等级保护测评服务合同.docx
《等级保护测评服务合同.docx》由会员分享,可在线阅读,更多相关《等级保护测评服务合同.docx(22页珍藏版)》请在冰点文库上搜索。
等级保护测评服务合同
技术服务合同
合同编号(甲方):
合同编号(乙方):
项目名称:
委托方(甲方):
受托方(乙方):
签订时间:
签订地点:
有效期限:
xxx年xxx月至xxx年xxx月
1.技术服务项目概要-1-
2.技术服务具体要求-1-
3.甲方提供的工作条件及协作事项-1-
4.组织与管理-2-
5.技术服务报酬及支付方式-4-
6.技术服务工作成果的验收-4-
7.知识产权-4-
8.保密义务-5-
9.违约责任-5-
10.合同变更和解除-6-
11.争议解决-7-
12.名词和技术术语的定义和解释-7-
13.本合同的组成部分-7-
14.其他-7-
附件1:
技术协议书-10-
附件2:
保密协议-24-
技术服务合同
委托方(甲方):
受托方(乙方):
鉴于本合同为甲方委托乙方就xxx系统等保测评项目进行的专项技术服务,并支付相应的技术服务报酬。
为明确各自的权利和义务,双方经过平等协商,根据《中华人民共和国合同法》等有关法律法规的规定,订立本合同。
1.技术服务项目概要
1.1技术服务的目标:
完成xxx系统等保测评服务。
1.2技术服务的内容:
对xxx系统进行等级保护测评,出具《xxx系统等级保护测评报告》;详见附件1:
技术协议书。
1.3技术服务的方式:
甲方所在地现场数据采集、乙方所在地报告编制。
2.技术服务具体要求
2.1技术服务地点:
xxx。
2.2技术服务期限:
合同签订日起3个月。
2.3技术服务进度:
第一阶段:
商务沟通、合同签订及计划编写;第二阶段:
资产调研、方案编写与评审;第三阶段:
现场数据采集与整理;第四阶段:
分析与报告编制;第五阶段:
项目验收。
2.4技术服务质量要求:
按招标技术规范书要求完成等级测评服务,并提交符合要求的成果交付物。
3.甲方提供的工作条件及协作事项
3.1提供的工作条件:
(1)为测评小组准备一间容纳4~5人的办公室。
(2)提供合适的会议室及办公环境供交流使用。
(3)提供一部打印机,打印项目过程文档。
3.2提供的技术资料如下:
类别
对应文档
网络拓扑
各系统网络拓扑图
业务流程图
各系统的业务流程图
公司规范
公司下发的各类安全管理制度和规范
机房管理规范
机房的安全管理制度
维护手册/制度
日常运维的手册和制度
部门、人员岗位职责
各部门和人员的岗位职责
业务事故和网络事故案例
发生过的业务和网络安全事故记录和处理结果
口令管理办法
各类口令的制定和管理方法
业务开发设计文档
各业务开发设计文档(提供目录)
网络设备配置文档
各网络设备的配置文件(交换机、防火墙、路由器)
系统日志
网络设备和主机的日志
系统安全配置要求
部分业务和系统的安全
其他
针对不同的网络业务,我方可以查询的其他文档
3.3其他:
根据项目组的建议,做好相关数据的备份工作;并安排信息安全管理人员、系统维护人员等,配合测评小组的现场测评工作。
3.4甲方提供上述工作条件和协作事项的时间及方式:
合同履行期内、现场技术服务。
4.组织与管理
4.1在本合同有效期内,乙方应派出专业技术人员为甲方提供技术服务。
技术服务人员名单见附件《技术服务人员表》。
4.2本合同双方分别指定项目负责人如下:
(1)甲方负责人:
,电话:
;
(2)乙方负责人:
,电话:
。
(1)牵头组织本方技术服务工作;
(2)负责组织协调合同的签订、履行;
(3)负责跟踪或报告技术服务工作进展和成果;
(4)负责与另一方的沟通协调、信息传递等工作,为技术服务工作提供便利条件。
(1)负责编制整个测评工作计划和测评技术方案,沟通甲方确认后按计划开展现场服务。
(2)由于乙方技术人员操作或其他行为造成甲方信息系统运行设备、应用功能等软、硬件设备故障时,乙方应立即停止工作,并负责对上述系统、设备进行恢复消缺。
(3)乙方负责人按照相关信息系统安全防护系统规定与甲方签订保密协议,并确保参与本次系统评估工作的工程技术人员严格遵守保密协议相关条款。
(4)乙方负责按照招标文件要求与甲方签订技术协议,并履行技术协议中相关职责。
(5)乙方按照技术协议要求开展保护等级测评,出具完整的测评报告、整改建议及安全评估报告,确保系统通过能源局、国网公司等监管机构及主管部门的检查、评估。
4.3人员更换
5.技术服务报酬及支付方式
5.1技术服务报酬总额为:
人民币(大写)XXX元整(¥XXX元)(含税)。
该报酬包含乙方履行本合同所需全部费用,包括但不限于员工工资、加班费、咨询费、资料费、交通费、食宿费以及税费等。
