2026年度等保测评承包协议

2026年度等保测评承包协议一、协议概述本协议由以下双方于2026年1月1日签订，旨在明确委托方（以下简称“委托方”）与服务方（以下简称“服务方”）在2026年度信息安全等级保护测评（以下简称“等保测评”）工作中的权利、义务、责任及违约处理等相关事宜。二、标的及价款1.标的：委托方所属信息系统（以下简称“信息系统”）的等保测评服务。2.价款：人民币壹拾万元整（￥100,000.00）。三、期限1.本协议自双方签字盖章之日起生效，有效期为一年，自2026年1月1日起至2026年12月31日止。四、双方权利义务1.委托方权利义务：-提供信息系统相关资料，包括但不限于系统架构、网络拓扑、业务流程等。-配合服务方进行现场测评工作，确保测评工作的顺利进行。-按时支付测评费用。-对测评结果进行审核，如有异议，应及时与服务方沟通。2.服务方权利义务：-按照国家标准和行业标准，对信息系统进行等保测评。-提供专业的测评团队，确保测评工作的质量和效率。-在测评过程中，严格遵守国家相关法律法规和保密规定。-按时提交测评报告，并对测评结果负责。-对测评过程中发现的安全隐患提出整改建议。五、违约责任1.委托方违约责任：-如委托方未按时支付测评费用，应向服务方支付违约金，违约金为未支付金额的5%。-如委托方提供虚假资料，导致测评结果不准确，应承担相应责任。2.服务方违约责任：-如服务方未按时提交测评报告，应向委托方支付违约金，违约金为合同价款的5%。-如服务方外泄信息系统相关资料，应承担相应法律责任。六、质量标准及验收方式1.质量标准：服务方应按照国家标准和行业标准，对信息系统进行等保测评，确保测评结果的准确性和可靠性。2.验收方式：委托方对测评报告进行审核，如有异议，应及时与服务方沟通。双方协商一致后，由委托方出具验收证明。七、保密条款1.双方对本协议内容以及信息系统相关资料负有保密义务，未经对方同意，不得向任何第三方外泄。2.保密期限自本协议签订之日起至信息系统等保测评工作完成后三年。八、争议解决1.双方在履行本协议过程中发生争议，应友好协商解决；协商不成的，任何一方均可向服务方所在地人民法院提起诉讼。九、其他1.本协议一式两份，双方各执一份，具有同等法律效力。2.本协议未尽事宜，由双方另行协商解决。十、附件,1.信息系统清单2.测评方案,3.测评报告委托方（盖章）：,服务方（盖章）：签订日期：签订地点：备注：1.本协议未尽事宜，由双方另行协商解决。3.本协议一式两份，双方各执一份，具有同等法律效力。4.信息系统清单中包含的资产数量为200台服务器，其中核心系统30台，非核心系统170台。测评过程中，服务方将对所有系统进行安全缺陷扫描、渗透测试、风险评估等环节，确保信息系统安全防护等级达到国家相关标准。5.测评方案中明确了以下工作流程：a.初步调研：收集信息系统相关资料，了解系统架构、功能模块等；b.制定测评计划：根据信息系统实际情况，制定详细的测评计划；,c.执行测评：按照测评计划，对信息系统进行安全测评；,d.分析报告：对测评结果进行分析，形成测评报告；e.针对性整改：针对测评中发现的安全问题，提出整改建议。6.在测评过程中，服务方将派出5名专业测评人员，其中包括1名项目经理、2名高级测评工程师、2名中级测评工程师。项目经理负责协调沟通、进度把控等工作；高级测评工程师负责系统安全评估、缺陷挖掘等；中级测评工程师负责辅助测评、问题记录等工作。7.测评过程中，服务方将采用以下技术手段：a.安全缺陷扫描：使用国内领先的缺陷扫描工具，对信息系统进行全面扫描；b.渗透测试：采用黑盒测试、灰盒测试等手段，模拟冲击者对信息系统进行冲击；c.风险评估：根据测评结果，对信息系统安全风险进行评估，提出整改建议；d.安全加固：针对测评中发现的安全问题，提供安全加固方案。8.测评报告将包括以下内容：a.测评目的、范围和依据；b.测评过程和结果；c.安全问题和风险分析；d.针对性整改建议。9.服务方承诺，在协议有效期内，针对信息系统等保测评工作中发现的安全问题，提供免费技术支持，协助委托方进行整改。10.委托方应在收到测评报告后的30个工作日内，将整改计划报送服务方，服务方将在收到整改计划后，协助委托方完成整改工作。11.本协议签订前，双方应就信息系统等保测评费用进行协商。经协商一致后，服务方将按照国家相关规定，收取合理的测评费用。具体费用为人民币50万元整。12.双方在履行本协议过程中，如遇不可抗力因素导致协议无法履行，应立即通知对方，并采取一切可能措施减轻损失。协议终止后，双方应按照国家相关法律法规处理相关事宜。13.测评过程中，服务方将指派具有丰富经验的网络安全专家负责项目的具体实施，包括但不限于张伟、李明等5名专业测评人员。为确保测评质量，专家团队将根据测评标准和信息系统实际情况，制定详细的测评计划，明确测评步骤、方法和时间节点。