****市****区妇幼保健院****
等级保护测评项目及安全服务项目
合同书
****年*月
第*页共*页
甲方:****市****区妇幼保健院
乙方:****安域信息安全技术有限公司
乙方为****市****区妇幼保健院****等级保护测评项目服务单位。根据
《中华人民共和国****法》、《民法典》及相关法律法规,双方在平等、互利、
友好协商的基础上,本着守法、公平、诚信的原则,就项目服务相关事宜,经双方
协商*致,签订本合同,供双方共同遵守。
.安全等级测评依据及目的
依据有关信息安全管理的政策法规,按照鄂等保【****】*号《关于转发
&**;关于落实****保护重点措施深人实施****等级保护制度的指导意见
&**;的函》、鄂等保【****】*号《关于开展****年公安机关****监督检查工
作的通知》、鄂等保【****】*号《关于开展****年****监督检查工作的通
知》、《********-********等级保护基本要求》,乙方对甲方的重要信息系
统进行****等级保护测试。通过测评,乙方在坚持科学、客观、公正原则的
基础上,全面、完整地了解《信息安全技术信息系统安全等级保护基本要求》
中所要求的基本安全控制在被测单位中的实施和配置情况,出具安全等级测评的
结论;指出该系统存在的安全问题并提出相应的整改建议。通过系统安全测试,
发现其安全漏洞并提出修复建议。
:安全测评服务内容
*、等级保护测评服务
(*)工作阶段、流程、内容、成果交付应严格参照《********-****网络
安全等级保护基本要求》和《**/******-********等级保护测评要求》等
标准规范要求;
(*)安全保护等级:乙方开展****等级保护测评工作,测评范围及安
全保护等级详见系统清单;服务目标为通过公安部门及相关部门的等级保护检查
要求,完成等级保护定级和公安备案工作。
第*页共*页
*、系统清单为:
序号 |
名称 |
系统级别 |
单价(元) |
* |
医院信息管理系统 |
*级 |
*.** |
* |
***系统 |
*级 |
*.** |
备注 |
系统名称以备案的实际测评名称为主 |
系统名称以备案的实际测评名称为主 |
系统名称以备案的实际测评名称为主 |
*、****综合保障服务
序号 |
服务内容 |
服务描述 |
次数 |
价格 |
* |
漏洞扫描 |
使用专业漏洞扫描工具,对主机、数据库及中间件进行全方位扫描,并分析系统中暴露出的漏洞项,提供信息安全整改建议,强化系统安全性。 |
*次 |
*.** |
* |
基线核查 |
对服务器、****设备的配置进行核查,核查内容主要包括身份鉴别、资源控制、访问控制、恶意代码防范、安全审计、入侵防范等方面,根据用户安全特殊需求和业务流程制定安全加固方案。 |
*次 |
** |
备注 |
备注 |
根据用户实际开展时间为准 |
根据用户实际开展时间为准 |
根据用户实际开展时间为准 |
*、****综合保障服务(赠送)
序号 |
服务内容 |
服务描述 |
次数 |
|
安全规划咨询及健全制度体系 |
建立健全客户制度体系,确保制度符合等级保护要求并可落地,以及在目标网络系统现有安全策略和标准基础上,进*步明确安全策略、安全标准在**安全基础设施建设方面的地位和作用。 |
*年 |
* |
安全培训 |
加强自身安全意识,提高****日常防护能力,组织开展对相关人员提供集中****培训。培训主题在每次开展培训之前由用户确定,需安排培训讲师,提供培训所需的课件等材料。 |
*次 |
备注 |
备注 |
根据用户实际开展时间为准 |
根据用户实际开展时间为准 |
*、甲方责任
*.甲方应积极配合乙方进行安全等级测评工作,保证提供的相关资料真实
可靠。
*.因甲方原因导致乙方工作延期,甲方应向乙方承担延期的违约责任。甲
方在乙方完成现场初测评工作并收到乙方出具的差距分析问题列表后,由甲方自
行负责整改,因甲方整改不力延期超过*年,乙方在第*次现场复测评后,出具
正式等级保护测评报告则视为完成该项目。
*.因不可抗力使乙方工作延期(延长期限另行协商确定),乙方不承担因延
期产生的所有责任。
*.甲方应充分保护直接或间接获取的乙方的商业秘密,如技术信息、专有
技术、经营信息,无乙方书面同意,甲方不得向任何第*方转让或披露乙方的上
述信息。甲方如发现上述资料和信息被泄露或者自己过失泄露,应当采取有效措
施防止事件进*步扩大,并及时向乙方通报。该条款不因合同的解除而失效。
*.乙方的现场服务团队人数为*人,因甲方需要变更测评内容而导致乙方
工作量或工作时间增加的,若甲方需要乙方增派工作人员,则需乙方书面确认后
再行调整。乙方应对可能增加的工作量或工作人员等具体情况进行核定并向甲方
作出书面说明,甲方对此进行书面确认。
*乙方责任