5.2技术服务报酬由甲方(一次或分期)支付乙方。
具体支付方式和时间如下:
(1)。
(2)。
(3)。
(4)。
6.技术服务工作成果的验收
6.1乙方完成技术服务工作的形式:
提交《xxx系统等级保护测评报告》。
6.2技术服务工作成果的验收标准:
完成并提交所有成果交付物;项目实施过程未造成安全事件发生。
6.3技术服务工作成果的验收方法:
召开项目评审会,甲乙双方就项目的成果和过程进行正式评审,内容包括:
最终成果和输出报告讲解和汇报;项目工作成果评审意见。
6.4验收的时间和地点:
由甲乙双方协商确定。
7.知识产权
7.1在本合同有效期内,甲方利用乙方提交的技术服务工作成果所完成的新的技术成果,归双(甲、双)方所有。
7.2在本合同有效期内,乙方利用甲方提供的技术资料和工作条件所完成的新的技术成果,归双(乙、双)方所有。
8.保密义务
8.1一方及其工作人员应对技术服务合同签订、履行过程中了解到的涉及到另一方商业秘密的文件资料以及其他尚未公开的有关信息承担保密责任,并采取相应的保密措施。
双方应承担的保密义务包括但不限于:
8.1.2不得将上述保密信息用于本合同以外的其他目的。
8.1.3在技术服务项目通过评审后或按合同要求,及时将上述资料和信息返还对方或按对方要求作适当处理。
8.2涉密人员范围
甲方涉密人员范围:
系统运行单位及参与测评人员。
乙方涉密人员范围:
等级测评项目组。
8.3上述保密义务的期限至保密信息正式向社会公开之日或一方书面解除另一方此合同项下保密义务之日止。
9.违约责任
9.1乙方不履行本合同义务或履行义务不符合约定的,甲方有权要求乙方承担继续履行、赔偿损失或支付违约金等违约责任。
9.1.1乙方未按期完成技术服务工作的,每逾期1天,应向甲方支付相当于技术服务报酬1%的违约金,逾期超过30日的,甲方有权单方解除合同。
9.1.2乙方未按合同约定履行合同义务,经甲方催告仍未纠正的,甲方有权单方解除合同。
由于整改纠正造成进度延期交付的视同逾期交付。
10%的违约金。
10%的违约金。
10%的违约金。
9.2甲方不履行本合同义务或者履行义务不符合约定的,乙方有权要求甲方承担继续履行、支付违约金等违约责任。
10%的违约金;甲方无正当理由逾期接受工作成果的,每逾期1天,应向乙方支付相当于技术服务报酬1%的违约金,逾期超过30日的,乙方有权单方解除合同。
10%的违约金。
10.合同变更和解除
10.1双方经协商一致可变更或解除合同,并以书面形式确定。
10.2有下列情形之一的,一方可以向另一方提出变更或解除合同的书面请求,另一方应当在10日内予以书面答复;逾期未予书面答复的,视为同意:
(1)因对方违约使合同不能继续履行或没有必要继续履行。
(2)无。
10.3法律规定的合同解除情形出现时,一方主张解除合同的,应当书面通知对方。
合同自通知到达对方时解除。
10.4本合同中约定可单方解除合同的,单方解除合同的条件成就时,享有解除权的一方可单方解除合同,但应书面通知对方。
合同自通知到达对方时解除。
11.争议解决
11.1因合同及合同有关事项发生的争议,双方应本着诚实信用原则,通过友好协商解决,经协商仍无法达成一致的,按以下第2种方式处理:
(1)仲裁:
提交/仲裁,按照申请仲裁时该仲裁机构有效的仲裁规则进行仲裁。
仲裁裁决是终局的,对双方均有约束力。
(2)诉讼:
向甲方所在地人民法院提起诉讼。
11.2在争议解决期间,合同中未涉及争议部分的条款仍须履行。
12.名词和技术术语的定义和解释
12.1等级测评:
指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。
13.本合同的组成部分
与履行本合同有关的下列技术文件,经双方约定,作为本合同的组成部分。
13.1技术标准和规范:
技术协议书;
13.2其他:
保密协议。
14.其他
14.1本合同经双方法定代表人(负责人)或其授权代表签署并加盖双方公章或合同专用章之日起生效。
合同签订日期以双方中最后一方签署并加盖公章或合同专用章的日期为准。
14.2本合同一式捌份,甲方执肆份,乙方执肆份,具有同等法律效力。
14.3特别约定
本特别约定是合同各方经协商后对合同其他条款的修改或补充,如有不一致,以特别约定为准。
无。
(以下无正文)
签署页
甲方:
(盖章)
乙方:
(盖章)
法定代表人(负责人)或
授权代表(签字):
法定代表人(负责人)或
授权代表(签字):
签订日期:
年月日
签订日期:
年月日
地址:
地址:
邮编:
邮编:
联系人:
联系人:
电话:
电话:
传真:
传真:
Email:
Email:
开户银行:
开户银行:
账号:
