等保信息安全承诺协议书

等保信息安全承诺协议书1.甲方（买方/出租方/委托方）：

甲方名称：XX科技有限公司（以下简称“甲方”），地址位于中国XX省XX市XX区XX路XX号，法定代表人/负责人为张三，联系方式甲方是一家从事信息技术研发、软件开发及网络安全服务的企业，具备国家信息系统安全等级保护（以下简称“等保”）三级资质，致力于为金融机构、政府机构及大型企业提供高标准的网络安全解决方案。为保障合作项目的信息安全，甲方根据国家相关法律法规及行业规范，委托乙方提供等保合规咨询服务，并就相关事项达成如下协议。

甲方在本次合作中主要需求为：通过乙方的专业服务，完成对甲方现有信息系统进行等保三级合规性评估，并提供整改方案，确保甲方系统符合国家网络安全等级保护标准，避免因安全漏洞导致的法律风险及经济损失。甲方将依据协议约定，向乙方支付相应的服务费用，并配合乙方完成相关评估及整改工作。

乙方在接受甲方委托后，将组建专业团队，依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）等国家标准，对甲方信息系统进行全面的安全评估，并出具合规性报告。同时，乙方将提供定制化的整改方案，协助甲方完成系统加固，确保其达到等保三级要求。甲乙双方的合作将基于平等、自愿、公平的原则，通过双方的共同努力，实现信息安全合规目标，为甲方业务稳定运行提供保障。

2.乙方（卖方/承租方/服务提供方）：

乙方名称：XX信息安全咨询服务有限公司（以下简称“乙方”），地址位于中国XX省XX市XX区XX路XX号，法定代表人/负责人为王五，联系方式乙方是一家专注于网络安全等级保护咨询服务的高新技术企业，拥有国家等保三级咨询服务资质，服务团队由多名具备CISSP、CISP等职业认证的专业人士组成，长期为银行、保险、能源等行业客户提供安全合规解决方案。

乙方在本次合作中承诺：根据甲方的需求，按照国家等保三级标准及协议约定，提供全面的信息安全评估、整改方案及持续运维服务。乙方将确保评估工作的客观性、公正性，并采用业界主流的安全评估工具及方法论，全面覆盖系统安全、应用安全、数据安全、物理安全等维度。乙方将全程配合甲方，提供专业的技术指导，确保甲方信息系统在规定时间内完成合规整改，并通过国家等保三级测评机构的验收。

甲乙双方基于长期合作需求及行业专业优势，通过友好协商达成合作意向。甲方作为信息系统所有者及运营者，对信息安全合规具有高度要求；乙方作为专业等保咨询服务机构，具备丰富的行业经验和技术实力。双方基于此背景，就等保合规咨询服务事宜签订本协议，以明确双方权利义务，确保合作项目的顺利实施。本协议的履行将有助于甲方提升信息系统安全防护能力，符合国家网络安全法律法规要求，同时降低潜在的安全风险，保障业务连续性。双方将以本协议为依据，共同推进信息安全等级保护工作，实现互利共赢的合作目标。

第一条协议目的与范围

本协议的主要目的是明确甲乙双方在信息系统网络安全等级保护（以下简称“等保”）三级合规咨询服务项目中的权利与义务，确保乙方能够依据国家相关法律法规及标准（包括但不限于《信息安全技术网络安全等级保护基本要求》GB/T22239-2019等），为甲方提供全面、专业的等保合规评估、整改方案及咨询服务，帮助甲方实现信息系统安全等级保护三级要求，提升信息安全防护能力，降低安全风险。本协议涉及的具体内容包括但不限于：

1.乙方对甲方信息系统进行等保三级现状符合性评估，包括定性与定量分析，输出详细的安全评估报告；

2.乙方根据评估结果，为甲方提供定制化的等保三级整改方案，涵盖技术、管理、物理等多个层面；

3.乙方协助甲方完成整改方案的实施，提供技术指导与支持；

4.乙方配合甲方完成等保三级测评机构的现场测评工作；

5.乙方在协议期内及后续约定时间内，为甲方提供等保相关的持续咨询与运维支持服务；

6.双方就项目进展、问题解决、费用支付等事项进行沟通与协调。

第二条定义

本协议中下列词语和术语具有以下含义：

1.“等保”或“网络安全等级保护”：指国家网络安全等级保护制度，依据《网络安全法》及相关国家标准、行业规范，对在中国境内运营、处理个人信息和重要数据的网络和信息系统进行安全保护工作的强制性要求。

