浪潮云安全责任协议书

浪潮云安全责任协议书1.甲方（买方/出租方/委托方）：

甲方名称：浪潮集团有限公司（以下简称“甲方”），住所地：山东省济南市高新区浪潮路1号，法定代表人：孙丕恕，联系电话甲方系一家在中国云计算、大数据及领域具有领先地位的高科技企业，致力于为全球客户提供安全、可靠、高效的云计算基础设施及解决方案。甲方在数字化转型过程中，为保障其业务系统的数据安全与系统稳定，需要采购乙方的云安全服务，以符合国家网络安全等级保护制度及行业监管要求。

2.乙方（卖方/承租方/服务提供方）：

乙方名称：浪潮云安全技术有限公司（以下简称“乙方”），住所地：山东省济南市高新区舜华路111号，法定代表人：王飞跃，联系电话乙方系浪潮集团旗下专业从事云计算安全服务的高新技术企业，拥有国家信息安全等级保护三级认证资质，具备丰富的云安全咨询、设计、实施及运维经验。乙方依托浪潮集团的技术实力与资源优势，为各行各业客户提供全方位的云安全解决方案，包括但不限于安全评估、漏洞扫描、安全加固、应急响应等服务。

**协议简介：**

本协议由甲方与乙方于2023年10月26日签订，基于双方在云计算安全领域的专业能力与市场需求，就甲方委托乙方提供云安全服务事宜达成一致。甲方作为数字化转型的重要参与者，其业务系统运行于浪潮云平台，面临日益复杂的网络安全威胁，亟需专业安全服务以提升系统防护能力。乙方作为浪潮集团旗下专业的云安全服务提供商，具备技术、资质及服务经验等多方面优势，能够为甲方提供符合国家法律法规及行业标准的云安全解决方案。双方基于平等、自愿、公平的原则，通过本协议明确双方的权利与义务，确保云安全服务的顺利履行。协议的签订与执行，旨在帮助甲方构建纵深防御体系，有效防范数据泄露、网络攻击等安全风险，保障业务连续性与数据合规性，同时满足监管机构对网络安全等级保护的要求。本协议的履行将依托浪潮云平台的技术基础，结合乙方的专业服务能力，形成“技术+服务”的协同机制，共同维护甲方信息系统的安全稳定运行。

第一条协议目的与范围

本协议的主要目的在于明确甲方委托乙方提供浪潮云安全服务的具体内容与标准，确保乙方依据国家网络安全等级保护制度及相关法律法规的要求，为甲方提供全面、专业的云安全解决方案，提升甲方信息系统抵御网络攻击、数据泄露等安全风险的能力，保障甲方业务连续性与数据资产安全。本协议涉及的云安全服务范围包括但不限于：甲方浪潮云平台基础设施的安全评估、云环境漏洞扫描与渗透测试、安全配置基线核查、安全策略优化建议、安全加固实施、安全事件应急响应与处置、定期的安全状况报告、以及符合等保要求的合规性咨询与指导。具体服务项目与细节将在本协议附件中详细列明。

