信息系统安全年度服务协议范本

编号：信息系统安全年度服务协议甲方：乙方：签订日期：年月日甲 方:地 址:联系人:电 话： 传 真：邮政编码：乙 方：地 址：联 系 人：电 话：传 真：邮政编码：甲方向乙方购买信息系统安全服务。甲乙双方本着相互信任、真诚合作、 共同发展的原则，在友好协商的基础上达成如下协议。1. 协议内容 我们为您提供的专业安全服务包括：1. 是否对网络基础平台熟悉：熟悉。2. 是否提供 24 小时技术支持：提供。3. 是否提供365X7X24热线支持：提供。4. 是否提供工程师到厂安全巡检：提供每月一次的网络安全巡检，并 提交巡检报告。5. 是否提供服务器及网络设置安全策略优化服务：提供。6. 是否提供 24小时热线支持电话：提供。7. 重大事件响应时间：12 个小时内到达甲方现场。8.是否对现有信息安全进行风险评估：在甲方许可的情况下可提供风 险评估，或每季度进行一次风险评估。9. 是否对信息系统安全加固：可按照等级相关要求、标准进行安全加 固10. 是否对互联网网站实时监测：提供实时监测服务。11. 当发生安全事件后是否提供应急响应：提供12. 是否提供等级保护测评服务：由专业测评师提供每年不少于一次的 测评服务。13. 是否提供等级保护安全建设整改：针对甲方现状提供整改意见。14. 是否第一时间提供重大信息系统安全通告：以邮件、短信、微信、 传真等方式提供。15. 是否提供信息安全管理策略 ：提供16. 是否提供管理人员安全培训：提供1.1 前期系统评估在签订合同并且生效后，乙方需按甲方的要求在协商好的时间之内（一般 在_个工作日内），对甲方的计算机网络系统设备的安全状况、运行状况 进行全面检查，做出详细的报告，记录所有设备清单中关键设备的当前安 全状况，并且结合甲方网络的实际运行情况对于可以进行安全优化的内容 与甲方协商，确定安全的方案，在与甲方和乙方进行充分论证后，由甲方 决定是否实施。1.2 整理工作 在甲方确认乙方的安全建议后，双方协商好实施的时间，由乙方完成优化工作，并记录配置情况和运行情况。1.3 服务内容1.3.1 信息安全风险评估信息安全风险评估是从风险管理的角度，运用科学的方法和手段，结合信 息安全全面检测网络和信息系统存在的脆弱性，系统分析和评估安全防护 水平，从而有针对性地提出抵御威胁的防护对策和整改措施，将风险控制 在可接受的水平，最大限度的保障网络和信息安全。我公司提供的风险评估内容包括：物理环境安全检查及建议、网络设备风 险评估、操作系统风险评估、应用系统风险评估、数据库风险评估、计算 机终端风险评估等。评估的主要手段包括：安全点检查、漏洞扫描、渗透测试、配置检查等多 种方式。1.3.2 信息系统安全加固安全加固是指通过一定的技术手段，提升操作系统、应用系统、数据库、 网络设备、安全设备等的安全性和抗攻击水平，经过良好配置的系统或设 备的抗攻击性有极大的增强。在对系统作相应的安全配置后，结合定期的 安全评估和维护服务就使得系统保持在一个较高的安全线之上。1.3.3 信息系统实时监测信息系统实时监测服务全面覆盖网站代码安全检测、网页内容安全监测、 网站服务质量监测，为网站提供全方位、全天候的安全监测服务；通过主动发现网站漏洞、实时监测网页内容、及时发现网站服务可用性问题三大 维度保障网站持续稳定提供服务，主要提供以下服务：网站漏洞检测网页木马检测 网页恶意链接检测 网页敏感内容监测 网页篡改监测 网页坏链检测网站DNS监测 网站可用性监测1.3.4 安全事件应急响应针对用户信息系统可能发生的信息安全事件，通过引入专业的安全事件应 急相应服务：在接到用户应急响应服务请求后，由专业安全公司的安全专 家提供远程安全支持和现场安全支持，判断事件类型，协助客户降低影响， 并提供分析建议。