合同编号：

等级保护测评服务合同书

项目名称： 等级保护测评服务

委托方（甲方）： 贵州省能源局

受托方（乙方）：四川中成基业安全技术有限公司

签订时间： 2023 年 11 月 日

签订地点：贵州省贵阳市云岩区

等级保护测评服务合同书

甲方名称：贵州省能源局

地 址：贵阳市云岩区瑞金北路172号

法定代表人：陈华

项目联系人：姜小兰

联系电话：0851-********

电 话：*********41

乙方名称：四川中成基业安全技术有限公司

地 址：成都市高新区科园三路4号火炬时代A区12楼附3号

法定代表人：余广泷

项目联系人：龙旖旎

联系电话：*********22

依据《中华人民共和国民法典》的规定,甲乙双方就贵州省“能源云”综合应用管理平台、贵州省能源局门户网站网络安全等级保护测评项目的技术服务内容，经平等协商后达成一致意见，签订本合同以资共同遵守。

一、服务内容

1、乙方根据甲方提供的如下信息系统：贵州省“能源云”综合应用管理平台（定级为三级）、贵州省能源局门户网站（定级为二级）的详细资料，依据《信息安全技术 网络安全等级保护基本要求》（GB/T *****-2019）、《信息安全技术 网络安全等级保护测评要求》（GB/T *****-2019）、对甲方的以上系统进行安全等级测评。测评内容包含：安全计算环境、安全物理环境、安全通信网络、安全区域边界、安全管理中心等五个技术层面，以及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个管理层面实施测评。

2、乙方通过测评结果的分析，判断甲方信息系统在安全管理和安全技术的各个方面与测评指标的符合程度，找出甲方信息系统的安全保护程度与国家等级保护要求之间的差距，客观反映现有安全状况、当前存在的不足以及可能存在的风险，提出存在的安全问题和整改建议。最终出具符合国家标准要求的，签章为“四川中成基业安全技术有限公司”的贵州省“能源云”综合应用管理平台、贵州省能源局门户网站 2个系统的《网络安全等级保护测评报告》 2 式 2份。

3、服务内容表

二、工作条件和协作事项

1、甲方需指定本单位内一个专门部门作为配合乙方安全等级测评的接口单位，并指派专门人员（如安全管理员、网络管理员、系统管理员、开发人员等）（姓名：李福原联系电话：**********6）全程配合参与测评项目的工作，向乙方提供进行安全等级测评所需的信息及资料，并配合乙方为履行本合同而进行的必要活动（包括但不限于现场安全核查、技术测试、项目协调等），如甲方指派的人员变更，应当提前三个工作日书面通知乙方。甲方具体需提供的资料以及需甲方准备的测评条件以乙方提交的资料清单为准。乙方应当在约定时间内及时向甲方说明及反馈缺少的相关资料文件。若乙方未在约定时间内及时反馈说明的，视为甲方已按约向乙方提供了合格的相关资料文件。乙方因此逾期向甲方出具相应报告等工作成果的，甲方不因此承担任何责任，且乙方应当按本合同约定承担相应的违约责任。

乙方指定 龙旖旎 作为联系人（联系电话 *********22)，负责协调与本合同相关的乙方人员与资源。

2、乙方开展的所有工作，全程接受甲方的监督检查。

3、合同签署生效后，被测单位提供被测系统的备案证书、现场测评授权书、验证测试授权书。乙方在签订合同且甲方被测评系统已经上线、甲方已完全提供测评所需相关技术资料后，方具备测评进场条件。乙方自项目进场之日起2个月内，完成现场测评工作并出具报告的电子档。若因特殊情况，乙方不能按时出具报告电子档，由乙方向甲方申请并取得甲方同意后，出具报告时间由双方另行约定。

4.本协议自双方法定代表人/负责人（或授权代表）签字并加盖公章（或合同专用章）之日起生效，本协议有效期至甲方对乙方提交的纸质版验收资料验收合格后60日截止。如双方签署时间不一致，自较迟签署日起生效。