第二条定义

1.云计算服务：指由乙方基于浪潮云平台向甲方提供的计算、存储、网络及数据库等资源，并支持按需扩展、快速部署的服务模式。

2.云安全服务：指乙方为保障甲方在浪潮云平台上运行的信息系统安全而提供的专业服务，包括但不限于安全评估、漏洞管理、安全防护、应急响应、合规咨询等。

3.安全事件：指在甲方信息系统或云环境中发生的、可能导致或已经导致数据泄露、系统瘫痪、服务中断、数据被篡改等安全威胁或安全影响的异常情况。

4.等级保护测评：指依据国家网络安全等级保护制度要求，对甲方信息系统进行的安全测评活动，包括定级、设计、实施、运维等环节。

5.安全基线：指乙方根据行业最佳实践和国家标准为甲方云环境推荐的安全配置标准，作为安全加固的参考依据。

6.服务报告：指乙方按照约定周期或事件处置完毕后，向甲方提交的关于安全评估结果、漏洞修复情况、安全事件处置报告等书面或电子文档。

第三条双方权利与义务

**1.甲方的权力和义务：**

1.1甲方有权根据本协议约定，要求乙方按照约定的时间、范围和标准提供云安全服务，并有权对乙方的服务过程进行监督与检查。

1.2甲方有权获得乙方提供的服务报告、安全评估结果及应急响应记录等相关文档，并有权要求乙方就服务内容进行解释和说明。

1.3甲方有权要求乙方按照国家网络安全等级保护制度及行业监管要求，协助甲方完成信息系统的定级、备案及测评工作，并有权对测评结果提出异议。

1.4甲方应确保其提供的相关业务系统信息、数据内容真实、准确、完整，并配合乙方开展安全评估、漏洞扫描、应急响应等工作，包括提供必要的访问权限、技术资料及环境支持。

1.5甲方应指定专门的安全管理人员或接口人，负责与乙方就服务事宜进行沟通、协调，及时反馈问题，并确认服务成果。

1.6甲方应按照本协议约定及时向乙方支付服务费用，并承担因自身原因导致的服务延迟或中断所产生的额外成本。

1.7甲方应遵守国家及地方关于网络安全保护的法律法规，并对自身云环境中的数据安全负最终责任。甲方应确保其存储在浪潮云平台上的数据不侵犯任何第三方的合法权益。

1.8甲方应对其提供的用于测试或评估的模拟环境、数据备份等进行严格管理，防止信息泄露或被滥用。

**2.乙方的权力和义务：**

2.1乙方有权按照本协议约定收取服务费用，并有权要求甲方按照约定方式及时足额支付。

2.2乙方应确保其提供的服务团队具备相应的专业资质和经验，服务过程应符合国家网络安全等级保护标准、行业标准及行业最佳实践。

2.3乙方应按照本协议附件中约定的服务内容、服务等级和响应时间要求，为甲方提供专业、及时的云安全服务，包括但不限于：

a)**安全评估服务：**乙方应定期或应甲方要求，对甲方浪潮云环境进行全面的safetyassessment，识别存在的安全风险点，出具详细的安全评估报告，并提出改进建议。乙方应采用业界认可的安全评估工具和方法论，确保评估结果的客观性、准确性和完整性。

b)**漏洞管理服务：**乙方应建立漏洞管理流程，对甲方云环境进行常态化漏洞扫描，及时发现并通报安全漏洞。对于高风险漏洞，乙方应在约定时间内提供修复方案或协助甲方进行修复，并跟踪验证修复效果。乙方应提供漏洞管理平台或工具，供甲方查询和管理漏洞状态。

c)**安全防护服务：**乙方应根据安全评估结果和甲方需求，提供云防火墙、入侵检测/防御系统（IDS/IPS）、Web应用防火墙（WAF）、数据防泄漏（DLP）等安全产品的配置、调优或部署建议，并协助甲方进行实施。乙方应确保其推荐的安全产品符合国家相关标准，并能与浪潮云平台良好集成。

d)**应急响应服务：**乙方应建立安全事件应急响应机制，在发生安全事件时，按照约定级别和流程，为甲方提供快速响应、事件分析、contnment（遏制）、eradication（根除）及recovery（恢复）等支持。乙方应配备专业的应急响应团队，并定期进行应急演练，确保响应能力。

e)**合规咨询服务：**乙方应向甲方提供符合国家网络安全等级保护制度、数据安全法、个人信息保护法等相关法律法规的合规咨询服务，包括协助甲方进行系统定级、安全策略制定、文档编写、测评准备等。

2.4乙方应保证其提供的服务内容、技术方案及人员具备应有的专业能力，并持续关注行业安全动态和技术发展，不断提升服务质量和水平。

2.5乙方应建立服务日志和安全事件处置记录，并按照约定向甲方提交服务报告，报告内容应真实、客观、完整地反映服务情况。

2.6乙方应严格遵守保密义务，对于在服务过程中接触到的甲方商业秘密、技术信息、客户数据等敏感信息，应承担保密责任，未经甲方书面同意，不得向任何第三方泄露。保密义务在本协议终止后仍然有效。

