方的协同与责任**

***内容：**

***识别与信息提供：**甲方应向乙方提供所有可能影响测评的第三方参与方的相关信息（如名称、联系方式、涉及的系统或数据范围）。如乙方测评需要，甲方有义务请求或协助第三方参与方配合提供必要的技术信息或访问权限。

***乙方测评权限：**乙方在获得甲方授权后，有权依据协议约定，对涉及第三方组件或服务的部分，在其可及范围内进行必要的测评活动（如配置检查、接口测试、数据流分析等）。

***第三方责任界定（说明性）：**明确指出，对于第三方提供的产品、服务或其行为导致的安全问题，其责任归属按相关合同或法律法规处理。本协议的测评结果仅反映在测评范围内甲方控制部分及乙方测评所及的第三方部分的安全状况。乙方不保证测评结果涵盖所有第三方相关风险。

***沟通协调：**约定当乙方发现需要第三方参与方配合才能解决的问题时，甲方负责协调乙方与第三方之间的沟通。双方均有义务配合解决因第三方原因引发的测评障碍。

***（可选）第三方费用：**如因获取第三方访问权限、获取第三方提供的数据分析报告等产生费用，约定该费用的承担方。例如：“如因测评需要必须获取第三方服务接口访问权限且该权限由第三方收费，相关费用由甲方承担。”

2.**当以上合同是以甲方为主导时，需要额外增加的甲方主动性（责权利）合同条款及具体内容**

***场景描述：**甲方在测评过程中希望拥有更大的控制权，或希望甲方主动承担某些责任以推动项目。

***条款：甲方主动配合与决策**

***内容：**

***指定主接口人：**甲方需指定一名主接口人负责与乙方所有相关事宜的沟通、协调和决策。乙方所有通知和请求应首先通过该接口人。

***内部审批流程配合：**如甲方内部有关于安全测评结果的审批流程，甲方应提前告知乙方所需时间，并积极配合提供所需文件。

***主动问题沟通：**甲方应在发现其系统内部可能影响测评的问题，或收到乙方关于其系统内部配置疑问时，主动、及时地与乙方沟通确认。

***资源保障承诺：**甲方承诺将为测评工作提供必要的内部资源支持（如临时测试环境、必要的人员配合等），并保证不会因甲方内部资源调配问题导致测评延误。

***决策责任：**对于测评报告中提出的整改建议，甲方拥有最终采纳与否的决策权，但需在约定时间内（如报告提交后[天数]日内）给予乙方明确反馈。甲方对其决策及其后果负责。

3.**当以上合同是以乙方为主导时，需要额外增加的乙方主动性（责权利）合同条款及具体内容**

***场景描述：**乙方希望在协议中明确其主导权，并要求甲方配合其工作模式。

***条款：乙方测评方案主导与甲方配合**

***内容：**

***测评方案主导权：**乙方在综合现场勘查和甲方需求后，主导制定详细的测评方案，并提交甲方确认。甲方应在收到方案后[天数]日内提出书面意见，逾期未提出视为同意。

***测评计划执行主导：**乙方根据确认的方案制定具体的测评工作计划，并主导按计划推进实施阶段工作。甲方需按计划配合提供所需条件。

***专业意见主导：**对于测评中发现的问题和提出的整改建议，乙方可基于专业判断提出初步意见，主导技术层面的讨论。甲方应以专业态度听取意见，如有不同看法可提出具体技术依据，共同探讨。

***乙方报告质量承诺：**乙方承诺将严格遵守国家测评标准，独立、客观、公正地开展测评工作，并保证提交的最终报告质量。

***甲方配合义务细化：**再次强调或细化甲方在测评各阶段的具体配合义务，如提供准确的系统拓扑图、配置清单、人员权限列表、配合进行访谈等。

**三、特殊应用场景下需要额外增加的特殊条款及注意事项**

***针对上述特殊场合1（CII系统）：**

***特殊条款：**如前所述的“CII特殊要求符合性声明与责任”、“高层沟通机制（可选）”。

***注意事项：**CII测评通常由官方指定的测评机构承担，若非强制要求，企业可能自行选择第三方机构。若选择非官方机构，需特别关注其资质和报告的权威性。CII系统的复杂性要求双方投入更高水平的专业能力和更充分的沟通。

***针对上述特殊场合2（个人敏感信息）：**

***特殊条款：**如前所述的“数据安全与个人信息保护特殊要求”、“数据脱敏与隐私保护措施”。

***注意事项：**处理个人敏感信息时，法律风险极高。甲方需确保其处理行为完全合规，并做好充分的法律风险评估。乙方测评人员需经过严格的保密和合规培训。涉及大规模或核心敏感信息的系统，建议聘请同时具备等保和数据合规资质的机构。

***针对上述特殊场合3（系统集成商自测）：**

***特殊条款：**如前所述的“测评结果的使用范围与声明限制”。

***注意事项：**自测结果对外使用风险较高，极易因结果与实际不符或引用不当引发法律纠纷。系统集成商应谨慎使用自测报告，或考虑通过独立的第三方测评机构进行验证性测评，以增强报告的可信度。

***针对上述特殊场合4（大型集团）：**

***特殊条款：**如前所述的“子范围划分与协同机制”、“分阶段报告与验收”。

***注意事项：**集团项目管理复杂度高，沟通成本大。甲方需指定强有力的项目协调人，并建立有效的内部沟通机制。乙方需具备丰富的集团级项目管理经验，能够适应多层级、多部门的沟通模式。

***针对上述特殊场合5（包含加固咨询）：**

***特殊条款：**如前所述的“整改建议的可行性与协助范围”、“整改效果复测”。

***注意事项：**从测评到加固咨询再到效果验证，是一个完整的服务链条。需明确各阶段的目标、范围、费用和责任。甲方应确保有能力和资源执行整改方案。乙方提供的咨询建议的质量直接影响整改效果。

**四、原始合同所需要的所有的详细的附件列表（更新版）**

基于原始需求和新增内容，更新后的附件列表应包括：