2.“等保三级”：指根据《信息安全技术网络安全等级保护基本要求》，信息系统安全保护等级划分为五级，其中三级适用于关系国计民生、重要性较高的信息系统，本协议项下的服务等级即为达到三级标准。

3.“信息系统”：指由硬件、软件、网络设备、数据资源、人员、管理流程等组成的，用于收集、存储、处理、传输数据的，具有明确边界和功能的系统或系统集合。

4.“安全评估”：指依据等保标准，对信息系统安全保护状况进行的符合性检查、风险分析和技术测评活动。

5.“整改方案”：指根据安全评估结果，针对发现的安全问题，提出的改进措施、技术方案和管理建议。

6.“合规”：指信息系统满足国家网络安全等级保护相关法律法规、标准和规范的要求。

7.“服务费用”：指乙方根据本协议约定向甲方提供等保咨询服务所应收取的费用。

8.“协议期限”：指本协议约定的有效时间，自双方签字盖章之日起至约定服务完成并验收合格之日止。

9.“不可抗力”：指不能预见、不能避免并不能克服的客观情况，包括但不限于自然灾害、战争、政府行为、法律政策变化等。

第三条双方权利与义务

**1.甲方的权力和义务：**

1.1权力：

1.1.1甲方有权要求乙方按照本协议约定，在规定时间内完成等保三级安全评估工作，并有权对乙方提供的服务内容、进度及质量进行监督和检查。

1.1.2甲方有权根据实际情况和业务需求，对等保整改方案提出合理化建议，并要求乙方在符合等保标准的前提下进行优化调整。

1.1.3甲方有权要求乙方提供项目相关的技术文档、报告、方案等资料，并有权在协议框架内使用这些资料用于自身信息安全建设。

1.1.4甲方有权在乙方服务存在重大缺陷、不符合协议约定或导致甲方安全利益受损时，要求乙方立即采取补救措施，并有权根据协议约定追究乙方的违约责任。

1.1.5甲方有权在协议履行完毕且验收合格后，按照约定支付服务费用。

1.2义务：

1.2.1甲方应向乙方提供开展等保评估工作所必需的必要条件，包括但不限于：提供系统架构、网络拓扑、安全策略文档、配置信息、测试环境访问权限、相关人员的配合等，并保证所提供资料的真实性、准确性和完整性。

1.2.2甲方应指定专门的项目接口人，负责与乙方就项目事宜进行沟通协调，及时反馈乙方提出的问题，并积极配合乙方完成现场勘查、访谈、测试等工作。

1.2.3甲方应按照本协议约定，及时审核乙方提交的阶段性成果（如评估报告初稿、整改方案等），并在合理时间内（具体时限由双方协商确定，例如收到后5个工作日内）提出书面意见，逾期未提出意见的视为认可。

1.2.4甲方应按照本协议“价格与支付条件”条款的约定，按时足额支付服务费用，逾期支付应承担相应的违约责任。

1.2.5甲方应确保其信息系统在协议履行期间，遵守国家及行业关于信息安全的法律法规，并配合乙方完成整改工作，甲方因自身原因未能按要求完成整改导致的问题，乙方不承担责任。

