XXX等级保护测评服务合同范本

技术服务合同合同编号甲方）：合同编号乙方）：项目名称委托方（方）：受托方（方）：签订时间签订地点有效期限xxx月至xxx年xxx

目录....................................................................................................................-0....................................................................................................................-0...........................................................................................-0...............................................................................................................................-1-........................................................................................................-2........................................................................................................-3...................................................................................................................................-..............................................................................................................................................................................................................................................................................-.......................................................................................................................................................................................................................................................-5..............................................................................................6...........................................................................................................................................................................................................................................................-附件1：术协议.....................................................................................................................附件2：议..............................................................................................................................--

技术服务同1.术务目要1.1完xxx。1.2xxx系统xxx1.3所在地报。2.术务体求2.1

xxx

。。按3.方供工条及作项3.1（14人

（2。（33.2类

对文。3.44.织管4.14.2（1，；（2，。

（1（2（3（44.2.2乙（1（2（3（4（54.35.术务酬支方5.1写（￥XXX元

5.2付乙方体支（1（2（3（46.术务作果验6.1

xxx

6.26.3召。6.47.识权7.1双（甲7.2双8.务8.1

得技密8.39.约任方方1方的违的违9.2

乙%的3010.同更解10.1双10.2有向1（1（2无。10.3法书10.4本11.议决11.1因

（1/仲裁照（211.2在12.词技术的义解13.合的成分13.1技技13.2其协。14.他14.1本责14.2本捌方方肆份有同14.3特。

签

署

页

(负

年

日

年日：

附件1：术协议书1.述为了落实公安部、能源局和国家电网公司电力信息系统安全等级保护要求，进一步增强电力信息系统安全防护能力，确保电力信息系统安全稳定运行，依据《信息系统安全等级保护基本要求22239-2008）和《电力行业信息系统等级保护定级工作指导意见监信息[2007]44号）等标准规，进行本次电力信息系统等级保护。1.1.目的及围落实信息系统安全等级保护要求，健全电力信息系统安全防护体系，统一信息安全防护标准和策略，按照电力信息系统不同安全等级，通过合理分配资源，规电力信息系统安全建设与防护，对电力信息系统分等级实施全面保护，以提高xxx系统信息安全的整体防护水平。通过等级保护测评工作，全面、完整地了解

xxx

系统的现有安全状况，通过测评其与《信息系统安全等级保护基本要求22239-2008信息系统安全等级保护要（试行级别的差距达到以检查促安全的目的实现重要信息系统的分等级保护与监管、信息安全事件分等级响应的要求。经甲乙双方协商，本项目的工作围包括：1、对xxx系统等级保护测评，出具等级保护测评报告。1.2.要求本次项目实施方案设计以及在具体的项目实施过程中，我方将严格遵守以下的标准和原则开展工作：客观性和公正性原则虽然测评工作不能完全摆脱个人主或判断，但测评人员应当没有偏见，在最

小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。规性原则安全测评过程有统一的流程测评过程中使用的方法及使用的文档，需要具有很好的规性，便于测评工作的质量保证，并测评保证结果的一致性。标准性原则测评方案的设计与实施应依据国家及行业等级保护的相关标准进行。可控性原则安全测评所使用的工具方法和过程要在双方认可的围之安全测评的进度要符合进度表的安排，保证双方对测评工作的可控性。整体性原则安全测评的围和容应当全面覆盖xxx统所涉及的各个层面，并考虑各个层面的相互关系。最小影响原则测评工作应尽可能小地影响网络和系统的正常运行不能对系统的业务产生显著影响例如避免造成被测评系统的性能明显下降网络拥塞服务中断等。性原则对在测评过程中所接触到的被测评单位的所有敏感信息测评人员应遵循相关的承诺，不利用它们进行任何侵害被测评单位安全利益的行为。2.目容依照GB/T22239-2008《信息安全技术信息安全等级保护基本要求》和《电力行业信息系统安全等级保护基本要求意见稿对xxx统进行等级保护测评，确定不同等级业务系统当前安全防护现状，以及与国家和行业等级保护要求间的差距；分析其所面临的威胁及其存在的脆弱性，提出有针对性的抵御威

胁的防护策略和整改措施，为防和化解信息安全风险，将风险控制在可接受的水平，最大限度地防止由于电力信息系统安全事件引发电力安全事故，全面提高电力信息系统安全防护水平提供科学依据。等级测评将覆盖物理环境、网络安全、主机安全、应用安全、数据安全及信息安全管理等方面的容，容包括但不限于以下容：1.总体要求测评：包括总体技术要求、总体管理要求；2.安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；3.安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评；4.最终版报告需加盖电力行业等级保护测评中心的印章。3.级保护测评方3.1.主要依据➢18336-2001➢19715-2005➢19716-2005➢22239-2008➢50174-2008➢22239-2009➢通字〔2007号➢监信息〔2007号见3.2.技术思路

