2024年网络安全审查服务合同

2024版网络安全审查服务合同本合同目录一览第一条定义与术语1.1网络安全审查1.2服务供应商1.3客户1.4网络资产1.5安全漏洞第二条服务内容2.1网络安全评估2.1.1风险评估2.1.2漏洞扫描2.1.3安全配置检查2.2安全审计与合规性检查2.2.1法规遵从性审计2.2.2内部控制审计2.3安全防护体系建设2.3.1安全策略制定2.3.2安全设备部署2.3.3安全培训与意识提升第三条服务范围与限制3.1服务范围3.1.1网络边界安全3.1.2数据传输安全3.1.3终端安全3.1.4应用系统安全3.2服务限制3.2.1不涉及客户内部业务数据3.2.2不提供非法访问支持3.2.3不进行未授权的安全测试第四条服务时间与地点4.1服务时间4.1.1项目启动时间4.1.2服务执行时间表4.1.3紧急响应时间4.2服务地点4.2.1服务供应商所在地4.2.2客户指定地点第五条服务团队与支持5.1服务团队5.1.1项目负责人5.1.2技术支持团队5.2技术支持5.2.1远程技术支持5.2.2现场技术支持第六条服务费用与支付6.1服务费用6.1.1项目总费用6.1.2额外服务的费用6.2支付方式6.2.1预付费6.2.2按阶段付费6.2.3里程碑付款第七条保密与数据保护7.1保密义务7.1.1服务供应商的保密义务7.1.2客户的保密义务7.2数据保护7.2.1个人信息保护7.2.2商业秘密保护第八条违约责任8.1服务供应商的违约8.1.1服务延误8.1.2未达服务标准8.2客户的违约8.2.1未支付服务费用8.2.2提供虚假信息或隐瞒重要事实第九条争议解决9.1协商解决9.2调解9.3仲裁第十条法律适用与管辖10.1适用法律10.2管辖法院第十一条合同的生效、变更与终止11.1合同生效条件11.2合同变更11.3合同终止第十二条通知与送达12.1通知方式12.2送达地址第十三条其他条款13.1附加服务13.2第三方受益人13.3合同附件第十四条签署与盖章14.1签署日期14.2授权代表14.3盖章第一部分：合同如下：第一条定义与术语1.1网络安全审查网络安全审查是指对客户网络资产进行全面的安全评估，包括但不限于对网络设备、服务器、应用系统、数据传输、终端设备等进行安全风险评估、漏洞扫描、安全配置检查等活动，以识别和评估网络资产的安全风险，并提出相应的改进措施。1.2服务供应商服务供应商是指根据本合同约定，为客户提供网络安全审查服务的具有合法资质的法人或其他组织。1.3客户客户是指接受服务供应商提供的网络安全审查服务的法人或其他组织。1.4网络资产网络资产是指客户的所有网络设备、服务器、应用系统、数据传输、终端设备等。1.5安全漏洞安全漏洞是指网络资产中存在的安全缺陷、弱点或者不足，可能导致网络资产受到非法侵入、数据泄露等安全风险。第二条服务内容2.1网络安全评估2.1.1风险评估服务供应商应对客户的网络资产进行全面的风险评估，包括但不限于对网络设备、服务器、应用系统、数据传输、终端设备等进行安全风险评估，并提出风险评估报告。2.1.2漏洞扫描服务供应商应使用专业的漏洞扫描工具对客户的网络资产进行漏洞扫描，发现存在的安全漏洞，并提出漏洞修复建议。2.1.3安全配置检查服务供应商应检查客户网络资产的安全配置是否符合国家相关法律法规、行业标准和安全最佳实践，并提出安全配置改进建议。2.2安全审计与合规性检查2.2.1法规遵从性审计服务供应商应审计客户网络资产的法规遵从性，包括但不限于国家网络安全法、个人信息保护法等相关法律法规，并提出合规性改进建议。2.2.2内部控制审计服务供应商应审计客户网络资产的内部控制制度，包括但不限于安全策略、安全管理制度、安全操作规程等，并提出内部控制改进建议。2.3安全防护体系建设2.3.1安全策略制定服务供应商应根据网络安全风险评估结果，为客户制定合理的安全策略，包括但不限于网络安全防护策略、数据保护策略等。2.3.2安全设备部署服务供应商应协助客户部署安全设备，包括但不限于防火墙、入侵检测系统、安全审计系统等，并提供设备调试和优化服务。2.3.3安全培训与意识提升服务供应商应为客户提供网络安全培训服务，提高客户员工的安全意识和安全技能，包括但不限于网络安全知识培训、安全操作培训等。第三条服务范围与限制3.1服务范围3.1.1网络边界安全服务供应商应保障客户网络边界的完整性，防止非法侵入和网络攻击，确保网络边界的稳定运行。