《信息安全维护服务协议以及IT运维合同(安全运维协议).docx》由会员分享,可在线阅读,更多相关《信息安全维护服务协议以及IT运维合同(安全运维协议).docx(19页珍藏版)》请在第一文库网上搜索。
1、信息系统安全年度服务协议合同编号:甲方:地址:联系人:电话:传真:邮政编码:乙方:地址:联系人,电话:传真:邮政编码:1 .协议内容311前期系统评估31.2 整理工作41.3 服务内容41.3.1 信息安全风险评估41.3.2 信息系统安全加固 41.3.3 信息系统实时监测 41.3.4 安全事件应急响应 51.3.5 等级保护安全建设整改 51.3.6 信息系统安全通告 51.3.7 信息安全管理策略 61.3.8 管理人员安全培训71.3.9 信息系统安全测评71.3.10 咨询服务71.3.11 呼叫中心服务71.4 安全服务所包括的设备范围81.7 下属情况不在乙方服务范围之列81
2、.8 其他服务约定82 .合同价格83 .合同有效期94 .付款条款95 .违约责任96 .技术支持服务项目组成员 97 .优惠措施98 .服务保证109 .不可抗力1010 .仲裁条款1011 .保密条款Il12 .合同变更、补充及终止1113,合同效力11甲方向乙方购买信息系统安全服务。甲乙双方本着相互信任、 真诚合作、共同发展的原贝I,在友好协商的基础上达成如下协议。1 .协议内容我们为您提供的专业安全服务包括:L是否对网络基础平台熟悉:熟悉。2 .是否提供24小时技术支持:提供。3 .是否提供365X7X24热线支持:提供。4 .是否提供工程师到厂安全巡检:提供每月一次的网络安全 巡检
3、,并提交巡检报告。5 .是否提供服务器及网络设置安全策略优化服务:提供。6 .是否提供24小时热线支持电话:提供。7 .重大事件响应时间:12个小时内到达甲方现场。8 .是否对现有信息安全进行风险评估:在甲方许可的情况下 可提供风险评估,或每季度进行一次风险评估。9 .是否对信息系统安全加固:可按照等级相关要求、标准进 行安全加固10 .是否对互联网网站实时监测:提供实时监测服务。11 .当发生安全事件后是否提供应急响应:提供12 .是否提供等级保护测评服务:由专业测评师提供每年不 少于一次的测评服务。13 .是否提供等级保护安全建设整改:针对甲方现状提供整 改意见。14 .是否第一时间提供重
4、大信息系统安全通告:以邮件、短 信、微信、传真等方式提供。15 .是否提供信息安全管理策略:提供16 .是否提供管理人员安全培训:提供1. 1前期系统评估在签订合同并且生效后,乙方需按甲方的要求在协商好的时 间之内(一般在一个工作日内),对甲方的计算机网络系统设备的 安全状况、运行状况进行全面检查,做出详细的报告,记录所有 设备清单中关键设备的当前安全状况,并且结合甲方网络的实际 运行情况对于可以进行安全优化的内容与甲方协商,确定安全的 方案,在与甲方和乙方进行充分论证后,由甲方决定是否实施。1.2 整理工作在甲方确认乙方的安全建议后,双方协商好实施的时间,由 乙方完成优化工作,并记录配置情况
5、和运行情况。1.3 服务内容1.3.1 信息安全风险评估信息安全风险评估是从风险管理的角度,运用科学的方法和 手段,结合信息安全全面检测网络和信息系统存在的脆弱性,系 统分析和评估安全防护水平,从而有针对性地提出抵御威胁的防 护对策和整改措施,将风险控制在可接受的水平,最大限度的保障 网络和信息安全。我公司提供的风险评估内容包括:物理环境安全检查及建议、 网络设备风险评估、操作系统风险评估、应用系统风险评估、数 据库风险评估、计算机终端风险评估等。评估的主要手段包括:安全点检查、漏洞扫描、渗透测试、 配置检查等多种方式。1.3.2 信息系统安全加固安全加固是指通过一定的技术手段,提高操作系统、