信息技术安全性评估准则信息技术安全管理指南信息安全管理实用规则信息安全技术信息系统安全等级保护基本要求电子信息系统机房设计规信息安全技术信息系统安全等级保护基本要求信息安全等级保护管理办法电力行业信息系统安全等级保护定级工作指导意

工具工具和表单准本项目主要技术思路是依据上述标准，对xxx系统进行等级测评，依据测评以及核查的结果综合分析给出等级测评的结果和改进建议。具体思路如下：（1使用问卷调查表，对

xxx

系统调研，掌握

xxx

系统的主要功能和业务流程。调阅定级报告，详细了解测评围的为下一步测评指标的选取做好准备。

xxx

系统及其包含的信息资产，（2在用户许可的情况下，对

xxx

系统的关键设备和关键系统进行手工配置检查，对网络拓扑结构进行合理性分析，对应用系统进行安全性分析，发现和分析系统安全技术方面与国家及行业要求之间的差距。（3采用安全核查表的形式从管理层面和技术规层面，对

xxx

系统进行现场的安全管理核查，了解包括人的因素在的系统运行状况。通过对核查结果的分析，发现和分析管理层面与国家及行业要求之间的差距。（4在安全技术测试和安全管理核查的基础上，根据

xxx

系统的特点，发现和分析安全控制间、层面间以及区域间的相互关联关系，以及安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及体结构安全性、不同信息系统之间整体安全性等。3.3.工作流程

xxx

系统整xxx

系统等级测评工作可以分为四个项目活动阶段具体实施，分别是：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。主要工作流程如下图所示：1)测准阶

动测评准备活

等级测评项目启动信息收集与分析测评准备阶段主要完成启动测评项目，组建测评项目组；通过收集和分析被测系统的相关资料信息，掌握被测系统的大体情况；通过调阅定级报告，掌握各测评对象确定

测评指标确定测评工具接入点确定

系统所确定的安全重要程度；并通过编制测评方案以及准备测评工具和文档等任务，为顺利实施现场测评工作打下良好的基础。测评准备阶段实施的主要活动包括项目启动息收集和分析编制测评方案及工具和文档准备。2)方编阶本阶段是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是开发与被测信息系统相适应的测评容、测评实施手册等，形成测评方案。3)现测阶本阶段是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评实施手册，分步实施所有测评项目，包括单项测评和系统整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。现场测评阶段通过与被测单位进行沟通和协调，为现场测评的顺利开展打下良好基础，然后依据测评方案实施现场测评工作，将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。4)报编阶本阶段是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《信息系统安全等级保护测评过程指南》的有关要求，通过单项测评结果判定和系统整体测评分析等方法，分析整个系统的安全保护现状与相应等级的保护要求之间的差距，综合评价被测信息系统保护状况，并形成测评报告文本。测评人员在初步判定单项测评结果后，还需进行系统整体测评，经过系统整体测评后，有的单项测评结果可能会有所变化，需进一步修订单项测评结果，而

后形成等级测评结论。最终组织专家对测评结论进行评审。3.4.测评方法等级测评的主要方式有：访谈、检查和测试。➢谈访谈是指测评人员通过与xxx系统有关人员（个/群体）进行交流、讨论等活动，获取相关证据表明

xxx

系统安全保护措施是否落实的一种方法。在访谈的围上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样。➢查检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明国

xxx

系统安全等级保护措施是否得以有效实施的一种方法。在检查围上，应基本覆盖所有的对象种类（设备、文档、机制等量上可以抽样。➢试测试是指测评人员通过对测评对象按照预定的方法工具使其产生特定的响应等活动，查看、分析响应输出结果，获取证据以证明

xxx

安全等级保护措施是否得以有效实施的一种方法。在测试围上，应基本覆盖不同类型的机制，在数量上可以抽样。3.5.测评原则对于各种类型测评对象数量的选择采取抽样的方式，其数量应能够满足各级系统整体测评分析的需要。本项中涉及的设备、设施、人员和文档的抽样结果需在系统完整调查之后最终确定，并与用户单位沟通确认。三级及以上系统重点抽查“主要”的设备、设施、人员和文档，其中必查的测评对象主要包括：主机房和部分辅机房（包括其环境、设备和设施等查的辅机房中放

置了服务于

xxx

系统的局部（包括整体）或对

xxx

系统的局部（包括整体）安全性起重要作用的设备、设施；重要介质的存放环境，存储被测系统重要数据的介质的存环境。整个系统的网络拓扑结构；安全设备，包括防火墙、和防病毒网关等；边界网络设备（可能会包含安全设备括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等。主要网络互联设备整个xxx系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机等；服务器中的主要服务器（包括其操作系统和数据库承载被测系统主要业务或数据的服务器；终端中的主要终端括管理终端和主要业务应用系统的终端抽查其中的一部分；应用系统中的主要应用系统够完成被测系统不同业务使命的业务应用系统；硬件冗余设备（重要网络、服务器和通信线路业务备份系统；安全主管人员各方面的负责人员具体负责安全管理的当事人业务负责人、所有管理制度和记录；4.目质量管理与制4.1.项目质量承诺为了保证本次项目的品质和质量，我方承诺：