3.1.2数据传输安全服务供应商应确保客户数据在传输过程中的安全性，防止数据泄露、篡改等安全风险。3.1.3终端安全服务供应商应保障客户终端设备的安全性，包括但不限于个人计算机、移动设备等，防止恶意软件感染和非法接入。3.1.4应用系统安全服务供应商应对客户的应用系统进行全面的安全评估，并提出安全改进建议，以防止应用系统遭受攻击和非法侵入。3.2服务限制3.2.1不涉及客户内部业务数据服务供应商在进行网络安全审查服务时，不得涉及客户内部业务数据，包括但不限于客户的用户数据、业务数据等。3.2.2不提供非法访问支持服务供应商不得协助客户进行非法访问、入侵或者其他违法活动。3.2.3不进行未授权的安全测试服务供应商在进行安全测试时，必须获得客户的明确授权，并按照约定的范围和标准进行。第四条服务时间与地点4.1服务时间4.1.1项目启动时间本合同签订后，服务供应商应在约定的时间内启动项目，并按照约定的时间表推进项目进度。4.1.2服务执行时间表服务供应商应制定详细的服务执行时间表，包括但不限于风险评估、漏洞扫描、安全审计等各阶段的工作安排，并按照时间表执行。4.1.3紧急响应时间服务供应商应在接到客户紧急响应请求后，按照约定的时间要求提供紧急响应服务。4.2服务地点4.2.1服务供应商所在地服务供应商应在其所在地提供网络安全审查服务。4.2.2客户指定地点第五条服务团队与支持5.1第八条违约责任8.1服务供应商的违约8.1.1服务延误如果服务供应商未能按照约定的时间表完成服务，应向客户支付违约金，违约金计算方式按照双方约定的比例计算。8.1.2未达服务标准如果服务供应商提供的服务未达到约定的服务标准，客户有权要求服务供应商在合理时间内重新提供服务，或者要求服务供应商支付违约金。8.2客户的违约8.2.1未支付服务费用如果客户未能按照约定的时间支付服务费用，服务供应商有权暂停提供服务，并要求客户支付违约金，违约金计算方式按照双方约定的比例计算。8.2.2提供虚假信息或隐瞒重要事实如果客户提供虚假信息或隐瞒重要事实，导致服务供应商无法正常提供服务，客户应承担因此产生的全部责任，并向服务供应商支付违约金。第九条争议解决9.1协商解决双方应通过友好协商解决合同履行过程中的任何争议和纠纷。9.2调解如果协商解决不成，任何一方均可向约定的调解机构申请调解。9.3仲裁如果调解不成，任何一方均有权向约定的仲裁委员会申请仲裁，仲裁裁决是终局的，对双方均有约束力。第十条法律适用与管辖10.1适用法律本合同的签订、效力、解释、履行和争议的解决均适用中华人民共和国法律。10.2管辖法院本合同纠纷的诉讼管辖法院为客户所在地的人民法院。第十一条合同的生效、变更与终止11.1合同生效条件本合同自双方签字盖章之日起生效。11.2合同变更任何一方想要变更或终止本合同，必须提前书面通知对方，并且经对方同意。11.3合同终止(1)双方协商一致终止；(2)合同履行完毕；(3)法律规定或者双方约定的其他终止情况。第十二条通知与送达12.1通知方式双方可以通过书面、电子邮件、传真等方式进行通知。12.2送达地址双方应在本合同中约定明确的送达地址，并确保该地址的准确性和有效性。第十三条其他条款13.1附加服务服务供应商可以根据客户的需求，提供附加服务，附加服务的费用另行约定。13.2第三方受益人本合同的履行可能涉及第三方受益人，各方应明确第三方受益人的权益，并承担相应的义务。13.3合同附件本合同附件是本合同不可分割的一部分，与本合同具有同等法律效力。第十四条签署与盖章14.1签署日期本合同自双方授权代表签字盖章之日起生效。14.2授权代表双方授权代表应在合同上签字并加盖公司公章。14.3盖章本合同一式两份，双方各执一份，具有同等法律效力。第二部分：第三方介入后的修正鉴于本合同在履行过程中可能涉及到第三方的介入，包括但不限于中介方、监管机构、技术支持提供商等，双方特此约定如下第三方介入相关的附加条款。第一条第三方定义与责任1.1第三方定义第三方是指除甲乙方之外，根据本合同约定或实际情况需要参与本合同履行过程的法人或其他组织。1.2第三方责任第三方介入本合同履行过程时，应遵守相关法律法规和本合同的约定，按照约定的范围和标准提供服务或协助履行合同。第三方对甲乙方承担责任，甲乙方对第三方不承担责任。1.3第三方权利第三方根据本合同约定享有相应的权利，包括但不限于获取合同履行过程中所需的信息、资料等。