账号:
税号:
税号:
附件1:
技术协议书
1.概述
为了落实公安部、能源局和国家电网公司电力信息系统安全等级保护要求,进一步增强电力信息系统安全防护能力,确保电力信息系统安全稳定运行,依据《信息系统安全等级保护基本要求》(GB/T22239-2008)和《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)等标准规范,进行本次电力信息系统等级保护。
1.1.目的及范围
落实信息系统安全等级保护要求,健全电力信息系统安全防护体系,统一信息安全防护标准和策略,按照电力信息系统不同安全等级,通过合理分配资源,规范电力信息系统安全建设与防护,对电力信息系统分等级实施全面保护,以提高xxx系统信息安全的整体防护水平。
通过等级保护测评工作,全面、完整地了解xxx系统的现有安全状况,通过测评其与《信息系统安全等级保护基本要求》(GB/T22239-2008)、《电力信息系统安全等级保护要求(试行)》对应级别的差距,达到以检查促安全的目的,实现重要信息系统的分等级保护与监管、信息安全事件分等级响应的要求。
经甲乙双方协商,本项目的工作范围包括:
1、对xxx系统等级保护测评,出具等级保护测评报告。
1.2.要求
本次项目实施方案设计以及在具体的项目实施过程中,我方将严格遵守以下的标准和原则开展工作:
◆客观性和公正性原则
虽然测评工作不能完全摆脱个人主张或判断,但测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
◆规范性原则
安全测评过程有统一的流程,测评过程中使用的方法及使用的文档,需要具有很好的规范性,便于测评工作的质量保证,并测评保证结果的一致性。
◆标准性原则
测评方案的设计与实施应依据国家及行业等级保护的相关标准进行。
◆可控性原则
安全测评所使用的工具、方法和过程要在双方认可的范围之内,安全测评的进度要符合进度表的安排,保证双方对测评工作的可控性。
◆整体性原则
安全测评的范围和内容应当全面覆盖xxx系统所涉及的各个层面,并考虑各个层面的相互关系。
◆最小影响原则
测评工作应尽可能小地影响网络和系统的正常运行,不能对系统的业务产生显着影响。
例如:
避免造成被测评系统的性能明显下降、网络拥塞、服务中断等。
◆保密性原则
对在测评过程中所接触到的被测评单位的所有敏感信息,测评人员应遵循相关的保密承诺,不利用它们进行任何侵害被测评单位安全利益的行为。
2.项目内容
依照GB/T22239-2008《信息安全技术信息安全等级保护基本要求》和《电力行业信息系统安全等级保护基本要求》(征求意见稿)对xxx系统进行等级保护测评,确定不同等级业务系统当前安全防护现状,以及与国家和行业等级保护要求间的差距;分析其所面临的威胁及其存在的脆弱性,提出有针对性的抵御威胁的防护策略和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地防止由于电力信息系统安全事件引发电力安全事故,全面提高电力信息系统安全防护水平提供科学依据。
等级测评将覆盖物理环境、网络安全、主机安全、应用安全、数据安全及信息安全管理等方面的内容,内容包括但不限于以下内容:
1.总体要求测评:
包括总体技术要求、总体管理要求;
2.安全技术测评:
包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;
3.安全管理测评:
安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评;
4.最终版报告需加盖电力行业等级保护测评中心的印章。
3.等级保护测评方案
3.1.主要依据
ØGB/T18336-2001信息技术安全性评估准则
ØGB/T19715-2005信息技术安全管理指南
ØGB/T19716-2005信息安全管理实用规则
ØGB/T22239-2008信息安全技术信息系统安全等级保护基本要求
ØGB50174-2008电子信息系统机房设计规范
ØGB/T22239-2009信息安全技术信息系统安全等级保护基本要求
Ø公通字〔2007〕43号信息安全等级保护管理办法
Ø电监信息〔2007〕44号电力行业信息系统安全等级保护定级工作指导意见
3.2.技术思路
本项目主要技术思路是依据上述标准,对xxx系统进行等级测评,依据测评以及核查的结果综合分析给出等级测评的结果和改进建议。
具体思路如下:
(1)、使用问卷调查表,对xxx系统调研,掌握xxx系统的主要功能和业务流程。
调阅定级报告,详细了解测评范围内的xxx系统及其包含的信息资产,为下一步测评指标的选取做好准备。
