甲方向乙方購買(mǎi)信息系統安全服務(wù)。甲乙雙方本著(zhù)相互信任、真誠合作、共同發(fā)展的原則，在友好協(xié)商的基礎上達成如下協(xié)議。

1.協(xié)議內容

我們?yōu)槟峁┑膶?zhuān)業(yè)安全服務(wù)包括：

1.????? 是否對網(wǎng)絡(luò )基礎平臺熟悉：熟悉。

2.????? 是否提供24小時(shí)技術(shù)支持：提供。

3.????? 是否提供365×7×24熱線(xiàn)支持：提供。

4.????? 是否提供工程師到廠(chǎng)安全巡檢：提供每月一次的網(wǎng)絡(luò )安全巡檢，并提交巡檢報告。

5.????? 是否提供服務(wù)器及網(wǎng)絡(luò )設置安全策略?xún)?yōu)化服務(wù)：提供。

6.????? 是否提供24小時(shí)熱線(xiàn)支持電話(huà)：提供。

7.????? 重大事件響應時(shí)間：12個(gè)小時(shí)內到達甲方現場(chǎng)。

8.????? 是否對現有信息安全進(jìn)行風(fēng)險評估：在甲方許可的情況下可提供風(fēng)險評估，或每季度進(jìn)行一次風(fēng)險評估。

9.????? 是否對信息系統安全加固：可按照等級相關(guān)要求、標準進(jìn)行安全加固

10.?? 是否對互聯(lián)網(wǎng)網(wǎng)站實(shí)時(shí)監測：提供實(shí)時(shí)監測服務(wù)。

11.?? 當發(fā)生安全事件后是否提供應急響應：提供

12.?? 是否提供等級保護測評服務(wù)：由專(zhuān)業(yè)測評師提供每年不少于一次的測評服務(wù)。

13.?? 是否提供等級保護安全建設整改：針對甲方現狀提供整改意見(jiàn)。

14.?? 是否第一時(shí)間提供重大信息系統安全通告：以郵件、短信、微信、傳真等方式提供。

15.?? 是否提供信息安全管理策略 ：提供

16.?? 是否提供管理人員安全培訓：提供

1.1 前期系統評估

在簽訂合同并且生效后，乙方需按甲方的要求在協(xié)商好的時(shí)間之內（一般在__個(gè)工作日內），對甲方的計算機網(wǎng)絡(luò )系統設備的安全狀況、運行狀況進(jìn)行全面檢查，做出詳細的報告，記錄所有設備清單中關(guān)鍵設備的當前安全狀況，并且結合甲方網(wǎng)絡(luò )的實(shí)際運行情況對于可以進(jìn)行安全優(yōu)化的內容與甲方協(xié)商，確定安全的方案，在與甲方和乙方進(jìn)行充分論證后，由甲方?jīng)Q定是否實(shí)施。

1.2 整理工作

在甲方確認乙方的安全建議后，雙方協(xié)商好實(shí)施的時(shí)間，由乙方完成優(yōu)化工作，并記錄配置情況和運行情況。

1.3 服務(wù)內容

1.3.1 信息安全風(fēng)險評估

信息安全風(fēng)險評估是從風(fēng)險管理的角度，運用科學(xué)的方法和手段，結合信息安全全面檢測網(wǎng)絡(luò )和信息系統存在的脆弱性，系統分析和評估安全防護水平，從而有針對性地提出抵御威脅的防護對策和整改措施，將風(fēng)險控制在可接受的水平，最大限度的保障網(wǎng)絡(luò )和信息安全。

我公司提供的風(fēng)險評估內容包括：物理環(huán)境安全檢查及建議、網(wǎng)絡(luò )設備風(fēng)險評估、操作系統風(fēng)險評估、應用系統風(fēng)險評估、數據庫風(fēng)險評估、計算機終端風(fēng)險評估等。

評估的主要手段包括：安全點(diǎn)檢查、漏洞掃描、滲透測試、配置檢查等多種方式。

1.3.2 信息系統安全加固

安全加固是指通過(guò)一定的技術(shù)手段，提高操作系統、應用系統、數據庫、網(wǎng)絡(luò )設備、安全設備等的安全性和抗攻擊能力，經(jīng)過(guò)良好配置的系統或設備的抗攻擊性有極大的增強。在對系統作相應的安全配置后，結合定期的安全評估和維護服務(wù)就使得系統保持在一個(gè)較高的安全線(xiàn)之上。