*.乙方在合同规定的时间内提交安全等级测评报告。
*.因乙方故意或过失导致甲方****被破坏、数据丢失,乙方应及时采
取补救措施进行系统和数据的恢复,并根据影响程度承担相应的赔偿责任。
第*页共*页
*乙方在安全等级测评开展之前,甲方应作好相应的系统数据备份等准备
工作,乙方会告知甲方测试方法、采用的测试工具以及可能出现的风险。
*.乙方应遵守与甲方签订之保密协议。乙方应充分保护从甲方直接或间接
获取的甲方的商业秘密、技术信息、资料,如无甲方书面同意,乙方不得向任何
第*方转让甲方的上述信息。乙方应将甲方提供的资料和信息限制在与本次工作
有关的人员、保密协议签署的范围内,并妥善保管。若因乙方原因导致甲方资料
和信息泄漏,乙方依法向甲方承担责任。该条款不因合同的解除而失效。
*.乙方如发现上述资料和信息被泄露或者自己过失泄露,应当采取有效措
施防止事件进*步扩大,并及时向甲方通报,该条款不因合同的解除、终止而失
效。
*.工作成果提交
在安全等级测评工作完毕后,乙方向甲方出具书面正式的安全等级测评报告,
则视为乙方工作成果已交付(乙方需协助甲方获取****《备案证明》,按照
网监部门相关要求,已备案过的系统不重复出具《备案证明》)。
乙方的安全等级测评报告仅对甲方被测系统测评时的状况负责,不涉及该系
统结构或功能等要素发生变化后的情况。
*安全等级测评方式及时间
安全等级测评采用在甲方现场实地进行的方式。合同签订后,被测系统具备
测评条件后,乙方在**个工作日内对甲方被测系统进行现场考察,除不可抗力
或甲方造成的原因外,甲方被测系统通过现场考察后**个工作且内乙方完成安
全等级现场测评工作,并向甲方提交差距分析问题列表,在甲方完成整改并提交
整改报告之日起**个工作且内完成复测工作,并提交等级保护测评报告。
备注:自系统具备测评条件之日起**个工作日内完成本项目(安全建设整
**
改时间另算)
*.所需费用及支付方式
本合同含税服务费用总额共计人民币(大写:******元整)(小写:
¥***,***.**元。其中不含税总价人民币(大写:***********
元**分)(小写:¥***,***.**元),税额总价人民币(大写:*****
第*页共*页
*元*角*分)(小写:¥****.**元)增值税税率为*%。甲方采取以下方式
支付合同金额。
*、本项目合同签订之日**个工作日内,甲方应向乙方支付合同总额的**%
即人民币(大写:***任**元整)(小写:¥*****.**元。
*、乙方出具正式等级保护测评报告和协助甲方取得等保备案证明后(按照
网监部门相关要求,已备案过的系统不重复出具《备案证明》),甲方向乙方支付
合同总额余下的**%,即人民币(大写:******元整)(小写:¥**,***.**
元。
付款时,甲方在收到乙方出具合法税务发票(税率:*%)后在上述工作日内
完成支付义务。
开票明细:信息技术服务费
甲乙双方账户信息如下:
甲方:
户名:****市****区妇幼保健院
纳税人识别号:******************
开户行:中国银行吴家山支行
注册地址:
账号:************
电话:***-********
乙方:
户名:****安域信息安全技术有限公司
开户行:招商银行股份有限公司****武昌支行
银行地址:****市武昌区中南路**附*号发展大厦*-*层
账号:***************
*.知识产权:
双方约定,乙方出具的安全等级测评报告的知识产权由乙方所有,甲方拥有
使用权。但是:
第*页共*页
*.乙方不得向第*方(乙方的上级主管机关除外)提供该报告的全部或包
含甲方信息的其中任何*部分;
*.甲方在使用报告时,应保持其本来的意义,不得擅自增加或修改;
*.甲方不得出于商业目的拷贝或复制报告或报告中的任何部分。
*,风险责任
*.签约任何*方由于受到诸如战争、严重火灾、洪水、台风、地震、疾病
流行、政府行为等不可抗力事件的影响而不能执行合同时,履行合同的期限应子
以相应顺延,延长的期限应相当于不可抗力所影响的时间。不可抗力事件系指买
卖双方在缔结合同时所不能预见的,并且它的发生及其后果是无法避免和无法克
服的事件。
*.受阻*方应在不可抗力事件发生后尽快通知对方,并于事件发生后*天
内将有关当局出具的证明文件送交对方审阅确认。*且不可抗力事件的影响持续
**天以上,双方应通过友好协商在合理的时间内达成进*步履行合同的协议。
*.由于****的安全是相对而不是绝对的,乙方仅对测评报告的真实性
合法性承担责任。甲方因没有有效整改而产生的责任由其自行承担。
*.违约金或者损失赔偿额的计算
违反本合同约定,违约方应当按照《民法典》有关的规定承担违约责任。
*.违反本合同第*条、第*条约定,乙方应赔偿甲方因此所造成的直接损
失。
*.违反本合同第*条、第*条约定,甲方除应向乙方支付合同总额外,还