6、应用系 统、数据库、网络设备、安全设备等的安全性和抗攻击能力,经 过良好配置的系统或设备的抗攻击性有极大的增强。在对系统作 相应的安全配置后,结合定期的安全评估和维护服务就使得系统 保持在一个较高的安全线之上。1.3.3 信息系统实时监测信息系统实时监测服务全面覆盖网站代码安全检测、网页内 容安全监测、网站服务质量监测,为网站提供全方位、全天候的 安全监测服务;通过主动发现网站漏洞、实时监测网页内容、及 时发现网站服务可用性问题三大维度保障网站持续稳定提供服务, 主要提供以下服务: 网站漏洞检测 网页木马检测 网页恶意链接检测 网页敏感内容监测 网页篡改监测 网页坏链检测 网站DNS监测 网站
7、可用性监测1.3.4 安全事件应急响应针对用户信息系统可能发生的信息安全事件,通过引入专业 的安全事件应急相应服务:在接到用户应急响应服务请求后,由 专业安全公司的安全专家提供远程安全支持和现场安全支持,判 断事件类型,协助客户降低影响,并提供分析建议。对攻击进行 抑制,降低损失。应急响应服务完成后服务人员会整理详细的事故处理报告, 内容包括事故原因分析、已造成的影响、处理办法、处理结果、 预防和改进建议等提交给用户相关人员。1.3.5 等级保护安全建设整改按照国家有关规定和标准规范的要求,对现有信息系统开展 信息安全等级保护安全建设整改工作。通过落实安全责任制,开 展管理制度建设、技术措施建
8、设,落实等级保护制度的各项要求, 使现有信息系统安全管理水平明显提高,安全保护能力明显增强, 安全隐患和安全事故明显减少。并坚持管理和技术并重的原则, 将技术措施和管理措施有机结合,建立信息系统综合防护体系, 提高信息系统整体安全保护能力。同时依据信息系统安全等级 保护基本要求建立并落实各类安全管理制度,开展人员安全管 理、系统建设管理和系统运维管理等工作,落实物理安全、网络 安全、主机安全、应用安全和数据安全等安全保护技术措施。1.3.6 信息系统安全通告信息安全是动态发展的。面对日益演变的安全攻击手段和系 统安全漏洞的不断发现和利用,信息系统所面临的风险也在不断 变化。基于此,建议客户实时
9、关注安全动态,了解最新的安全技 术和安全理念。我们建议安全公告服务主要包括: 系统漏洞信息将一段时期内,各操作系统、应用系统、网络设备等的最新 安全漏洞进行通告,包括漏洞威胁、影响平台及修补方法等。 病毒信息将一段时期内,最具威胁性的病毒信息进行通告,包括病毒 危害、感染原理及防护措施等。 安全预警一旦出现将可能造成大规模网络攻击事件的安全漏洞或病 毒木马,进行及时的安全预警,积极进行补丁修复和安全防护。 信息安全事件将一段时期内,相关信息安全事件进行通告,避免客户信息 系统遭遇同样安全攻击事件,造成严重损失。 安全技术研究专业信息安全团队对最新安全技术进行深入研究,包括信息 系统漏洞挖掘、风
10、险分析以及安全防护技术。1.3.7 信息安全管理策略信息安全管理策略是信息系统生命周期的重要环节,管理策 略制定服务是根据应用系统面临的安全威胁分析或评估结果,对 客户授权的信息系统进行安全策略设计、部署,并对已经制定实 施的系统安全管理策略效果进行验证、调整和改进,我们建议系 统安全策略涉及到的主要内容为: WEB应用安全管理制度 日志管理与审核制度 账号口令管理制度 防病毒服务器日常维护制度 补丁加载管理制度 风险评估实施细则 安全事件应急响应流程1.3.8 管理人员安全培训通过信息安全培训服务,加强广大员工的信息安全意识,提 高客户应对信息安全风险的能力,同时提高系统管理员的安全运 维水