1.2.6甲方应保障乙方项目团队成员在提供服务期间的人身安全及工作环境，并提供必要的办公设施及协助。

**2.乙方的权力和义务：**

2.1权力：

2.1.1乙方有权要求甲方按照本协议约定，提供开展等保咨询服务所需的信息系统相关资料、环境及配合，甲方应予以保障。

2.1.2乙方有权按照等保三级标准及行业最佳实践，独立、客观、公正地开展安全评估工作，并有权根据评估结果提出整改意见。

2.1.3乙方有权要求甲方就评估报告及整改方案进行确认，并有权根据甲方的合理反馈进行方案优化（优化范围以不降低原定合规性为前提）。

2.1.4乙方有权按照本协议“价格与支付条件”条款的约定，向甲方收取服务费用。

2.1.5乙方有权要求甲方在整改过程中提供必要的技术支持与资源投入，以确保整改方案的顺利实施。

2.1.6乙方有权在甲方违反本协议约定，特别是未能提供必要配合或虚假信息，严重影响服务进度和质量时，暂停服务并要求甲方纠正，甚至解除协议并要求赔偿损失。

2.2义务：

2.2.1乙方应组建具备相应资质和经验的专业团队负责本项目，确保项目成员熟悉等保三级标准及相关技术。

2.2.2乙方应按照本协议约定的范围和内容，在协议期限内，依据国家等保三级标准、相关法律法规及行业规范，对甲方信息系统进行全面、细致的安全评估，评估工作应覆盖物理环境、网络通信、系统运行、应用开发、数据保护、安全管理等各个方面。

2.2.3乙方应确保安全评估报告的专业性、准确性和客观性，详细列出现存的安全风险点、不符合项，并提供具有可操作性的整改建议。评估报告应清晰阐述评估依据、方法、过程及结论。

2.2.4乙方应根据安全评估结果，为甲方量身定制等保三级整改方案，方案应明确整改目标、实施步骤、技术要求、时间节点、责任分工及预期效果，并充分考虑甲方的业务需求和实际可行性。

2.2.5乙方应积极协助甲方完成整改方案的落地实施，包括提供技术指导、配置建议、漏洞修复支持、安全设备选型建议等，并可根据甲方的需求提供培训，帮助甲方相关人员掌握安全运维技能。

2.2.6乙方应配合甲方准备等保测评所需材料，并指派经验丰富的专业人员参与现场测评工作，提供必要的技术支持，协助甲方顺利完成测评机构的现场检查和测评报告的撰写。

2.2.7乙方应向甲方提供完整的项目服务文档，包括但不限于：安全评估报告、整改方案、会议纪要、沟通记录、培训材料、测试记录等，并确保文档的规范性和可追溯性。

2.2.8乙方承诺在提供服务过程中，严格遵守保密义务，对甲方提供的信息系统数据、技术秘密、商业信息等承担保密责任，未经甲方书面同意，不得向任何第三方泄露。保密期限不因协议终止而解除。

2.2.9乙方应保证其提供的技术方案和产品符合国家相关标准，并基于当前业界主流的最佳实践，努力确保甲方信息系统整改后能够稳定运行并达到等保三级要求。

2.2.10乙方应在协议约定的时间内完成各项服务内容，如遇特殊情况可能延迟，应提前与甲方沟通协商，并征得甲方同意。

2.2.11乙方应建立服务质量管理体系，定期对服务质量进行评估和改进，确保持续为客户提供高质量的服务。

第四条价格与支付条件

1.服务费用：经双方协商一致，乙方提供本协议约定的等保咨询服务费用总额为人民币叁拾伍万元整（￥350,000.00元）。该费用包含但不限于等保三级现状符合性评估、整改方案设计、技术指导、配合测评等全部服务内容。

2.费用构成（可选，如需细化可在此列出，如评估费、方案费、实施指导费等，若不列则总包价模式）。

3.支付方式：甲方应通过银行转账方式将服务费用支付至乙方指定账户。乙方指定账户信息如下：

开户行：XX银行XX支行

户名：XX信息安全咨询服务有限公司

账号：XXXXXXXXXXXXXXXX

4.支付时间：

4.1预付款：本协议签订生效后7个工作日内，甲方向乙方支付服务费用总额的30%，即人民币壹拾伍万元整（￥150,000.00元），作为项目预付款。

4.2进度款：乙方完成等保三级安全评估报告初稿，经甲方审核确认后10个工作日内，甲方向乙方支付服务费用总额的40%，即人民币拾肆万元整（￥140,000.00元）。

4.3尾款：乙方协助甲方完成等保三级测评机构现场测评工作，甲方收到测评机构出具的等保三级测评报告且项目验收合格后30个工作日内，甲方向乙方支付服务费用总额的30%，即人民币壹拾壹万元整（￥110,000.00元）。

5.费用调整：如因甲方需求变更、项目范围扩大或国家政策、收费标准调整等非乙方原因导致服务工作量显著增加，经双方书面确认，可对服务费用进行相应调整。调整后的费用应在不违反本协议基本原则的前提下协商确定。