2.7乙方应配合甲方完成监管机构的安全检查或安全测评工作，提供必要的技术支持和文档资料。

2.8乙方应建立完善的客户服务机制，指定专门的服务经理作为甲方的主要联系人，负责处理甲方的咨询、投诉和需求，并及时向乙方内部协调资源解决问题。

2.9在提供服务过程中，如需引入第三方产品或服务（如特定安全工具、咨询顾问等），乙方应事先征得甲方同意，并确保第三方服务符合本协议的服务标准和质量要求，乙方对第三方的行为承担连带责任。

第四条价格与支付条件

4.1本协议项下的云安全服务费用，根据甲方选择的服务项目、服务等级及服务周期，具体金额以本协议附件一《服务清单与费用明细》为准。该费用为固定价格，包含乙方为提供本协议约定的云安全服务所发生的人工成本、技术资源、工具使用费等。

4.2支付方式：甲方应通过银行转账方式将服务费用支付至乙方指定的以下银行账户。

开户名称：浪潮云安全技术有限公司

开户银行：中国工商银行股份有限公司济南高新区支行

银行账号：6222020100112345678

4.3支付时间：

a)对于周期性服务（如年度、半年度、季度安全评估等），首期费用应在服务正式开始前支付；后续各期费用应在上一期服务结束或本期内服务开始前支付。

b)对于非周期性或按次计费的服务（如应急响应、专项咨询等），费用应在服务完成并提交相关报告或成果后[具体天数，例如：十五（15）]个工作日内支付。

c)甲方有权要求乙方提供等额发票，乙方应在收到甲方支付款项后[具体天数，例如：十（10）]个工作日内开具。

4.4付款条件：除本协议另有约定外，所有付款均为净额支付，不包含任何税费。如乙方因提供服务而产生增值税应税行为，应向甲方开具合法有效的增值税专用发票或普通发票，甲方应在收到发票后按约定时间支付相应税款。

第五条履行期限

5.1本协议有效期自[具体日期，例如：2023年10月26日]起至[具体日期，例如：2025年10月25日]止，共计[具体时长，例如：一年（12个月）]。期满前[具体天数，例如：三十（30）]日内，如双方无书面异议，本协议可自动续展[具体时长，例如：一年（12个月）]，续展次数不限/或限[具体次数]次，续展条件由双方另行协商确定。

5.2乙方的服务提供期限：乙方应在本协议生效后[具体天数，例如：三十（30）]日内完成首次全面安全评估；对于周期性服务，应按照协议约定的时间节点持续提供服务，直至本协议终止。

5.3甲方的配合义务履行期限：甲方应在乙方提出需求时，按照约定及时提供必要的访问权限、技术资料或配合进行安全测试、环境准备等，以保证乙方服务的顺利开展。

5.4特殊时间节点：如遇国家网络安全应急响应要求、重大网络安全事件或甲方业务紧急需求，双方应协商确定临时服务的时间节点和优先级。

第六条违约责任

6.1**甲方的违约责任：**

6.1.1甲方未按本协议第四条约定的支付条件按时足额支付服务费用的，每逾期一日，应按逾期支付金额的[具体比例，例如：万分之五（0.05%)]向乙方支付违约金。逾期超过[具体天数，例如：三十（30）]日，乙方有权暂停提供服务，直至甲方付清全部款项及违约金。若甲方仍拒不支付，乙方有权解除本协议，并要求甲方承担由此给乙方造成的一切损失，包括但不限于预期收益损失、服务成本投入等。

6.1.2甲方未能按照乙方合理要求，在约定时间内提供必要的技术配合、访问权限或信息资料，导致乙方服务延迟或无法完成的，甲方应承担相应的责任。因甲方原因造成的延误，乙方服务开始时间相应顺延，由此产生的额外成本由甲方承担。若甲方延误严重影响服务质量和目标达成，乙方有权要求调整服务范围或费用，甚至解除协议，并要求甲方赔偿损失。

6.1.3甲方违反本协议第二条第5款（保密义务）规定，泄露或不正当使用在服务过程中获知的乙方商业秘密或技术信息，应承担违约责任，赔偿乙方因此遭受的全部直接经济损失。若该等泄露或使用给乙方造成商誉损失，甲方亦应承担赔偿责任。