11、平,为企业创造一个良好的信息安全氛围。我们建议安全培 训服务主要包括: 信息系统安全威胁 常见信息系统入侵技术 信息系统防护体系 风险评估与等级保护1.3.9 信息系统安全测评针对甲方现有信息系统进行等级测评,测评内容包括:测评 包括安全技术测评和安全管理测评两大部分,其中安全技术测评 包括物理安全、网络安全、主机安全、应用安全、数据安全及备 份恢复等五个技术层面,安全管理测评包括安全管理制度、安全 管理机构、人员安全管理、系统建设管理和系统运维管理等五个 安全管理方面的内容。1.3. 10咨询服务乙方还为甲方提供如下一些免费的咨询服务:L安全产品采购咨询服务2 .最新网络安全技术服务3 .应
12、用系统安全相关的技术咨询服务3.1. 11呼叫中心服务甲方的维护范围内的设备出现问题,乙方提供12个月*7天 工作日*24小时呼叫中心服务,专人专线接受维修请求,负责联 系相应生产商、供应商的售后服务部门、人员通知、和维护落实 工作。工作服务热线:L4安全服务所包括的设备范围每年的常规服务费用包括的设备范围在附件的设备清单。1. 7下属情况不在乙方服务范围之列1 .电信线路故障。2 .合同在任一方由于不可抗力的原因,及该方不能控制的事 件发生如战争、暴乱、罢工、禁运、自然力或政府干涉的条件下 无法正常履行合同,则合同应延期执行,延期的时间应与时间的 持续时间相等,合同双方不必承担延误责任。3
13、.8其他服务约定1 .甲方应该配合乙方真实地列出需要维护的设备清单。2 .在现场维护时,甲方应及时向乙方提供一个有效运行的系 统环境、必要的系统技术和相关信息和数据,并保证乙方的网络 工程师能够接触到所需维护的软硬件。并在维护工作结束后,在 乙方的维护记录单上签字确认本次维护工作,并提出相应的意见。3 .如果甲方对乙方工程师的服务不满意时,有权要求乙方更 换工程师。4 .当乙方为甲方提供了备件时,如果甲方设备确实已经损坏 无法修复时,甲方需要购买新的替代设备或将备件买下,不能无 故不归还乙方的备件设备。5 .乙方员工严格按照相关的中国数据保护法律,保证对在甲 方所接触到的一切企业数据,不泄露给
14、其他个人和公司,更不作 为商业的目的而出售,如果违反则乙方须承担相应的法律责任。6 .合同价格1 .合同设备的价格(以下称为:合同总价)为:元(大写: 元整)。2 .开始提供服务的时间为,收到甲方合同款开始的2天内开 始。3 .合同有效期L本合同的有效期为从合同签订起的一年时间,但本合同仅 在乙方收到第一次服务款后对乙方具有约束力。4 .合同到期后,本维护服务合同可根据当时的情况自动延长 一年,合同双方中的任何一方也可以提前一个月书面通知对方解 除合同。5 .付款条款L甲方每年支付给乙方的服务费用为人民币:元 整 ( 元)。2.付款方式:在本合同签订后一周内支付全部合同金额。5.违约责任1 .
15、无论甲乙双方任何一方违约,都需要对方支付一定的违约 赔款,每次违约赔款的多少由双方友好协商确定,但是每次违约 赔款不应该超过本期合同总金额的0. 5%,合同期内的赔偿总额不 超过合同总额的5%2 .甲方有责任更具合同按期支付服务费用。若甲方未能按期 支付服务费用,则应向乙方支付合同金额5%的违约金,一方有权 决定解除合同,停止对甲方提供维修服务。6 .技术支持服务项目组成员甲方指定为项目负责人,来同乙方共同确定每次的服务内容、 服务结果和服务时间,并代表甲方与乙方联系。乙方定期向该负责人汇报网络 现状。7 .优惠措施1 .乙方在举行各项安全技术推广和安全培训活动时,会优先 邀请甲方参加。如果是收费培训时,甲方享有最低折扣优惠,具 体优惠折扣根据培训相关事宜确定。2 .充分利用一方的培训中心,为甲方提供认证的专业工程师 培训和资格考试,同时定期向甲方提供培训信息。8 .服务保证针对行业的特殊性,乙方为甲方提供高优先级服务(12个月 *7天*24小时),乙方的工程师在接