第五条履行期限

1.协议有效期：本协议自双方签字盖章之日起生效，有效期为自协议签订之日起12个月，即至XXXX年XX月XX日止。如协议履行完毕，本协议自动终止。

2.项目关键时间节点：

2.1项目启动：本协议生效后10个工作日内，甲乙双方正式召开项目启动会，明确项目细节。

2.2现场评估：项目启动会后15个工作日内，乙方完成对甲方信息系统的初步现场勘查，并进入全面评估阶段。

2.3评估报告初稿提交：自项目启动会之日起45个工作日内，乙方提交等保三级安全评估报告初稿供甲方审核。

2.4评估报告定稿及整改方案提交：甲方完成对评估报告初稿的审核并提出反馈意见后，乙方在15个工作日内完成报告修改并提交最终评估报告及初步整改方案。

2.5整改方案确认：甲方在收到最终评估报告及整改方案后20个工作日内完成确认或提出最终修改意见。

2.6整改实施与支持：自整改方案确认之日起60个工作日内，乙方提供技术支持协助甲方完成主要整改工作。

2.7测评配合：乙方在甲方完成整改后，积极配合甲方准备材料，并在收到甲方测评申请后30个工作日内，指派人员参与测评机构的现场测评工作。

2.8项目验收：乙方协助甲方通过等保三级测评机构现场测评后，双方根据测评结果和项目完成情况，在15个工作日内共同完成项目验收。

3.期限顺延：如遇不可抗力因素、甲方原因（如未能及时提供必要信息或资源）、或经双方协商一致同意延期等情况，导致任何关键时间节点无法按时完成，履行期限相应顺延。因乙方原因导致关键时间节点延误的，乙方应承担违约责任。

第六条违约责任

1.甲方违约责任：

1.1甲方未按本协议第四条约定的支付时间足额支付服务费用的，每逾期一日，应按逾期支付金额的千分之一向乙方支付违约金，逾期超过30日，乙方有权暂停服务，并要求甲方一次性付清全部款项及违约金。逾期超过60日，乙方有权单方解除协议，并要求甲方支付已完成服务的80%服务费作为违约赔偿，若已完成服务价值低于总服务费用的50%，则按50%计算，同时甲方还应承担乙方因此遭受的损失。

1.2甲方未能按本协议第二条约定的义务，及时提供必要资料、环境、配合或人员，导致乙方无法按计划开展服务或延误项目进度，甲方应承担因此造成的延误责任，并赔偿乙方因此直接产生的额外成本（如差旅费、人员窝工费等）。若延误超过30个工作日，乙方有权根据实际情况调整项目计划，并要求甲方支付相应延期服务费。

1.3甲方在评估报告或整改方案确认过程中，无正当理由逾期未提出书面意见，视为对该报告或方案的认可。若甲方后续以未充分评估或方案不当为由否定已确认的内容，并要求乙方重新工作，除非能证明乙方存在欺诈或重大过失，否则甲方应承担由此给乙方造成的损失。

1.4甲方违反本协议第二条2.2.8款关于保密义务的约定，泄露乙方提供的技术信息或商业秘密，给乙方造成损失的，应承担全部赔偿责任，赔偿金额不低于乙方因此遭受的直接经济损失，且甲方应承担相应的法律责任。

2.乙方违约责任：

2.1乙方未能按本协议第五条约定的履行期限完成任何关键服务节点（如评估报告、整改方案、整改支持、测评配合等），每逾期一日，应按当期应付未付款项的千分之一向甲方支付违约金。逾期超过30个工作日，甲方有权根据延误情况，要求乙方采取加速措施赶工，由此产生的额外费用由乙方承担。逾期超过60个工作日，甲方有权单方解除协议，乙方应退还甲方已支付但尚未提供相应服务的费用（按已完成工作的比例折算），并按已支付费用的50%向甲方支付违约金。

2.2乙方提供的安全评估报告内容存在重大错误、遗漏，或整改方案明显不符合等保三级标准、不具有可操作性，经甲方指出后未能及时有效纠正，或整改方案经确认后实施效果未达预期，导致甲方未能通过等保测评或面临安全责任追究的，乙方应承担相应责任。若因乙方报告或方案的重大缺陷直接导致甲方损失的，乙方应在其收取的服务费用范围内承担赔偿责任，若损失超过该费用，甲方仍有权另行索赔。

