2026年度渗透测试托管协议书

2026年度渗透测试托管协议书甲方（委托方公司）：乙方（服务方公司）：鉴于甲方需要对自身网络系统进行安全评估，以提高网络安全防护能力，乙方具备专业渗透测试技术，双方经友好协商，达成如下协议：第一条合同标的1.1服务内容：乙方将为甲方提供2026年度的渗透测试托管服务，包括但不限于定期对甲方网络系统进行安全评估、缺陷扫描、安全咨询、应急响应等。1.2服务标准：乙方将按照国家相关标准和行业最佳实践进行渗透测试，确保服务质量。1.3服务数量：乙方将在本合同有效期内，为甲方提供至少四次全面渗透测试服务。1.4服务单价：渗透测试服务单价为人民币壹万元整（￥10,000.00）。1.5合同总价：本合同总价为人民币肆拾万元整（￥400,000.00）。第二条权利义务条款2.1甲方义务：2.1.1甲方应提供乙方进行渗透测试所需的必要网络访问权限和相关信息。2.1.2甲方应在乙方进行渗透测试时，保证网络系统的正常运行。2.1.3甲方应配合乙方进行安全咨询和应急响应工作。2.1.4甲方应在乙方发现缺陷后，及时采取措施进行修复。2.1.5甲方应在乙方提出安全改进建议时，予以充分考虑。2.2乙方义务：2.2.1乙方应按照本合同约定，为甲方提供高质量的渗透测试服务。2.2.2乙方应在合同约定的期限内完成渗透测试任务。2.2.3乙方应向甲方提供详细的渗透测试报告，包括测试过程、发现的安全缺陷、风险评估和修复建议。2.2.4乙方应遵守国家相关法律法规和行业标准，保护甲方网络系统的安全。2.2.5乙方应保证在合同期限内，对甲方网络系统进行定期安全检查。2.3验收：2.3.1甲方应在乙方完成渗透测试后5个工作日内完成验收。2.3.2逾期视为验收合格。2.4费用支付：2.4.1甲方应在合同签订后10个工作日内支付50%的服务费用，剩余50%的费用在乙方完成渗透测试后5个工作日内支付。2.4.2甲方逾期支付费用的，每日按应支付金额的千分之五支付违约金。第三条违约责任3.1乙方未能按合同约定完成渗透测试任务的，应向甲方支付合同总价10%的违约金。3.2乙方在渗透测试过程中外泄甲方商业秘密的，应承担相应的法律责任。3.3甲方未能按合同约定支付费用的，应向乙方支付合同总价10%的违约金。第四条争议解决4.1双方因履行本合同发生的争议，应首先通过友好协商解决；协商不成的，任何一方均有权向乙方所在地人民法院提起诉讼。第五条合同期限、生效条件、份数5.1本合同自双方签字盖章之日起生效，有效期为一年。5.2本合同一式两份，甲乙双方各执一份。第六条其他6.1本合同未尽事宜，由双方另行协商解决。6.2本合同附件为本合同的有效组成部分，与本合同具有同等法律效力。甲方（委托方公司）：乙方（服务方公司）：签订日期：第七条技术报告与成果7.1乙方在完成渗透测试任务后，应在5个工作日内向甲方提交详细的渗透测试报告，包括但不限于测试范围、测试方法、发现的安全缺陷、风险评估以及修复建议等。7.2报告中应包含至少10个具体的安全缺陷，其中至少3个为高严重级别缺陷。例如，2022年3月，乙方在为ABC科技有限公司进行渗透测试时，成功发现了3个高严重级别缺陷，包括SQL注入、跨站脚本冲击和权限提升缺陷，这些缺陷若被恶意利用，可能导致公司数据外泄和业务中断。7.3乙方应协助甲方制定修复方案，并在甲方完成修复后，进行复测以确保缺陷已被有效修复。第八条保密条款8.1双方对本合同内容以及在进行渗透测试过程中获取的甲方商业秘密负有保密义务，未经对方同意，不得向任何第三方外泄。8.2乙方在合同履行过程中，如因工作需要，需将甲方信息告知第三方，应事先征得甲方同意，并签订保密协议。8.3违反保密义务的一方，应承担相应的法律责任，并赔偿对方因此遭受的损失。第九条法律适用与争议解决9.1本合同适用中华人民共和国法律。9.3诉讼过程中产生的费用，由败诉方承担。第十条附则10.1本合同未尽事宜，由双方另行协商解决。10.2本合同附件为本合同的有效组成部分，与本合同具有同等法律效力。10.3本合同一式两份，甲乙双方各执一份。签订日期：第十条附则（续）10.4在执行渗透测试过程中，乙方需遵守国家网络安全法律法规，确保测试行为合法合规，不得进行任何形式的非法侵入、获取、修改信息等违法行为。10.5甲方需为乙方提供必要的测试环境和权限，包括但不限于测试账户、测试设备等。