1.**测评方案**

2.**乙方资质证明文件（复印件）**

3.**参与本次测评项目乙方人员资质证明（复印件）**

4.**现场勘查记录**（或勘查报告）

5.**初步测评报告**

6.**最终测评报告**（正本及副本）

7.**双方沟通确认函/邮件**（重要事项的书面记录）

8.**支付凭证**（复印件）

9.**相关法律法规及标准文本列表**（明确依据的具体版本）

10.**（如适用）CII特殊要求符合性声明**（针对CII场景）

11.**（如适用）数据安全与个人信息保护特殊要求确认函**（针对涉及大量敏感数据的场景）

12.**（如适用）子范围划分说明**（针对大型集团场景）

13.**（如适用）第三方参与方的协同与责任说明/协议**（当有第三方介入时）

14.**（如适用）甲方主动配合与决策承诺函**（当甲方主导性要求高时）

15.**（如适用）乙方测评方案主导与甲方配合确认函**（当乙方主导性要求高时）

16.**（如适用）整改方案设计文档**（如包含加固咨询服务）

17.**（如适用）整改效果复测报告**（如约定了复测）

**五、原始合同所涉及到的法律名词及名词解释（更新版）**

1.**等级保护（网络安全等级保护）：**依据《中华人民共和国网络安全法》等相关法律法规，对在中国境内运营、处理公民个人信息或重要数据的网络和信息系统，按照其重要程度和面临的安全风险等级（分为一级至五级），实施分级别安全保护和管理的一项基本制度。

2.**测评依据：**指开展等级保护测评所遵循的国家标准、法律法规、政策文件等规范性文件。例如，《信息安全技术网络安全等级保护基本要求》（GB/T22239）、《信息安全技术网络安全等级保护测评要求》（GB/T28448）、《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等。

3.**测评范围：**指本次等级保护测评所明确界定的具体系统、网络设备、应用软件、数据资产等的边界和测评对象。

4.**测评流程：**指完成等级保护测评所应遵循的标准化步骤，通常包括准备阶段、实施阶段、报告阶段等。

5.**测评费用：**指乙方为完成约定的等级保护测评服务而向甲方收取的全部费用，通常包括人力成本、工具使用费、报告编制费等。

6.**预付款/尾款：**指按照协议约定，甲方分阶段支付给乙方的测评费用，通常预付款在协议签订后支付，尾款在报告提交后支付。

7.**违约责任：**指协议一方当事人不履行协议义务或履行义务不符合约定条件时，依法或依据协议约定应承担的民事责任，如支付违约金、赔偿损失等。

8.**商业秘密：**指不为公众所知悉、具有商业价值并经权利人采取保密措施的技术信息和经营信息。在等保测评中，通常指双方在合作过程中接触到的对方未公开的技术细节、系统配置、业务流程、数据信息等。

9.**争议解决：**指协议双方在履行协议过程中发生分歧或纠纷时，解决这些争议的途径和方法，如协商、调解、仲裁或诉讼。

10.**补充协议：**指对原协议内容进行修改、补充或约定的书面文件，与原协议具有同等法律效力，需经双方协商一致并签字盖章。

11.**关键信息基础设施（CII）：**指在中华人民共和国境内，因支撑国计民生、重要国防工业、尖端科技研发等，一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、公共安全、经济安全、社会稳定或公共利益的基础性网络和信息系统。

12.**个人信息：**指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

13.**重要数据：**指核心数据、敏感个人信息等具有较高价值或风险的数据。

14.**数据安全法：**《中华人民共和国数据安全法》，旨在保障数据安全，促进数据要素市场化配置，规范数据活动，保护公民、法人和其他组织的合法权益，维护国家安全和社会公共利益。

15.**网络安全法：**《中华人民共和国网络安全法》，旨在维护网络空间主权、安全和发展利益，保障网络空间活动安全，保护公民、法人和其他组织的合法权益，维护社会公共利益和国家安全。

**六、本合同在实际操作过程中，会遇到的相关问题及注意事项进行罗列，并给出具体的解决办法**

1.**问题：甲方系统边界模糊，难以界定测评范围。**

***注意事项：**范围不清会导致后续工作混乱、费用增加或测评结果不全面。

***解决办法：**协议签订前投入足够时间进行深入沟通和现场勘查。可先进行小范围试点测评，再逐步扩大范围。将最终确认的详细范围写入“测评方案”附件。

2.**问题：甲方配合不及时或消极，提供资料不全，影响测评进度。**

***注意事项：**甲方配合度直接影响测评效率和结果。

***解决办法：**协议中明确甲方的配合义务和责任。测评前详细沟通，明确所需资料清单和要求。过程中及时