三、报酬及支付方式

1、含税合同总价为人民币（大写）伍万捌仟元整（￥ *****.00元整）。

2、合同签订后15个工作日内，甲方应通过银行转账的方式向乙方支付合同总金额的50%，即：人民币： ￥*****.00元（大写：贰万玖仟元整）；

3、甲方应对乙方提交的纸质版验收资料进行验收，验收合格后15个工作日内向乙方支付合同总金额剩余的50%，即：人民币：￥ *****.00元（大写：贰万玖仟元整）；

4、每次付款前，乙方应提交合法有效且经甲方认可的等额增值税发票，如因乙方未提供发票或提供的发票不符合要求导致甲方未付款的，不视为甲方违约，甲方不承担违约责任。

5、支付形式：银行转账。

6、甲方开票信息：

开户名称： 贵州省能源局

开户行： 工行贵阳威清支行

账号：240*****092********

纳税识别号:115*****009******X

7、乙方收款户名及账户：

收款单位：四川中成基业安全技术有限公司

开户银行：建设银行成都第六支行

账 号：510*****308*********

四、应急处置

在乙方提供服务过程中，如发现网络安全事件，应按甲方所属地等保办及相应标准规范进行处置。

如因乙方原因导致网络安全事故的，乙方承诺协助甲方进行应急处置，解决网络安全问题。因此造成甲方损失的，乙方应负全部赔偿责任。非乙方原因导致网络安全事故的，乙方可友情提供技术上的支持和指导，推荐合适的处置措施。

五、乙方依据本合同所完成的技术成果的知识产权归属

1、本项目实施方法的知识产权归乙方所有；本项目实施结果的知识产权归甲方所有。

2、乙方保证其在提供服务和形成资料的过程中所使用的文件、资料、软件及其他物品均可合法地不受打扰地用于本合同项下相关事项的执行，如因甲方提供测评所需相关技术资料侵犯任何第三方的知识产权，由此产生的责任由甲方自行承担，乙方不承担任何责任。乙方保证其服务与资料不侵犯任何第三方的知识产权，不存在任何与此相关的争议，并可由甲方为其业务或经营管理之目的合理使用。如甲方因合理使用本合同下的乙方服务与乙方资料引起与第三方纠纷，产生的相关法律责任与费用由乙方承担。

六、验收的方式

1.乙方出具纸质《差距分析清单》（如需）、《网络安全等级保护测评报告》前，将报告电子档发至甲方指定邮箱：*********@qq.com，发送后应及时通过电话等方式告知甲方注意查收。如甲方需变更收件邮箱则需至少提前三个工作日书面通知乙方，否则后果由甲方自行承担。甲方应在收到《网络安全等级保护测评报告》电子档5个工作日内对电子文档进行确认，若甲方未进行确认的，乙方应及时跟进沟通，待甲方确认之后向甲方交付签章的正式版纸质《网络安全等级保护测评报告》。若甲方对乙方出具的报告不认可，乙方应在收到甲方不认可信息后5日内调整报告。若该期限超过合同约定乙方提交电子档期限的，视为乙方违约。

2.如初测测评结论为“差”，甲方要求进行整改后进行回归测试再出具测评报告的，甲方应在收到乙方提交《差距分析清单》电子版文档之日起2个月内对被测等级保护对象进行整改，《差距分析清单》电子版文档交付满2个月，无论甲方是否整改完成，都应通知乙方进行回归测试，乙方根据回归测试的实际测评结果和分数出具相应结论的《网络安全等级保护测评报告》电子版文档（包括结论为“差”的报告），并交付给甲方并经甲方验收后，视为乙方已完成全部委托事项。乙方有权根据公安部要求将实际测评结果录入“公安部项目管理系统”。因甲方原因未在规定时间内通知乙方进行回归测试导致未如期交付测评报告的，由双方协商延长测评时间。

3.经甲方对乙方提交工作成果的电子版验收认可3日内，乙方应向甲方提交如下相关结果资料：带有乙方签章的正式纸质版的贵州省“能源云”综合应用管理平台、贵州省能源局门户网站《网络安全等级保护测评报告》和信息系统安全等级保护备案证明（贵州省“能源云”综合应用管理平台第三级等级保护备案证明、贵州省能源局门户网站第二级等级保护备案证明），视为验收合格。