第二条第三方介入的情形与方式2.1中介方介入中介方作为合同履行过程中的协助方，应按照甲乙双方的约定，协助完成合同的履行。中介方的介入不得影响甲乙双方的权利和义务。2.2监管机构介入监管机构根据法律、法规的要求或合同双方的约定，有权对合同履行过程进行监督和检查。甲乙双方应予以配合，确保合同履行符合监管要求。2.3技术支持提供商介入技术支持提供商根据甲乙双方的约定，提供网络安全审查相关的技术支持服务。技术支持提供商应确保提供服务的安全性、可靠性和及时性。第三条第三方责任限额3.1第三方责任限额的确定第三方对甲乙方承担的责任限额，由甲乙双方在本合同中予以明确。责任限额可以采用金额限制、损失范围限制等方式。3.2第三方责任限额的调整甲乙双方可以在合同履行过程中，根据实际情况协商调整第三方责任限额，并书面确认。第四条第三方与其他各方的关系4.1第三方与甲乙方第三方介入本合同履行过程时，不代表甲乙方，也不受甲乙方直接管理。第三方应独立承担合同履行过程中的权利义务。4.2第三方与中介方中介方作为第三方之一，应按照约定履行合同义务。中介方与第三方之间的纠纷，由中介方与第三方自行解决。4.3第三方与监管机构监管机构作为第三方介入时，履行监督和检查职责。监管机构对甲乙双方的合同履行不承担责任。4.4第三方与技术支持提供商技术支持提供商作为第三方介入时，应按照约定提供技术支持服务。技术支持提供商对甲乙方承担的责任，不高于甲乙方与技术支持提供商之间的约定。第五条第三方介入的变更与终止5.1第三方介入的变更甲乙双方经协商一致，可以变更第三方的介入方式或范围。变更事项应当书面确认。5.2第三方介入的终止甲乙双方经协商一致，可以终止第三方的介入。终止第三方介入的，甲乙双方应书面通知第三方。第六条第三方介入的违约处理6.1第三方违约第三方未按照本合同约定履行义务的，甲乙双方有权要求第三方承担违约责任。第三方对甲乙双方承担的违约责任，不高于甲乙双方与第三方之间的约定。6.2甲乙双方对第三方的追偿权甲乙双方因第三方违约遭受损失的，有权向第三方追偿。追偿范围包括但不限于实际损失、违约金、损害赔偿金等。第七条第三方介入的争议解决7.1第三方与甲乙方的争议第三方与甲乙双方发生争议的，应通过友好协商解决。协商不成的，任何一方均有权向约定的调解机构申请调解。7.2第三方与中介方的争议第三方与中介方发生争议的，由第三方与中介方自行解决。7.3第三方与监管机构的争议第三方与监管机构发生争议的，甲乙双方应协助第三方与监管机构协商解决。7.4第三方与技术支持提供商的争议第三方与技术支持提供商发生争议的，由第三方与技术支持提供商自行解决。第八条第三方介入的合同生效、变更与终止8.1第三方介入的合同生效本合同第三方介入相关条款自甲乙双方签字盖章之日起生效。8.2第三方介入的合同变更甲乙双方经协商一致，可以变更本合同第三方介入相关条款。变更事项应当书面确认。8.3第三方介入的合同终止甲乙双方经协商一致，可以终止本合同第三方介入相关条款。终止第三方介入的，甲乙双方应书面通知第三方。第九条第三方介入第三部分：其他补充性说明和解释说明一：附件列表：1.服务范围与内容详细说明：详细描述网络安全审查服务的具体范围、内容、标准等。2.服务时间表：明确服务启动时间、各阶段工作时间表、紧急响应时间等。3.服务费用明细：详细列出服务费用的构成、额外服务的费用、支付方式等。4.保密协议：规定甲乙双方对商业秘密、个人信息等敏感信息的保密义务。5.第三方介入协议：明确第三方介入的情形、方式、责任、权利等。6.技术支持协议：规定技术支持提供商的服务内容、责任、权利等。7.风险评估报告：详细描述网络资产的风险评估结果及改进建议。8.漏洞扫描报告：详细描述网络资产的漏洞扫描结果及修复建议。9.安全审计报告：详细描述网络资产的安全审计结果及改进建议。10.培训计划与大纲：详细列出网络安全培训的计划、内容、课时等。说明二：违约行为及责任认定：1.服务延误：服务供应商未能按照约定的时间表完成服务。2.未达服务标准：服务供应商提供的服务未达到约定的服务标准。3.未支付服务费用：客户未能按照约定的时间支付服务费用。4.提供虚假信息或隐瞒重要事实：客户提供虚假信息或隐瞒重要事实。5.第三方违约：第三方未按照本合同约定履行义务。违约责任认定标准如下：1.服务延误：服务供应商应向客户支付违约金，违约金计算方式按照双方约定的比例