对攻击进行抑制，降低损失。应急响应服务完成后服务人员会整理详细的事故处理报告，内容包括事故 原因分析、已造成的影响、处理办法、处理结果、预防和改进建议等提交 给用户相关人员。1.3.5 等级保护安全建设整改按照国家有关规定和标准规范的要求，对现有信息系统开展信息安全等级 保护安全建设整改工作。通过落实安全责任制，开展管理制度建设、技术 措施建设，落实等级保护制度的各项要求，使现有信息系统安全管理水平 明显提升，安全保护水平明显增强，安全隐患和安全事故明显减少。并加 强管理和技术并重的原则，将技术措施和管理措施有机结合，建立信息系 统综合防护体系，提升信息系统整体安全保护水平。同时依据信息系统 安全等级保护基本要求建立并落实各类安全管理制度，开展人员安全管 理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主 机安全、应用安全和数据安全等安全保护技术措施。1.3.6 信息系统安全通告信息安全是动态发展的。面对日益演变的安全攻击手段和系统安全漏洞的 不断发现和利用，信息系统所面临的风险也在不断变化。基于此，建议客 户实时关注安全动态，了解最新的安全技术和安全理念。我们建议安全公 告服务主要包括：系统漏洞信息将一段时期内，各操作系统、应用系统、网络设备等的最新安全漏洞进行 通告，包括漏洞威胁、影响平台及修补方法等。 病毒信息将一段时期内，最具威胁性的病毒信息进行通告，包括病毒危害、感染原 理及防护措施等。 安全预警一旦出现将可能造成大规模网络攻击事件的安全漏洞或病毒木马，进行及时的安全预警，积极进行补丁修复和安全防护。信息安全事件将一段时期内，相关信息安全事件进行通告，避免客户信息系统遭遇同样安全攻击事件，造成严重损失。 安全技术研究专业信息安全团队对最新安全技术进行深入研究，包括信息系统漏洞挖掘、风险分析以及安全防护技术。1.3.7 信息安全管理策略信息安全管理策略是信息系统生命周期的重要环节，管理策略制定服务是 根据应用系统面临的安全威胁分析或评估结果，对客户授权的信息系统进 行安全策略设计、部署，并对已经制定实施的系统安全管理策略效果进行 验证、调整和改进，我们建议系统安全策略涉及到的主要内容为： WEB 应用安全管理制度 日志管理与审核制度 账号口令管理制度 防病毒服务器日常维护制度 补丁加载管理制度 风险评估实施细则 安全事件应急响应流程1.3.8 管理人员安全培训 通过信息安全培训服务，加强广大员工的信息安全意识，提升客户应对信 息安全风险的水平，同时提升系统管理员的安全运维水平，为企业创造一 个良好的信息安全氛围。我们建议安全培训服务主要包括：信息系统安全威胁常见信息系统入侵技术 信息系统防护体系 风险评估与等级保护1.3.9 信息系统安全测评针对甲方现有信息系统进行等级测评，测评内容包括：测评包括安全技术 测评和安全管理测评两大部分，其中安全技术测评包括物理安全、网络安 全、主机安全、应用安全、数据安全及备份恢复等五个技术层面，安全管 理测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理 和系统运维管理等五个安全管理方面的内容。1.3.10 咨询服务乙方还为甲方提供如下一些免费的咨询服务：1. 安全产品采购咨询服务2. 最新网络安全技术服务3. 应用系统安全相关的技术咨询服务1.3.11 呼叫中心服务甲方的维护范围内的设备出现问题，乙方提供12 个月*7 天工作日*24 小 时呼叫中心服务，专人专线接受维修请求，负责联系相应生产商、供应商 的售后服务部门、人员通知、和维护落实工作。