1.3.3 信息系統實(shí)時(shí)監測

信息系統實(shí)時(shí)監測服務(wù)全面覆蓋網(wǎng)站代碼安全檢測、網(wǎng)頁(yè)內容安全監測、網(wǎng)站服務(wù)質(zhì)量監測，為網(wǎng)站提供全方位、全天候的安全監測服務(wù)；通過(guò)主動(dòng)發(fā)現網(wǎng)站漏洞、實(shí)時(shí)監測網(wǎng)頁(yè)內容、及時(shí)發(fā)現網(wǎng)站服務(wù)可用性問(wèn)題三大維度保障網(wǎng)站持續穩定提供服務(wù)，主要提供以下服務(wù)：

u? 網(wǎng)站漏洞檢測

u? 網(wǎng)頁(yè)木馬檢測

u? 網(wǎng)頁(yè)惡意鏈接檢測

u? 網(wǎng)頁(yè)敏感內容監測

u? 網(wǎng)頁(yè)篡改監測

u? 網(wǎng)頁(yè)壞鏈檢測

u? 網(wǎng)站DNS監測

u? 網(wǎng)站可用性監測

1.3.4 安全事件應急響應

針對用戶(hù)信息系統可能發(fā)生的信息安全事件，通過(guò)引入專(zhuān)業(yè)的安全事件應急相應服務(wù)：在接到用戶(hù)應急響應服務(wù)請求后，由專(zhuān)業(yè)安全公司的安全專(zhuān)家提供遠程安全支持和現場(chǎng)安全支持，判斷事件類(lèi)型，協(xié)助客戶(hù)降低影響，并提供分析建議。對攻擊進(jìn)行抑制，降低損失。

應急響應服務(wù)完成后服務(wù)人員會(huì )整理詳細的事故處理報告，內容包括事故原因分析、已造成的影響、處理辦法、處理結果、預防和改進(jìn)建議等提交給用戶(hù)相關(guān)人員。

1.3.5 等級保護安全建設整改

按照國家有關(guān)規定和標準規范的要求，對現有信息系統開(kāi)展信息安全等級保護安全建設整改工作。通過(guò)落實(shí)安全責任制，開(kāi)展管理制度建設、技術(shù)措施建設，落實(shí)等級保護制度的各項要求，使現有信息系統安全管理水平明顯提高，安全保護能力明顯增強，安全隱患和安全事故明顯減少。并堅持管理和技術(shù)并重的原則，將技術(shù)措施和管理措施有機結合，建立信息系統綜合防護體系，提高信息系統整體安全保護能力。同時(shí)依據《信息系統安全等級保護基本要求》建立并落實(shí)各類(lèi)安全管理制度，開(kāi)展人員安全管理、系統建設管理和系統運維管理等工作，落實(shí)物理安全、網(wǎng)絡(luò )安全、主機安全、應用安全和數據安全等安全保護技術(shù)措施。

1.3.6 信息系統安全通告

信息安全是動(dòng)態(tài)發(fā)展的。面對日益演變的安全攻擊手段和系統安全漏洞的不斷發(fā)現和利用，信息系統所面臨的風(fēng)險也在不斷變化?；诖?，建議客戶(hù)實(shí)時(shí)關(guān)注安全動(dòng)態(tài)，了解最新的安全技術(shù)和安全理念。我們建議安全公告服務(wù)主要包括：

u? 系統漏洞信息

將一段時(shí)期內，各操作系統、應用系統、網(wǎng)絡(luò )設備等的最新安全漏洞進(jìn)行通告，包括漏洞威脅、影響平臺及修補方法等。

u? 病毒信息

將一段時(shí)期內，最具威脅性的病毒信息進(jìn)行通告，包括病毒危害、感染原理及防護措施等。

u? 安全預警

一旦出現將可能造成大規模網(wǎng)絡(luò )攻擊事件的安全漏洞或病毒木馬，進(jìn)行及時(shí)的安全預警，積極進(jìn)行補丁修復和安全防護。

u? 信息安全事件

將一段時(shí)期內，相關(guān)信息安全事件進(jìn)行通告，避免客戶(hù)信息系統遭遇同樣安全攻擊事件，造成嚴重損失。

u? 安全技術(shù)研究

專(zhuān)業(yè)信息安全團隊對最新安全技術(shù)進(jìn)行深入研究，包括信息系統漏洞挖掘、風(fēng)險分析以及安全防護技術(shù)。

1.3.7 信息安全管理策略

信息安全管理策略是信息系統生命周期的重要環(huán)節，管理策略制定服務(wù)是根據應用系統面臨的安全威脅分析或評估結果，對客戶(hù)授權的信息系統進(jìn)行安全策略設計、部署，并對已經(jīng)制定實(shí)施的系統安全管理策略效果進(jìn)行驗證、調整和改進(jìn)，我們建議系統安全策略涉及到的主要內容為：