6.2**乙方的违约责任：**

6.2.1乙方未能按照本协议第二条约定的服务内容、标准或响应时间提供服务，导致服务效果未达甲方合理预期的，甲方有权要求乙方在[具体天数，例如：十五（15）]日内采取补救措施，直至达到约定标准。若乙方在合理期限内未能有效补救，或服务严重不符合约定，甲方有权根据实际情况，要求减少相应服务费用或解除本协议。

6.2.2因乙方原因（包括但不限于技术失误、操作不当、服务人员失职等）导致甲方信息系统安全事件恶化、数据泄露、业务中断或遭受其他损失的，乙方应承担赔偿责任。赔偿范围包括但不限于甲方直接的经济损失（如数据恢复费用、业务停机损失、客户赔偿费用等）以及甲方为弥补该等损失所支付的专业服务费用。乙方应首先采取一切必要措施控制损失，并积极配合甲方进行损失评估和索赔。

6.2.3乙方未能按时提交本协议要求的服务报告或未能按约定级别及时响应安全事件的，每逾期一日，应按该次服务费用或事件处置费用总额的[具体比例，例如：千分之一（0.1%)]向甲方支付违约金。逾期超过[具体天数，例如：十（10）]日，甲方有权要求乙方立即纠正，并可根据违约情节严重程度，要求乙方承担[具体比例，例如：一定比例的服务费用，如10%-30%]的违约金。若因乙方持续迟延履行服务义务，导致甲方无法满足第三方（如监管机构）要求或错失最佳处置时机，乙方应承担相应的违约责任。

6.2.4乙方违反本协议第二条第2.6款（保密义务）规定，泄露或不正当使用在服务过程中获知的甲方商业秘密、技术信息或客户数据，应承担违约责任，赔偿甲方因此遭受的全部直接经济损失。若该等违约行为违反法律法规并导致行政处罚或民事诉讼，乙方还应承担相应的行政责任和法律责任，并赔偿甲方因此产生的一切费用。乙方应承担因其违约行为导致甲方声誉受损的赔偿责任。

6.2.5乙方在提供服务过程中，因使用或推荐了存在重大缺陷、不兼容或不符合国家标准的第三方产品或服务，给甲方造成损失的，乙方应承担直接赔偿责任，并应退还甲方已支付的相关费用。

6.3**不可抗力导致的违约：**任何一方因不可抗力（指不能预见、不能避免并不能克服的客观情况，如战争、自然灾害、政府行为等）不能履行或不能完全履行本协议义务的，不承担违约责任，但应在不可抗力发生后[具体天数，例如：五（5）]日内通知对方，并提供相关证明文件。双方应根据不可抗力的影响，协商决定是否延迟履行、部分履行或解除本协议。因不可抗力导致的履行延迟，履行期限相应顺延。

6.4**赔偿限额：**除本协议另有明确规定外，乙方在本协议项下对甲方的全部赔偿责任，以本协议总服务费用的[具体比例，例如：不超过50%]为限。若因乙方严重违约（如故意或重大过失导致甲方核心数据泄露、关键业务长期中断等）造成的损失超出该限额，超出部分甲方有权另行追偿。甲方对乙方的赔偿责任同样适用此限额规定，除非甲方违约行为性质极其恶劣。

6.5**违约金的调整：**双方同意，本协议约定的违约金标准并非最终上限，在特定情形下（如违约行为后果极其严重、造成重大经济损失或恶劣社会影响等），非违约方有权要求违约方承担更高的违约金或相应的损害赔偿。

第七条不可抗力

7.1**定义：**本协议所称不可抗力，是指不能预见、不能避免并不能克服的客观情况，包括但不限于：自然灾害（如地震、洪水、台风、海啸等）、战争、罢工、政府行为（如法律、法规的修订或颁布、行政命令、政策变化等）、流行病疫情、网络攻击（指非因一方过错导致的、影响广泛的、无法控制的网络中断或瘫痪事件）、以及双方在签订本协议时无法预见的其他类似事件。