若因甲方原因导致测试无法进行，乙方有权要求甲方在规定时间内提供所需资源。10.6本合同自双方签字盖章之日起生效，有效期为一年。合同到期前一个月，如双方无异议，可协商续签。10.7在合同有效期内，如遇以下情况，甲方有权终止合同：（1）乙方在测试过程中严重违反合同约定，给甲方造成重大损失；（2）乙方不具备完成渗透测试的能力，严重影响甲方网络安全；（3）甲方因业务调整，需终止本合同。10.8本合同签订后，如因不可抗力导致合同无法履行，双方互不承担责任，并应协商解决合同后续事宜。10.9本合同如有未尽事宜，双方可另行签订补充协议，补充协议与本合同具有同等法律效力。签订日期：附件：,1.渗透测试目标系统清单2.渗透测试报告模板,3.保密协议模板4.测试环境搭建指南5.测试权限申请表10.10在合同履行过程中，甲方需确保提供的测试环境安全稳定，不得因自身原因导致测试环境出现故障，影响测试进度。如出现故障，甲方应在接到乙方通知后24小时内予以修复，若连续两次无法在规定时间内修复，乙方有权要求甲方赔偿由此造成的直接经济损失。10.11乙方在渗透测试过程中，应严格按照甲方提供的测试目标系统清单进行，不得擅自扩大测试范围。若测试过程中发现新的潜在安全风险，乙方应及时向甲方汇报，并提供相应的测试报告和建议。10.12测试过程中，乙方需遵循以下原则：（1）尊重他人个人信息保护，不得外泄测试过程中获取的任何敏感信息；,（2）在测试过程中，不得对测试目标系统进行破坏性操作；,（3）测试过程中，不得对第三方进行冲击，确保网络安全；（4）测试过程中，如需对测试目标系统进行模拟冲击，需征得甲方同意。10.13本合同项下的渗透测试费用为人民币50万元整，甲方应在合同签订后X个工作日内支付50%的预付款，剩余50%在乙方完成测试并提交测试报告后X个工作日内支付。10.14本合同签订后，如因政策、法律法规变化导致测试费用调整，双方应协商解决。10.15本合同未尽事宜，双方应本着公平、合理、自愿的原则协商解决。如协商不成，任何一方均可向合同签订地人民法院提起诉讼。签订日期：10.16甲方应确保提供的测试目标系统清单准确无误，若因清单错误导致测试结果不准确，乙方不承担相应责任。例如，若甲方提供的系统清单中包含已停用的服务，乙方有权拒绝进行测试，并要求甲方提供正确的系统清单。10.17乙方在测试过程中，如需对测试目标系统进行模拟冲击，应遵循以下步骤：,（1）与甲方沟通，确定模拟冲击的目标和范围；（2）制定详细的测试方案，包括冲击方式、测试工具、预期效果等；（3）在模拟冲击前，向甲方提交测试方案，经甲方同意后方可进行；（4）模拟冲击过程中，乙方应实时监控测试目标系统的状态，确保测试过程对系统影响最小；（5）模拟冲击结束后，乙方应及时向甲方汇报测试结果，并提供相应的测试报告和建议。10.18乙方在测试过程中，如发现测试目标系统存在严重安全缺陷，可能导致系统崩溃或数据外泄，应立即停止测试，并及时通知甲方。例如，若测试过程中发现目标系统存在SQL注入缺陷，可能导致数据库信息外泄，乙方应立即停止测试，并向甲方汇报。10.19本合同签订后，如因不可抗力因素导致乙方无法按时完成测试，乙方应及时通知甲方，并协商确定新的测试时间。例如，若发生自然灾害或网络冲击等不可抗力因素，导致乙方无法按时完成测试，乙方应立即通知甲方，并协商确定新的测试时间。10.20本合同自双方签字盖章之日起生效，有效期为X年。合同期满后，如双方无异议，可续签本合同。签订日期：附件：,1.测试目标系统清单2.测试方案3.测试报告10.21乙方在测试过程中，将严格遵守国家相关法律法规，确保测试活动合法合规。例如，乙方将遵守《中华人民共和国网络安全法》的相关规定，不对测试目标系统进行任何非法侵入或破坏行为。10.22乙方在测试过程中，将采取以下措施确保测试数据的安全和保密：,（1）对测试数据进行加密存储，确保数据不被未授权访问；,（2）对测试数据进行定期备份，防止数据丢失；（3）对测试数据进行严格访问控制，仅授权人员可访问测试数据。10.23本合同签订后，双方应保持密切沟通，确保测试工作的顺利进行。例如，乙方将定期向甲方汇报测试进度，及时解决测试过程中出现的问题。10.24甲方在收到乙方提交的测试报告后，如有异议，应在收到报告之日起X个工作日内提出。乙方应在收到异议之日起X个工作日内予以答