u? WEB應用安全管理制度

u? 日志管理與審核制度

u? 賬號口令管理制度

u? 防病毒服務(wù)器日常維護制度

u? 補丁加載管理制度

u? 風(fēng)險評估實(shí)施細則

u? 安全事件應急響應流程

1.3.8 管理人員安全培訓

通過(guò)信息安全培訓服務(wù)，加強廣大員工的信息安全意識，提高客戶(hù)應對信息安全風(fēng)險的能力，同時(shí)提高系統管理員的安全運維水平，為企業(yè)創(chuàng )造一個(gè)良好的信息安全氛圍。我們建議安全培訓服務(wù)主要包括：

u? 信息系統安全威脅

u? 常見(jiàn)信息系統入侵技術(shù)

u? 信息系統防護體系

u? 風(fēng)險評估與等級保護

1.3.9 信息系統安全測評

針對甲方現有信息系統進(jìn)行等級測評，測評內容包括：測評包括安全技術(shù)測評和安全管理測評兩大部分，其中安全技術(shù)測評包括物理安全、網(wǎng)絡(luò )安全、主機安全、應用安全、數據安全及備份恢復等五個(gè)技術(shù)層面，安全管理測評包括安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等五個(gè)安全管理方面的內容。

1.3.10 咨詢(xún)服務(wù)

乙方還為甲方提供如下一些免費的咨詢(xún)服務(wù)：

1.????? 安全產(chǎn)品采購咨詢(xún)服務(wù)

2.????? 最新網(wǎng)絡(luò )安全技術(shù)服務(wù)

3.????? 應用系統安全相關(guān)的技術(shù)咨詢(xún)服務(wù)

1.3.11 呼叫中心服務(wù)

甲方的維護范圍內的設備出現問(wèn)題，乙方提供12個(gè)月*7天工作日*24小時(shí)呼叫中心服務(wù)，專(zhuān)人專(zhuān)線(xiàn)接受維修請求，負責聯(lián)系相應生產(chǎn)商、供應商的售后服務(wù)部門(mén)、人員通知、和維護落實(shí)工作。

工作服務(wù)熱線(xiàn)：

1.4 安全服務(wù)所包括的設備范圍

每年的常規服務(wù)費用包括的設備范圍在附件的設備清單。

1.7 下屬情況不在乙方服務(wù)范圍之列

1.????? 電信線(xiàn)路故障。

2.????? 合同在任一方由于不可抗力的原因，及該方不能控制的事件發(fā)生如戰爭、暴亂、罷工、禁運、自然力或政府干涉的條件下無(wú)法正常履行合同，則合同應延期執行，延期的時(shí)間應與時(shí)間的持續時(shí)間相等，合同雙方不必承擔延誤責任。

1.8 其他服務(wù)約定

1.????? 甲方應該配合乙方真實(shí)地列出需要維護的設備清單。

2.????? 在現場(chǎng)維護時(shí)，甲方應及時(shí)向乙方提供一個(gè)有效運行的系統環(huán)境、必要的系統技術(shù)和相關(guān)信息和數據，并保證乙方的網(wǎng)絡(luò )工程師能夠接觸到所需維護的軟硬件。并在維護工作結束后，在乙方的維護記錄單上簽字確認本次維護工作，并提出相應的意見(jiàn)。

3.????? 如果甲方對乙方工程師的服務(wù)不滿(mǎn)意時(shí)，有權要求乙方更換工程師。

4.????? 當乙方為甲方提供了備件時(shí)，如果甲方設備確實(shí)已經(jīng)損壞無(wú)法修復時(shí)，甲方需要購買(mǎi)新的替代設備或將備件買(mǎi)下，不能無(wú)故不歸還乙方的備件設備。

5.????? 乙方員工嚴格按照相關(guān)的中國數據保護法律，保證對在甲方所接觸到的一切企業(yè)數據，不泄露給其他個(gè)人和公司，更不作為商業(yè)的目的而出售，如果違反則乙方須承擔相應的法律責任。

2.合同價(jià)格

1.????? 合同設備的價(jià)格（以下稱(chēng)為：合同總價(jià)）為：￥?????????? 元（大寫(xiě)：???????? 元整）。

2.????? 開(kāi)始提供服務(wù)的時(shí)間為，收到甲方合同款開(kāi)始的2天內開(kāi)始。

3.合同有效期

1.????? 本合同的有效期為從合同簽訂起的一年時(shí)間，但本合同僅在乙方收到第一次服務(wù)款后對乙方具有約束力。

2.????? 合同到期后，本維護服務(wù)合同可根據當時(shí)的情況自動(dòng)延長(cháng)一年，合同雙方中的任何一方也可以提前一個(gè)月書(shū)面通知對方解除合同。

4.付款條款

1.????? 甲方每年支付給乙方的服務(wù)費用為人民幣：??????? 元整（?????????? 元）。

2.????? 付款方式：在本合同簽訂后一周內支付全部合同金額。

5.違約責任

1.????? 無(wú)論甲乙雙方任何一方違約，都需要對方支付一定的違約賠款，每次違約賠款的多少由雙方友好協(xié)商確定，但是每次違約賠款不應該超過(guò)本期合同總金額的0.5%，合同期內的賠償總額不超過(guò)合同總額的5%