(2)、在用户许可的情况下,对xxx系统的关键设备和关键系统进行手工配置检查,对网络拓扑结构进行合理性分析,对应用系统进行安全性分析,发现和分析系统安全技术方面与国家及行业要求之间的差距。
(3)、采用安全核查表的形式从管理层面和技术规范层面,对xxx系统进行现场的安全管理核查,了解包括人的因素在内的系统运行状况。
通过对核查结果的分析,发现和分析管理层面与国家及行业要求之间的差距。
(4)、在安全技术测试和安全管理核查的基础上,根据xxx系统的特点,发现和分析安全控制间、层面间以及区域间的相互关联关系,以及安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及xxx系统整体结构安全性、不同信息系统之间整体安全性等。
3.3.工作流程
xxx系统等级测评工作可以分为四个项目活动阶段具体实施,分别是:
测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。
主要工作流程如下图所示:
1)测评准备阶段
测评准备阶段主要完成启动测评项目,组建测评项目组;通过收集和分析被测系统的相关资料信息,掌握被测系统的大体情况;通过调阅定级报告,掌握各系统所确定的安全重要程度;并通过编制测评方案以及准备测评工具和文档等任务,为顺利实施现场测评工作打下良好的基础。
测评准备阶段实施的主要活动包括:
项目启动、信息收集和分析、编制测评方案及工具和文档准备。
2)方案编制阶段
本阶段是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。
本活动的主要任务是开发与被测信息系统相适应的测评内容、测评实施手册等,形成测评方案。
3)现场测评阶段
本阶段是开展等级测评工作的核心活动。
本活动的主要任务是按照测评方案的总体要求,严格执行测评实施手册,分步实施所有测评项目,包括单项测评和系统整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
现场测评阶段通过与被测单位进行沟通和协调,为现场测评的顺利开展打下良好基础,然后依据测评方案实施现场测评工作,将测评方案和测评工具等具体落实到现场测评活动中。
现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。
4)报告编制阶段
本阶段是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。
本活动的主要任务是根据现场测评结果和《信息系统安全等级保护测评过程指南》的有关要求,通过单项测评结果判定和系统整体测评分析等方法,分析整个系统的安全保护现状与相应等级的保护要求之间的差距,综合评价被测信息系统保护状况,并形成测评报告文本。
测评人员在初步判定单项测评结果后,还需进行系统整体测评,经过系统整体测评后,有的单项测评结果可能会有所变化,需进一步修订单项测评结果,而后形成等级测评结论。
最终组织专家对测评结论进行评审。
3.4.测评方法
等级测评的主要方式有:
访谈、检查和测试。
Ø访谈
访谈是指测评人员通过与xxx系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据表明xxx系统安全保护措施是否落实的一种方法。
在访谈的范围上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。
Ø检查
检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取证据以证明国xxx系统安全等级保护措施是否得以有效实施的一种方法。
在检查范围上,应基本覆盖所有的对象种类(设备、文档、机制等),数量上可以抽样。
Ø测试
测试是指测评人员通过对测评对象按照预定的方法/工具使其产生特定的响应等活动,查看、分析响应输出结果,获取证据以证明xxx安全等级保护措施是否得以有效实施的一种方法。
在测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
3.5.测评原则
对于各种类型测评对象数量的选择采取抽样的方式,其数量应能够满足各级系统整体测评分析的需要。
本项中涉及的设备、设施、人员和文档的抽样结果需在系统完整调查之后最终确定,并与用户单位沟通确认。
◆三级及以上系统
重点抽查“主要”的设备、设施、人员和文档,其中必查的测评对象主要包括:
●主机房和部分辅机房(包括其环境、设备和设施等),必查的辅机房中放置了服务于xxx系统的局部(包括整体)或对xxx系统的局部(包括整体)安全性起重要作用的设备、设施;