七、违约与赔偿损失额的计算方法

1、若乙方还未进场实施测评，甲方单方面无故终止合同的，甲方应向乙方支付合同总额的10%作为违约金。若乙方已进场实施测评，甲方单方面无故终止合同，由双方协商依据乙方工作量据实结算服务费用，同时甲方应向乙方支付合同总额的10%作为违约金，违约金不足以弥补乙方直接损失的，甲方还应予以补足。

2、甲方无故且经乙方催告后未按合同约定及时足额支付款项的，每逾期一日，则应以欠付款为基数，按同期全国银行间同业拆借中心发布的市场贷款利率的标准支付逾期付款利息至实际付清之日止，甲方所支付的利息总额不超过合同总金额的3%。逾期超过三十日的，甲方除承担上述违约责任外，乙方还有权单方解除本合同，由此产生的法律后果由甲方自行承担。

3、若乙方单方面无故终止合同的，乙方除了退还甲方已支付的全部合同款项外，还需向甲方支付违约金，违约金为合同总额的10%。

4、因乙方故意或重大过失导致提交的测评报告存在重大错漏的，应向甲方支付合同总额的10%作为违约金，违约金不足以弥补甲方全部损失(直接损失及间接损失)的，乙方应承担补充赔偿责任，且甲方有权随时单方面解除本合同。

5、本合同所称违约金系双方共同协商确定，旨在约束合同的更好履行，具有惩罚及补偿的双重性质，双方同意违约方不得以任何理由要求司法裁决机构进行调整。

八、争议的解决方法

在本合同履行过程中发生的争议以及其他与本合同有关的一切争议，双方应当友好协商解决。双方协商不成的，则双方可向甲方所在地有管辖权的人民法院提起诉讼。

九、不可抗力事件

若甲乙双方的任何一方遇到不可抗力的事件，应立即通知对方并提供充分合理的证明，双方协商终止或推迟本合同的执行。任何一方对其因不可抗力事件致使对方遭受的损失不承担赔偿责任。

十、其他

1.本合同未尽事宜可由双方协商并签署补充协议，本合同的附件及补充协议（如有）与本合同具有同等的法律效力。原协议与补充协议不一致的，则以补充协议为准。

2.本合同一式伍份，甲方执贰份，乙方执叁份。合同自双方法定代表人/负责人或其授权代理人签字并盖章之日起生效。

3.本合同一经签署，未经双方同意，任何一方不得随意更改。本合同所列的附件为本合同不可分割的组成部分，与本合同具有同等的法律效力。如本合同在履行过程中有任何变更、补充或修改，双方应另行签订书面协议。

4.附件：保密协议书、现场测评授权书、风险告知单。

（以下无正文，为本合同签章部分）

甲 方： 乙 方：

法定代表人或授权代表： 法定代表人或授权代表：

签署日期： 签署日期：

附件一 保密协议书

甲方：贵州省能源局

乙方：四川中成基业安全技术有限公司

甲乙双方根据国家、地方相关规定，就双方商务、技术等商业秘密保护达成如下协议：

一、保密内容和范围

1、项目所涉及的商务洽谈内容（含服务价格）及技术交流获得提供的与本项目有关的技术资料、需求分析等内容。

2、与项目有关的设计方案、实施方案、测试记录、测试成果等内容。

3、乙方在合同期内因工作行为所接触和掌握到的甲方技术成果、设备配置、网络搭建、技术文档等相关技术资料以及甲方的全部非公开信息。

4、系统中可能包含的商业、敏感、机密的软件和数据。

5、《中华人民共和国保密法》和国家、地方有关规定的保守国家秘密的内容。

二、双方的权利和义务

1、乙方必须严格遵守甲方的保密制度，严禁泄漏国家和商业秘密及技术秘密。

2、项目实施期间未经甲或乙方书面同意，任何一方不得将任何商业秘密、技术秘密和业务信息向本项目无关的第三方泄露或复制传递，但向监管部门以及根据国家法律法规规定和政府有关部门要求提供除外。如此种情形出现，应及时告知对方。