2.????? 甲方有責任更具合同按期支付服務(wù)費用。若甲方未能按期支付服務(wù)費用，則應向乙方支付合同金額5%的違約金，一方有權決定解除合同，停止對甲方提供維修服務(wù)。

6.技術(shù)支持服務(wù)項目組成員

甲方指定????? 為項目負責人，來(lái)同乙方共同確定每次的服務(wù)內容、服務(wù)結果和服務(wù)時(shí)間，并代表甲方與乙方聯(lián)系。乙方定期向該負責人匯報網(wǎng)絡(luò )現狀。

7.優(yōu)惠措施

1.????? ?乙方在舉行各項安全技術(shù)推廣和安全培訓活動(dòng)時(shí)，會(huì )優(yōu)先邀請甲方參加。如果是收費培訓時(shí)，甲方享有最低折扣優(yōu)惠，具體優(yōu)惠折扣根據培訓相關(guān)事宜確定。

2.????? 充分利用一方的培訓中心，為甲方提供認證的專(zhuān)業(yè)工程師培訓和資格考試，同時(shí)定期向甲方提供培訓信息。

8.服務(wù)保證

針對行業(yè)的特殊性，乙方為甲方提供高優(yōu)先級服務(wù)（12個(gè)月*7天*24小時(shí)），乙方的工程師在接到甲方的電話(huà)后，常規事件時(shí)間4小時(shí)之內，重大事件時(shí)間2小時(shí)之內趕到現場(chǎng)，并在最短的時(shí)間內對產(chǎn)生的安全問(wèn)題做出診斷并排除。若乙方派出的工程師未能及時(shí)有效地解決問(wèn)題，則由乙方在當天之內召集技術(shù)總監和專(zhuān)家顧問(wèn)現場(chǎng)解決。

9.不可抗力

1.????? 如果雙方中的任何一方因為不可抗力,如:戰爭、火災、臺風(fēng)、洪水、地震或其他雙方共認為屬于不可抗力的原因而被迫停止或推遲合同的執行,則合同執行相應延遲，延遲的時(shí)間等于不可抗力發(fā)生作用的時(shí)間。

2.????? 受影響的一方應將不可抗力的發(fā)生盡快通過(guò)電報、電傳或傳真通知另一方。

3.????? 受影響的一方應在不可抗力終止或被排除后盡快通過(guò)電報、電傳或傳真通知另一方,并通過(guò)航空掛號信通知另一方不可抗力已終結或排除。

4.????? 如果不可抗力持續作用超過(guò)30天,雙方將通過(guò)友好協(xié)商解決未來(lái)的合同執行問(wèn)題,如果雙方在持續60天內未能解決疑義,甲方有權利解除合同。

10.仲裁條款

1.????? 所有與合同及合同執行有關(guān)的爭議將通過(guò)雙方友好協(xié)商解決,如果不能通過(guò)友好協(xié)商解決，則將該爭議提交合同簽訂所在地的仲裁委員會(huì )仲裁。

2.????? 仲裁裁定是終局的，對雙方均有約束力。任何一方不得向法院或其他機構申請改變仲裁裁定。

3.????? 仲裁費用及相關(guān)損失由敗方承擔。

4.????? 仲裁進(jìn)行過(guò)程中，雙方將繼續執行合同，但仲裁部分除外。

11.保密條款

1.????? 項目中所涉及的成交價(jià)格、雙方的內部資料、數據和其他商業(yè)信息，未經(jīng)對方許可，任何一方不得以任何形式用于合同之外的目的，不得以任何形式向其他方泄露。任何一方泄露，相關(guān)方有權追究泄露方的經(jīng)濟和法律責任。

2.????? 任何一方違反本保密條款，另一方保留向違約方追究法律責任及追討賠償損失的權利。

3.????? 此條款于此合同解除后仍然生效，雙方繼續遵守此保密承諾。

12.合同變更、補充及終止

1.????? 本合同簽約雙方授權代表簽字，蓋章日期。即為本合同的生效日期。

2.????? 如果發(fā)生以下情況，可以視為合同解除或終止：

?? 一方進(jìn)入解體或倒閉階段；

?? 一方被判為破產(chǎn)或其它原因致使資不抵債；

?? 本合同已有效、全部得到履行；

?? 雙方共同同意提前解除合同；

?? 按仲裁機構的裁決，合同解除或終止。

13,合同效力

1.????? 本合同自雙方簽字、蓋章之日起生效。有效期至雙方的權利義務(wù)履行完止。

2.????? 本合同一式四份，雙方各執二份，具有同等法律效力。