根据标准性规性可控性整体性最小影响性及性原则做到守时、保质；指派工作经验丰富技术实力雄厚的安全顾问结合技术领先结论可靠的测评工具为xxx系统作全面的等级保护符合性测评。承诺咨询过程

按照国际标准进行，并保证对客户的资料严格；确保选派高级专家参与整个项目保证项目质量，并在收到中标通知后，立即召集参与项目的专家准备项目实施；在指定的地点进行测评工作和等级保护符合性测评报告的编写在测评期间和测评结束后，不带走测评中的重要资料和结果。4.2.项目管理方法在项目的实施过程中，根据项目的具体要求，整个项目的管理参考美国项目管理协会PMI提出的项目管理方法学，以及一些安全专业领域的专家、顾问对项目的实施进行规管理实施。同时通过规化的项目管理，保证项目进程中的过程的质量。4.3.项目变更管理不受控制的项目变更，包括目标变更、围变更、人员变更、环境变更、文档修改等等是对项目质量的重大威胁。但是，期望实施过程中不出现变更也是不现实的。客观上，项目可能需要随时修改自己的计划、调整资源分配等以适应项目的最新情况。变更控制的关键在于使得变更的出现和接受被置于项目双方的严格管理中。本项目中由专门的质量保证工程师负责全程监管项目中随时可能出现的变更情况，保证不同层次的变更能够得到相应的、适当的处理，所有重要的修改都经过项目双方的认真讨论和确认。在确认接受变更的情况下，项目双方可能需要重新审定工期、资源、目标、甚至商务等相关条文，并且通过配置管理保证所有人员和基线相关条目都得到了更新。对于项目变更管理流程如下图：

4.4.风险与控制4.4.1.可能存在的风险1.验测试对行系统可能造成影在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试容需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。2.敏信息泄

泄漏被检测单位xxx系统态信息，如网络拓扑、IP址、业务流程、安全机制、安全隐患和有关文档信息。3.对评结果争议测评方和被测评单位对测评结果可能存在争议。风险的规避1.签署委托测评协议在测评工作正式开始之前，测评方和被测评单位需要以委托协议的方式明确测评工作的目标、围、人员组成、计划安排、执行步骤和要求、以及双方的责任和义务等。使得测评双方对测评过程中的基本问题达成共识，后续的工作以此为基础，避免以后的工做出现大的分歧。2.签署协议测评双方应签署完善的、合乎法律规的协议，以约束测评双方现在及将来的行为。协议规定了测评双方方面的权利与义务。测评工作的成果属被测评单位所有，测评方对其的引用与公开应得到被测评单位的授权，否则被测评单位将按照协议的要求追究测评单位的法律责任。3.现场测评工作风险的规避进行验证测试时，测评方需要与被测评单位充分的协调，安排好测试时间，尽量避开业务高峰期，在系统资源处于空闲状态时进行，并需要被测评单位对整个测试过程进行监督；在进行验证测试前，需要对关键数据做好备份工作，并对可能出现的影响制定相应的处理方案；上机验证测试原则上由被测评单位提供相应的技术人员进行操作，测评人员根据情况提出需要操作的容，并进行查看和验证。避免由于测评人员对某些专用设备不熟悉造成误操作。4.规化的实施过程为保证按计划高质量地完成测评工作当明确测评记录和测评报告要求，明确测评过程中每一阶段需要产生的相关文档，使测评有章可循。在委托协议和

测评方案中，需要明确双方的人员职责、测评对象、时间计划、测评容要求等。5.沟通与交流为避免测评工作中可能出现的争议，在测评开始前与测评过程中，双方需要进行积极有效的沟通和交流，及时解决测评中出现的问题，这对保证测评的过程质量和结果质量有重要的作用。6.现场行为规不伪造测评记录；不泄露

xxx

系统信息；不暗示被测评单位，如果提供某种利益就可以修改测评结果；测评人员进入现场佩戴工作牌；在不违反测评工作原则的基础上，遵从被测评单位的机房管理制度；使用测评专用的笔记本电脑，并由有资格的测评人员使用；不得将测评结果复制给非测评人员；不擅自评价测评结果。4.4.3.项目沟通管理在本项目中，将采用一些正规的项目沟通程序，保证参与项目的各方能够保持对项目的了解和支持。这些管理和沟通措施将对项目过程的质量和结果的质量具有重要的作用。4.4.4.日常沟通、记录和备忘录鼓励项目参加各方在项目进行过程中随时对相关问题进行沟通有重要的、有主题的日常沟通活动都应留下记录或形成备忘录。日常沟通的主要渠道包括：

非正式会议电子传真等4.4.5.会议

会议是项目管理活动的重要形式，是项目各方进行正式沟通的渠道。➢目启动会议项目启动会议是项目正式启动和开始的标志，项目启