信息安全风险评估合同（2024年版）

信息安全风险评估合同（2024年版）合同/协议编号：__________________

本合同（以下简称“本合同”）由以下双方于2024年共同签订：

甲方：[甲方名称]

乙方：[乙方名称]

鉴于甲方从事[甲方业务领域]，涉及大量个人信息处理，为保障信息安全，降低潜在风险，甲方决定委托乙方进行信息安全风险评估工作。现双方本着平等互利、诚实信用的原则，就信息安全风险评估事宜达成如下协议：

一、合同目的

本合同旨在明确甲乙双方在信息安全风险评估工作中的权利义务，确保信息安全风险评估工作的顺利开展，保障甲方业务安全和用户权益。

二、签订背景

甲方业务发展迅速，对信息安全提出了更高要求。为提高信息安全防护能力，甲方决定对现有信息系统进行风险评估，以识别潜在风险并采取措施降低风险等级。乙方具备丰富的信息安全评估经验，愿意为甲方提供专业服务。

三、合同内容

（一）乙方负责对甲方信息系统进行全面的、系统的信息安全风险评估，包括但不限于：风险评估方法、评估范围、评估周期等；

（二）乙方应根据评估结果，为甲方提供风险等级划分、风险应对措施建议等；

（三）甲方应根据乙方提供的风险评估报告，采取有效措施降低信息安全风险。

四、违约责任

（一）任何一方违反本合同约定，应承担违约责任，向守约方支付违约金；

（二）因一方违约导致合同无法履行，守约方有权解除合同，并要求违约方承担相应损失。

五、争议解决

甲乙双方在履行本合同过程中发生的争议，应友好协商解决；协商不成的，任何一方均可向合同签订地人民法院提起诉讼。

本合同一式两份，甲乙双方各执一份，自双方签字盖章之日起生效。

主要条款内容：

第一条服务内容

1.1乙方应按照甲方要求，对甲方信息系统进行信息安全风险评估，包括但不限于：

（1）评估甲方信息系统的安全策略、安全管理制度；

（2）识别甲方信息系统的潜在安全风险；

（3）评估甲方信息系统的安全漏洞；

（4）评估甲方信息系统的安全事件应对能力；

（5）提出降低甲方信息系统安全风险的建议措施。

第二条质量标准

2.1乙方应保证信息安全风险评估工作的质量，确保评估结果的准确性和可靠性；

2.2乙方应按照甲方提供的资料和信息系统进行风险评估，确保评估内容的全面性；

2.3乙方应在规定的时间内完成风险评估工作，并提交评估报告。

第三条价格支付

3.1本合同服务费用总额为人民币[金额]元；

3.2甲方应在合同签订后[天数]日内向乙方支付[金额]元，作为预付款；

3.3乙方完成风险评估工作并提交评估报告后，甲方应在[天数]日内支付剩余服务费用；

3.4甲方支付乙方服务费用后，乙方应向甲方提供正式的发票。

第四条保密条款

4.1双方对本合同内容以及在进行信息安全风险评估过程中所知悉的甲方商业秘密、技术秘密、用户信息等保密信息负有保密义务；

4.2未经对方同意，任何一方不得向任何第三方泄露保密信息；

4.3保密义务在本合同终止后仍然有效。

第五条违约责任

5.1乙方未按合同约定完成风险评估工作或提交评估报告的，甲方有权要求乙方承担违约责任，包括但不限于：

（1）支付违约金；

（2）赔偿甲方因此遭受的损失。

5.2甲方未按合同约定支付费用的，乙方有权暂停服务，并要求甲方支付违约金。

5.3双方违反保密条款的，应承担相应的法律责任。

第六条争议解决

6.1甲乙双方在履行本合同过程中发生的争议，应友好协商解决；

6.2协商不成的，任何一方均可向合同签订地人民法院提起诉讼。

第七条合同变更与解除

7.1本合同在履行过程中如需变更或解除，应经甲乙双方协商一致，并以书面形式作出变更或解除决定；

7.2合同变更或解除后，不影响已履行部分的效力。

第八条其他

8.1本合同未尽事宜，双方可另行协商解决；

8.2本合同自双方签字盖章之日起生效，一式两份，甲乙双方各执一份。

第九条合同附件

9.1本合同附件包括但不限于：

（1）信息安全风险评估报告；

（2）风险评估工作计划；

（3）风险评估方法说明；

（4）风险评估结果汇总表。

第十条合同解释

10.1本合同条款如与法律法规相冲突，以法律法规为准；

10.2本合同条款如存在歧义，由甲乙双方友好协商解决。

双方权利与义务详细说明：

第一条甲方的权利与义务

1.1权利：

（1）要求乙方按照合同约定提供信息安全风险评估服务；

（2）要求乙方在规定时间内提交信息安全风险评估报告；

（3）对乙方提交的评估报告提出疑问，并要求乙方进行解释或补充；

（4）在乙方违反保密条款时，要求乙方承担相应法律责任。

1.2义务：

（1）向乙方提供进行信息安全风险评估所需的必要资料和信息系统访问权限；

（2）配合乙方进行现场勘查和访谈；

（3）按照合同约定支付乙方服务费用；

（4）在乙方完成风险评估工作后，按照合同约定的时间和方式支付剩余服务费用；