14.测评过程中，如发现重大安全缺陷，服务方将立即通知委托方，并协助委托方采取应急措施，确保信息系统安全稳定运行。例如，在2025年11月，服务方在测评过程中发现某委托方信息系统存在SQL注入缺陷，服务方专家团队迅速协助委托方完成缺陷修复，避免了潜在的安全风险。15.服务方承诺，在协议有效期内，将为委托方提供不少于10次的技术培训，内容包括但不限于信息安全意识、网络安全防护技能等。培训将采用线上与线下相结合的方式，确保委托方人员能够掌握必要的安全知识。16.双方应按照本协议约定，定期召开项目沟通会，及时沟通项目进展、存在问题及解决方案。沟通会至少每季度召开一次，如有特殊情况可临时增加。17.本协议自双方签字盖章之日起生效，有效期为一年。协议期满前一个月，如双方无异议，可协商续签。18.本协议一式两份，双方各执一份，具有同等法律效力。19.如本协议在履行过程中发生争议，双方应友好协商解决；协商不成的，任何一方均有权向合同签订地人民法院提起诉讼。20.本协议未尽事宜，双方可另行协商补充，补充协议与本协议具有同等法律效力。21.本协议签订后，任何一方不得擅自变更、转让或终止协议，否则由此造成的损失由违约方承担。22.本协议自双方签字盖章之日起生效，特此证明。23.在2026年度等保测评期间，服务方将严格按照国家相关法律法规和行业标准，对委托方信息系统进行全面的安全评估，确保信息系统符合等保要求。具体操作步骤如下：（1）服务方将指派具备相应资质的专家团队，对委托方信息系统进行现场勘察，了解系统架构、业务流程和安全需求。（2）根据现场勘察结果，服务方将制定详细的测评方案，明确测评范围、测评内容、测评方法、测评周期等。（3）在测评过程中，服务方将采用自动化工具和人工检查相结合的方式，对委托方信息系统进行安全检测，包括但不限于操作系统、数据库、网络设备、应用系统等方面。（4）针对检测过程中发现的安全隐患，服务方将协助委托方制定整改方案，并跟踪整改效果，确保问题得到有效解决。（5）在测评结束后，服务方将出具正式的等保测评报告，详细记录测评过程、发现的问题、整改建议等。（6）为确保测评结果的客观公正，服务方将邀请第三方机构对测评过程进行监督，并参与测评报告的审核。24.在协议有效期内，服务方将为委托方提供以下服务：（1）针对信息系统安全防护需求，提供安全咨询和风险评估服务，协助委托方制定安全策略。（2）根据委托方需求，提供安全设备采购、安装、调试和运维服务。（3）针对信息系统安全事件，提供应急响应和事故调查服务。（4）定期对委托方信息系统进行安全培训和演练，提高安全意识和应急处置能力。25.双方应确保协议履行过程中的信息安全，不得外泄对方的商业秘密、技术秘密等敏感信息。如有违反，应承担相应的法律责任。26.本协议未尽事宜，双方可另行协商补充，补充协议与本协议具有同等法律效力。28.本协议自双方签字盖章之日起生效，特此证明。,代表人（签字）：签订日期：年月日27.甲方应在收到乙方提交的等保测评报告后15个工作日内，对报告内容进行审核，如有异议，应向乙方提出，乙方应在收到异议后5个工作日内予以答复。如双方对异议无法达成一致，可协商选择具有资质的第三方机构进行调解。28.乙方在提供安全咨询和风险评估服务时，将结合甲方实际业务场景，运用先进的风险评估模型，如FMEA（故障模式与影响分析）和FMEA（故障树分析）等，对甲方信息系统进行深入分析，并提供以下具体案例：案例一：针对甲方某核心业务系统，乙方通过风险评估发现存在SQL注入缺陷，建议甲方采用参数化查询技术进行修复。甲方采纳建议后，成功避免了该缺陷被恶意利用，保障了业务系统的安全稳定运行。案例二：乙方在为甲方某移动应用提供安全咨询时，发现应用存在敏感信息外泄风险。乙方建议甲方对应用进行安全加固，包括但不限于使用HTTPS协议、加密敏感数据等。甲方采纳建议后，有效降低了移动应用的安全风险。29.乙方在提供安全设备采购、安装、调试和运维服务时，将严格遵循国家相关标准，如GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》等。以下为具体数字成果：（1）为甲方采购的安全设备包括防火墙、进入检测系统、缺陷扫描系统等，共计50套。（2）安装调试过程中，乙方严格按照甲方要求，确保设备性能达到预期目标，设备上线后，甲方信息系统安全防护能力得到显著提升。（3）运维服务方面，乙方为甲方提供7*24小时在线支持，确保甲方信息系统安全稳定运行。30.乙方在提供应急响应和事故调查服务时，将组建专业应急响应团队，由具有丰富经验的网络安全专家组成。以下为具体做法：（1）接到甲方应急响应请求后，乙方将在30分钟内启动应急响应流程。（2）应急响应团队将根据事故类型，制定针