2.3乙方在提供服务过程中，违反本协议第二条2.2.8款关于保密义务的约定，泄露甲方商业秘密或敏感信息，给甲方造成损失的，应承担全部赔偿责任，赔偿金额不低于甲方因此遭受的直接经济损失，且乙方应承担相应的法律责任。

2.4乙方指派的服务人员不符合协议约定的资质或能力要求，或因乙方人员工作失误给甲方信息系统造成损害的，乙方应负责修复并承担由此产生的全部费用，同时应按该失误导致甲方直接损失的金额，向甲方支付等额赔偿金。

3.解除协议后果：任何一方单方解除本协议，除本协议另有约定外，应向对方支付相当于总服务费用20%的违约金。若违约金不足以弥补守约方损失的，守约方有权要求进一步赔偿。

4.不可抗力：因不可抗力导致协议无法履行的，双方互不承担违约责任，但应及时通知对方，并提供相关证明文件，协商决定是否延期履行、部分履行或解除协议。不可抗力影响消除后，应继续履行协议。

第七条不可抗力

1.定义：本协议所称不可抗力，是指不能预见、不能避免并不能克服的客观情况，包括但不限于：自然灾害（如地震、台风、洪水、海啸等）、战争、动乱、恐怖袭击、政府行为（如法律、法规、规章的修订或调整、行政命令等）、流行病疫情、网络攻击或重大技术故障（非因乙方服务不当引起）以及其他类似无法预见、不能避免并不能克服的事件。

2.通知与证明：任何一方因不可抗力不能履行或不能完全履行本协议义务时，应在不可抗力事件发生后7日内书面通知对方，说明不可抗力事件的情况、可能的影响以及预计持续的时间。通知后，应在合理期限内（不超过30日）向对方提供不可抗力事件发生及影响情况的有效证明文件（如政府公告、新闻报道、出险证明等）。

3.责任免除：因不可抗力导致任何一方无法履行或无法完全履行本协议项下义务的，受影响方不承担违约责任，但应在合理范围内采取必要措施减少损失。双方应根据不可抗力事件的影响，协商决定是否延期履行、部分履行或解除本协议。若不可抗力事件持续超过30日，双方仍有权解除本协议，已发生的服务费用根据实际履行情况按比例结算，多支付部分应予以退还。

4.持续影响：若不可抗力事件消除后，仍需较长时间才能恢复履行协议能力，双方应再次协商，根据实际情况调整协议相关条款或解除协议。

5.不可免除的责任：因不可抗力导致一方违反保密义务或造成对方财产损失的，该方仍应承担相应的赔偿责任。双方应尽到合理的谨慎义务，尽量避免或减少不可抗力事件带来的负面影响。

第八条争议解决

1.争议解决原则：凡因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商的方式解决；协商不成的，应提交仲裁或诉讼。

2.仲裁方式：若选择仲裁，双方应将争议提交至中国国际经济贸易仲裁委员会（CIETAC），按照申请仲裁时该会现行有效的仲裁规则进行仲裁。仲裁地点为甲方所在地（或双方协商一致的其他地点）。仲裁裁决是终局的，对双方均有约束力。仲裁语言为中文。

3.诉讼方式：若选择诉讼，双方应将争议提交至有管辖权的人民法院诉讼解决。管辖法院的选择以下列之一确定：甲方所在地人民法院；乙方所在地人民法院；协议履行地人民法院。双方应书面选择其中一个法院作为管辖法院。诉讼应使用中文进行。

4.争议起算：本协议所称的“争议”包括但不限于双方在履行本协议过程中产生的任何分歧、索赔、诉讼或仲裁。

5.争议期间履约：在争议解决期间，除争议直接涉及的条款外，双方均应继续履行本协议中未受争议影响的其他条款和义务，任何一方不得因此停止履行。任何一方违反此约定的行为，不影响其主张权利的权利。

第九条其他条款

1.通知：本协议项下的所有通知、请求、要求或其他通信均应以书面形式（包括但不限于信函、传真、电子邮件）发送至本协议首页载明的地址或联系方式。任何一方变更联系方式，应提前7日书面通知对方。通过电子邮件发送的，发出时视为送达；通过快递