应赔偿乙方因此所受的直接损失。
*.除法定条件外,任何*方如单方面提出解除合同的要求,须向另*方赔
偿由此造成的经济损失。
*其他违约行为按照《民法典》有关规定,由违约方承担违约责任。
*.解决合同纠纷的方式
*.本合同的未尽事宜,本着安全等级测评顺利实施的原则,由双方友好协
商解决。
*.本合同在履行过程中发生的争议,由甲乙双方友好协商解决,如协商不
第*页共*页
能达成*致,依法向甲方所在地人民法院起诉。
**其他条款
*.本合同连同附件为中文文本,*式*份,甲方执*份,乙方执*份。
*.本合同经双方盖章后生效。
*.本合同所有的修订、补充和更改都应采用书面形式,并经过双方盖章后
生效。
甲方(盖章):****市****区妇幼保健院乙方(盖章):****安域信息安全技术
有限公司
地址:****市****区吴家山街道地址:****市洪山区欢乐大道*号
环山路**号正堂时代**楼
法人(授权人)签名:法人(授权人)签名:
联系电话:***-********联系电话:***-********
日期:*****年**月*日日期:*****年*月**日
第*页共*页
附件:
****市****区妇幼保健院****等级保护
测评项目保密协议
甲方:****市****区妇幼保健院
乙方:****安域信息安全技术有限公司
鉴于乙方对甲方的重要系统进行****等级测评,为保护甲方的系统秘密,
乙方的技术秘密,根据国家法律、法规的有关规定,在友好协商的基础上,双方
签订如下保密协议:
、保密的内容
(*)甲方的秘密:包括甲方提供的以及在测评过程中涉及的甲方系统网络
拓扑信息、系统配置信息、系统运行的数据、管理制度及流程,以及经甲方声明
需要保密的其他信息。
(*)乙方的秘密:包括乙方在此次测评过程中使用的业务流程规范、评估
方法、测试方法以及乙方声明需要保密的其他信息。
上述信息必须以如下形式确定其保密性
对于书面的或其它有形的信息,在交付对方时应标明“专有”或“秘密”字
样;
无法标明的信息在透露给对方前应声明是专有信息,进行书面记录。
保密的范围
(*)乙方只在此次测评需要时才能使用甲方提供的秘密信息。乙方应将甲
方提供信息的使用限制在与本次测评有关的人员、保密协议签署者范围内。
(*)甲方应将乙方在此次测评中使用到的业务流程规范、评估方法、测试
方法等技术信息限制在与本次测评有关的人员、保密协议签署者范围内。
第*页共*页
(*)*方依据法律或政府部门的有效指令而使用对方提供的信息时,应通
知对方。
*、保密义务
(*)未经许可不得主动获取对方与本次工作无关的秘密信息;
(*)不得向不承担保密义务的任何第*人披露上述秘密信息;
(*)不得协助不承担保密义务的任何第*人使用上述秘密信息;
(*)如无对方预先书面同意,任何*方不得向任何第*方转让上述秘密信
息;
(*)如发现上述秘密被泄露或者自己过失泄露,应当采取有效措施防止泄
密进*步扩大,并及时向对方报告;
凡未经对方书面同意,*方以直接、间接、书面、口头等形式为第*方提供
上述内容的行为均属违反保密义务的行为。
但以下情况不属于违反保密义务:
(*)获取或披露*方已公开发表,或已为公众所知的信息;
(*)获取或披露*方已书面授权公开的信息;
(*)获取的信息属于*方通过合法手段从第*方在未受到任何限制的情况
下获得的;
(*)根据法律、法规,司法或行政命令的要求向有关国家机关提供他方的
秘密信息。
上述第(*)种情况下必须向资料接受者申明该信息的保密要求,并应当尽
最大的努力帮助他方有效地防止或限制该秘密信息的进*步泄露。
*、保密期限
甲、乙双方确认,双方的保密义务从本协议签署之日起生效。双方的保密义
务期限为测评工作期间及结束后*年。
*、违约责任
(*)如果*方不履行本协议第*条所规定的保密义务,应当承担给对方造
第**页共*页
成的直接损失的赔偿责任。
(*)因*方的违约行为侵犯了另*方的合法权益,另*方可以选择根据
本协议要求其承担违约责任,或者根据国家有关法律、法规要求其承担侵权责
任。
*、争议的解决
甲乙双方友好协商解决本协议中的争议。协商不成的,任何*方都有权向甲
方所在地法院提起诉讼。
*、协议的效力和变更
(*)本协议的任何修改必须经过双方的书面同意。
(*)本协议*式*份,甲、乙双方各执*份,具有同等法律效力。本协议
经甲、乙双方签字盖章后即生效。
甲方(盖章):****市****区妇幼保健院乙方(盖章):****安域信息安全技术
有限公司
地址:****市****区吴家山街道地址:****市洪山区欢乐大道*号
环山路**号正堂时代**楼
法人(授权人)签名:法人(授权人)签名:
联系电话:***-********联系电话:***-********
日期:****年**月*日日期:*****年**月**日
第*页共*页