7.2**影响及后果：**任何一方因不可抗力事件导致无法履行或无法完全履行本协议约定的部分或全部义务时，不承担违约责任。但是，该方应在不可抗力事件发生后[具体天数，例如：七（7）]日内，以书面形式通知对方发生不可抗力事件及其预计持续影响，并提供相关证明材料（如政府部门公告、新闻报道、保险理赔文件等）。

7.3**责任免除：**在不可抗力事件持续期间，受影响一方根据不可抗力事件的影响程度，可以部分或全部延迟履行其在本协议下的义务。延迟履行的时间不应超过不可抗力事件及其影响持续的时间。若不可抗力事件持续超过[具体天数，例如：六十（60）]日，双方应立即协商解决本协议的后续履行问题，包括但不限于修改协议条款或解除协议。因不可抗力导致的履行障碍消除后，受影响一方应尽快恢复履行本协议义务。

7.4**损失承担：**任何一方因不可抗力事件所遭受的直接损失，由该方自行承担。双方均不应因不可抗力事件而向对方主张任何违约责任或赔偿。但是，若不可抗力事件是由一方的原因直接引发或加剧的，该方仍应承担相应的责任。

7.5**协议解除：**若不可抗力事件导致本协议的部分或全部目的无法实现，且该事件在合理期限内（例如[具体天数，例如：六十（60）]日）无法消除，双方均有权单方面解除本协议，且不承担违约责任。解除协议时，乙方应向甲方退还已收取但尚未提供对应服务的费用。双方应就解除协议后的善后事宜（如财产返还、资料移交等）进行协商处理。

第八条争议解决

8.1**协商与调解：**凡因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决；若协商不成，可请求双方共同认可的人民调解委员会进行调解。

8.2**选择方式：**若协商或调解未能解决争议，双方应选择以下第[选择一项并删除其他选项]种方式解决：

a)[诉讼]向甲方所在地有管辖权的人民法院提起诉讼。

b)[仲裁]向[具体仲裁委员会名称，例如：济南仲裁委员会]申请仲裁，按照申请仲裁时该会现行有效的仲裁规则进行仲裁。仲裁裁决是终局的，对双方均有约束力。

8.3**管辖约定（如选择诉讼）：**选择了诉讼方式的，约定如下：凡因本协议引起的或与本协议有关的任何争议，均应提交[选择一项并删除其他选项]人民法院管辖：

a)[甲方所在地法院]山东省济南市人民法院。

b)[乙方所在地法院]山东省济南市高新区人民法院。

c)[合同签订地法院]本协议签订地山东省济南市人民法院。

8.4**法律适用：**本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律（为免疑义，不包括香港特别行政区、澳门特别行政区及台湾地区的法律）。

8.5**专属争议解决：**除非双方另有明确书面约定，针对本协议的任何争议，应通过本条约定的一种方式解决，且该解决方式应是最终性的，任何一方不得就同一争议再向其他法院或仲裁机构提出诉讼或仲裁。在本协议约定的争议解决程序进行期间，双方应暂停就该争议进行任何其他形式的诉讼或仲裁，并应善意合作，提供必要的文件和证据。

第九条其他条款

9.1**通知：**本协议项下的所有通知、请求、要求或其他通信均应以书面形式（包括但不限于专人递送、挂号信、传真、电子邮件）发送至本协议首页载明的地址或联系方式。任何一方变更联系方式，应至少提前[具体天数，例如：十（10）]日以书面形式通知对方。通过电子邮件发送的通知，发出时视为送达；通过专人递送或挂号信发送的通知，寄出后[具体天数，例如：三日（3）]视为送达。以传真发送的通知，发送成功时视为送达，但若对方在收到后[具体天数，例如：四（4）]小时内书面通知未收到，则视为未送达。

9.2**完整协议：**本协议及其附件构成双方就本协议标的事项达成的完整协议，取代双方此前就此达成的所有口头或书面协议、谅解或安排。本协议的任何修改或补充，均应以书面形式作出，并经双方授权代表签字后方能生效。

9.3**可分割性：**若本协议任何条款被有管辖权的法院或仲裁机构认定为无效、非法或不可执行，该条款应被视为从本协议中删除，但本协议的其他条款和附件应继续完全有效。双方应协商一致，以有效的条款替换该无效条款，以达到与原条款尽可能一致的法律效果。

9.4