工作服务热线：1.4 安全服务所包括的设备范围每年的常规服务费用包括的设备范围在附件的设备清单。1.7 下属情况不在乙方服务范围之列1. 电信线路故障。2. 合同在任一方由于不可抗力的原因，及该方不能控制的事件发生如战 争、暴乱、罢工、禁运、自然力或政府干涉的条件下无法正常履行合同， 则合同应延期执行，延期的时间应与时间的持续时间相等，合同双方不必 承担延误责任。1.8 其他服务约定1. 甲方应该配合乙方真实地列出需要维护的设备清单。2. 在现场维护时，甲方应及时向乙方提供一个有效运行的系统环境、必 要的系统技术和相关信息和数据，并保证乙方的网络工程师能够接触到所 需维护的软硬件。并在维护工作结束后，在乙方的维护记录单上签字确认 本次维护工作，并提出相应的意见。3. 如果甲方对乙方工程师的服务不满意时，有权要求乙方更换工程师。4. 当乙方为甲方提供了备件时，如果甲方设备确实已经损坏无法修复时， 甲方需要购买新的替代设备或将备件买下，不能无故不归还乙方的备件设 备。5. 乙方员工严格按照相关的中国数据保护法律，保证对在甲方所接触到 的一切企业数据，不泄露给其他个人和公司，更不作为商业的目的而出售 如果违反则乙方须承担相应的法律责任。2. 合同价格1. 合同设备的价格（以下称为：合同总价）为：¥元（大写:元整）。2. 开始提供服务的时间为，收到甲方合同款开始的 2 天内开始。3. 合同有效期1. 本合同的有效期为从合同签订起的一年时间，但本合同仅在乙方收到 第一次服务款后对乙方具有约束力。2. 合同到期后，本维护服务合同可根据当时的情况自动延长一年，合同 双方中的任何一方也可以提前一个月书面通知对方解除合同。4. 付款条款1. 甲方每年支付给乙方的服务费用为人民币：元整（元）。2. 付款方式：在本合同签订后一周内支付全部合同金额。5. 违约责任1. 无论甲乙双方任何一方违约，都需要对方支付一定的违约赔款，每次 违约赔款的多少由双方友好协商确定，但是每次违约赔款不应该超过本期 合同总金额的 0.5%，合同期内的赔偿总额不超过合同总额的 5%2. 甲方有责任更具合同按期支付服务费用。若甲方未能按期支付服务费 用，则应向乙方支付合同金额 5%的违约金，一方有权决定解除合同，停止 对甲方提供维修服务。6. 技术支持服务项目组成员甲方指定 为项目负责人，来同乙方共同确定每次的服务内容、服务 结果和服务时间，并代表甲方与乙方联系。乙方定期向该负责人汇报网络 现状。7. 优惠措施1. 乙方在举行各项安全技术推广和安全培训活动时，会优先邀请甲方参 加。如果是收费培训时，甲方享有最低折扣优惠，具体优惠折扣根据培训 相关事宜确定。2. 充分利用一方的培训中心，为甲方提供认证的专业工程师培训和资格 测试，同时定期向甲方提供培训信息。8. 服务保证 针对行业的特殊性，乙方为甲方提供高优先级服务（12个月*7天*24小时）， 乙方的工程师在接到甲方的电话后，常规事件时间4小时之内，重大事件 时间 2 小时之内赶到现场，并在最短的时间内对产生的安全问题做出诊断 并排除。若乙方派出的工程师未能及时有效地解决问题，则由乙方在当天 之内召集技术总监和专家顾问现场解决。9. 不可抗力1. 如果双方中的任何一方因为不可抗力，如:战争、火灾、台风、洪水、 地震或其他双方共认为属于不可抗力的原因而被迫停止或推迟合同的执行，则合同执行相应延迟，延迟的时间等于不可抗力发生作用的时间。2. 受影响的一方应将不可抗力的发生尽快通过电报、电传或传真通知另 一方。3. 受影响的一方应在不可抗力终止或被排除后尽快通过电报、电传或传 真通知另一方，并通过航空挂号信通知另一方不可抗力已终结或排除。4. 如果不可抗力持续作用超过 30 天，双方将