●重要介质的存放环境,存储被测系统重要数据的介质的存放环境。
●整个系统的网络拓扑结构;
●安全设备,包括防火墙、IDS和防病毒网关等;
●边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等。
●主要网络互联设备,对整个xxx系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机等;
●服务器中的主要服务器(包括其操作系统和数据库),指承载被测系统主要业务或数据的服务器;
●终端中的主要终端,包括管理终端和主要业务应用系统的终端,抽查其中的一部分;
●应用系统中的主要应用系统,指能够完成被测系统不同业务使命的业务应用系统;
●硬件冗余设备(重要网络、服务器和通信线路);
●业务备份系统;
●安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人、所有管理制度和记录;
4.项目质量管理与控制
4.1.项目质量承诺
为了保证本次项目的品质和质量,我方承诺:
●根据标准性、规范性、可控性、整体性、最小影响性及保密性原则,做到守时、保质;
●指派工作经验丰富、技术实力雄厚的安全顾问结合技术领先、结论可靠的测评工具为xxx系统作全面的等级保护符合性测评。
承诺咨询过程按照国际标准进行,并保证对客户的资料严格保密;
●确保选派高级专家参与整个项目保证项目质量,并在收到中标通知后,立即召集参与项目的专家准备项目实施;
●在指定的地点进行测评工作和等级保护符合性测评报告的编写,在测评期间和测评结束后,不带走测评中的重要资料和结果。
4.2.项目管理方法
在项目的实施过程中,根据项目的具体要求,整个项目的管理参考美国项目管理协会PMI提出的项目管理方法学,以及一些安全专业领域的专家、顾问对项目的实施进行规范管理实施。
同时通过规范化的项目管理,保证项目进程中的过程的质量。
4.3.项目变更管理
不受控制的项目变更,包括目标变更、范围变更、人员变更、环境变更、文档修改等等是对项目质量的重大威胁。
但是,期望实施过程中不出现变更也是不现实的。
客观上,项目可能需要随时修改自己的计划、调整资源分配等以适应项目的最新情况。
变更控制的关键在于使得变更的出现和接受被置于项目双方的严格管理中。
本项目中由专门的质量保证工程师负责全程监管项目中随时可能出现的变更情况,保证不同层次的变更能够得到相应的、适当的处理,所有重要的修改都经过项目双方的认真讨论和确认。
在确认接受变更的情况下,项目双方可能需要重新审定工期、资源、目标、甚至商务等相关条文,并且通过配置管理保证所有人员和基线相关条目都得到了更新。
对于项目变更管理流程如下图:
4.4.风险与控制
可能存在的风险
1.验证测试对运行系统可能会造成影响
在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。
2.敏感信息泄漏
泄漏被检测单位xxx系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。
3.对测评结果的争议
测评方和被测评单位对测评结果可能存在争议。
风险的规避
1.签署委托测评协议
在测评工作正式开始之前,测评方和被测评单位需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求、以及双方的责任和义务等。
使得测评双方对测评过程中的基本问题达成共识,后续的工作以此为基础,避免以后的工做出现大的分歧。
2.签署保密协议
测评双方应签署完善的、合乎法律规范的保密协议,以约束测评双方现在及将来的行为。
保密协议规定了测评双方保密方面的权利与义务。
测评工作的成果属被测评单位所有,测评方对其的引用与公开应得到被测评单位的授权,否则被测评单位将按照保密协议的要求追究测评单位的法律责任。
3.现场测评工作风险的规避
进行验证测试时,测评方需要与被测评单位充分的协调,安排好测试时间,尽量避开业务高峰期,在系统资源处于空闲状态时进行,并需要被测评单位对整个测试过程进行监督;在进行验证测试前,需要对关键数据做好备份工作,并对可能出现的影响制定相应的处理方案;上机验证测试原则上由被测评单位提供相应的技术人员进行操作,测评人员根据情况提出需要操作的内容,并进行查看和验证。
避免由于测评人员对某些专用设备不熟悉造成误操作。
4.规范化的实施过程
为保证按计划、高质量地完成测评工作,应当明确测评记录和测评报告要求,明确测评过程中每一阶段需要产生的相关文档,使测评有章可循。
在委托协议和测评方案中,需要明确双方的
升级会员 