（5）根据乙方提出的风险评估结果和建议措施，采取相应措施降低信息安全风险。

第二条乙方的权利与义务

2.1权利：

（1）按照合同约定开展信息安全风险评估工作；

（2）要求甲方提供进行风险评估所需的必要资料和信息系统访问权限；

（3）对甲方提供的信息进行保密；

（4）在甲方违反保密条款时，有权拒绝提供相关服务。

2.2义务：

（1）在合同约定的时间内完成信息安全风险评估工作；

（2）按照甲方要求提供信息安全风险评估报告，确保报告内容的准确性和可靠性；

（3）对甲方提供的信息进行保密，未经甲方同意不得向任何第三方泄露；

（4）在甲方要求时，对评估报告中的内容进行解释或补充；

（5）根据评估结果，为甲方提供降低信息安全风险的合理建议；

（6）在甲方根据建议采取措施降低风险后，对措施实施效果进行跟踪评估。

第三条合作方式

3.1双方应保持密切沟通，确保信息安全风险评估工作的顺利进行；

3.2双方应按照合同约定的时间和方式提交相关文件和报告；

3.3双方在合作过程中应遵守诚实信用原则，共同维护信息安全；

3.4双方应共同商讨解决在合作过程中出现的任何问题，以保障信息安全风险评估工作的质量和效果；

3.5双方应相互配合，确保信息安全风险评估工作的顺利进行，包括但不限于以下方面：

（1）甲方应及时向乙方提供相关信息和资料；

（2）乙方应及时向甲方反馈评估进度和结果；

（3）双方应定期召开会议，讨论评估工作的进展和存在的问题；

（4）双方应相互支持，共同提高信息安全防护水平。

第四条合同履行与监督

4.1双方应按照合同约定履行各自的权利和义务；

4.2甲方有权对乙方的工作进行监督，确保乙方按照合同约定提供服务质量；

4.3乙方应接受甲方的监督，并积极配合甲方的监督检查；

4.4双方应共同遵守国家有关信息安全管理的法律法规，确保信息安全风险评估工作的合法性。

第五条合同解除与终止

5.1在合同履行期间，如出现以下情况之一，任何一方均有权解除本合同：

（1）一方严重违反合同约定，导致合同无法继续履行；

（2）发生不可抗力事件，致使合同无法继续履行；

（3）一方在合同履行过程中，被依法宣告破产或解散。

5.2合同解除或终止后，双方应按照合同约定处理相关事宜，包括但不限于费用结算、资料归还等。

合同有效期限、变更、终止等条件详细说明：

第一条合同有效期限

1.1本合同自双方签字盖章之日起生效，有效期为[年]年，自合同生效之日起计算。

1.2合同期满后，如双方无异议，可协商一致延长合同期限。

第二条合同变更

2.1本合同在有效期内，如需变更，应经甲乙双方书面协商一致，签订补充协议，作为本合同的一部分。

2.2合同变更内容应包括但不限于服务内容、价格、付款方式、保密条款等。

第三条合同解除

3.1本合同在有效期内，如出现以下情况之一，任何一方有权解除合同：

（1）一方严重违反合同约定，导致合同无法继续履行；

（2）发生不可抗力事件，致使合同无法继续履行；

（3）一方在合同履行过程中，被依法宣告破产或解散；

（4）双方协商一致解除合同。

第四条合同终止

4.1本合同期满或解除后，视为终止。

4.2合同终止后，双方应按照合同约定处理相关事宜，包括但不限于费用结算、资料归还等。

第五条争议解决机制

5.1双方在履行本合同过程中发生的争议，应首先通过友好协商解决。

5.2协商不成的，任何一方均可向合同签订地人民法院提起诉讼。

第六条法律适用和管辖法院

6.1本合同适用中华人民共和国法律。

6.2双方因履行本合同发生的争议，应提交合同签订地人民法院管辖。

第七条合同效力

7.1本合同一式两份，甲乙双方各执一份，具有同等法律效力。

7.2本合同签订前，任何一方不得以任何形式泄露合同内容。

7.3本合同未尽事宜，可由甲乙双方另行协商解决，并签订补充协议。补充协议与本合同具有同等法律效力。

双方需要准备的附件：

1.甲方的附件：

1.1甲方公司营业执照副本复印件；

1.2甲方信息系统相关文档，包括但不限于：

a.系统架构图；

b.系统网络拓扑图；

c.系统安全策略文档；

d.系统用户手册；

e.系统变更记录；

f.系统漏洞报告；

g.用户数据保护政策；

1.3甲方与第三方签订的涉及信息系统的相关协议或合同；

1.4甲方提供的其他必要资料。

2.乙方的附件：

2.1乙方公司营业执照副本复印件；

2.2乙方相关资质证明文件，包括但不限于：

a.信息安全风险评估资质证书；

b.信息安全专业技术人员证书；

c.相关信息安全服务经验证明；

2.3乙方信息安全风险评估方法说明；

2.4乙方过往信息安全风险评估案例；

2.5乙方提供的其他必要资料。

3.双方共同准备的附件：

3.1信息安全风险评估工作计划；

3.2