3、甲乙双方在项目合作协议到期，项目实施完毕后，均不得将与项目有关的对方技术资料、商务资料等内容向与项目无关的第三方泄露或复制传递，但向监管部门以及根据国家法律法规规定和政府有关部门要求提供除外。

4、项目结束后，乙方应及时退回留存的样品，包括但不限于用户手册、研制报告、用户开发手册、使用说明书、数据及相关记录等涉及甲方秘密的非电子资料，并销毁所有留存的涉及甲方秘密的电子资料，包括但不限于甲方服务渠道、客户名单、交易意向、服务价格、内容、提供方式和期限等交易秘密。

三、协议期限

1、甲乙双方签署的服务合同终止后，本协议项下的保密义务并不必然终止，直至相关保密信息非因承担保密义务的一方原因成为公开信息时止或双方按照下款规定终止保密协议。

2、服务合同终止后，双方若协商一致终止本保密协议，则本协议终止。单方面终止无效。

四、违约责任

1、乙方部分违反此协议，造成甲方经济损失的，由乙方承担全部赔偿责任，甲方同时保留提起诉讼的权利。

2、甲方违反此协议，造成乙方重大经济损失，应赔偿乙方全部直接经济损失，乙方同时保留提起诉讼的权利。

3、以上违约责任的执行，超过法律、法规所赋予双方的权限的或者任何一方有异议的，该方可将争议提交甲方所在地人民法院诉讼解决

五、本保密协议经甲乙双方负责人/法定代表人或授权代表签字，并加盖公章/合同专用章后生效。

（以下无正文，为甲方贵州省能源局与乙方四川中成基业安全技术有限公司之《等级保护测评服务合同书》附件签章页）

甲方：贵州省能源局（盖章） 乙方：四川中成基业安全技术有限公司（盖章）

法定代表人或授权代表： 法定代表人或授权代表：

签署日期： 签署日期：

附件二 现场测评授权书

兹授权四川中成基业安全技术有限公司，对合同中所涉及测评服务对象进行安全测评。

双方就下列事项已达成共识：

1.授权方同意授权给被授权方对被测系统开展测评活动，包括访谈、核查、测试等测评方式；

2.授权方同意授权给被授权方对被测系统相关资产进行漏洞扫描工作；

3.授权方同意授权给被授权方对被测系统相关资产进行渗透测试工作；

4.授权方同意被授权方在测评过程中对所获取的信息进行必要的记录；

5.授权方已了解安全测评对信息系统可能会带来的如下影响：

a)对被测网络设备或主机造成异常运行或停机的可能；

b)对被测主机上的各种系统服务和应用程序造成异常运行或终止的可能；

c)测评期间，被测主机上的各种服务的运行速度可能会减慢；

d)测评期间，网络的处理能力和传输速度可能会减慢；

6.授权方在测评时段之前针对测评可能对系统带来的影响和后果已做好充分应对准备和采取适当措施（特别是测评前已做好系统的全面备份）；

7.本授权书在测评实施前提交被授权方；

8.被授权方在获得本授权书后，方能进行测评活动。

（以下无正文，为甲方贵州省能源局与乙方四川中成基业安全技术有限公司之《等级保护测评服务合同书》附件签章页）

附件三 风险告知单

致： 贵州省能源局

在测评服务实施过程中，某些检测项可能对被测系统带来一定的风险，具体如下，相关人员需对风险进行充分了解并共同进行预防和规避。

一、在工具扫描时可能带来的安全风险包含但不限于：

1、服务器或服务器上的程序、进程假死、重启等。扫描工具在扫描过程中会在网络及主机系统上产生少量的负载，向某些端口发送数据报文时，极端情况下可能导致服务器或服务器上的程序、进程假死、重启等。

2、网络设备、安全设备假死、重启等。扫描工具在扫描过程中会在网络及设备上产生少量的负载，向某些端口发送数据报文时，极端情况下可能导致设备假死、重启等。

3、网络设备、安全设备、服务器账户被锁定。扫描工具在对设备进行默认及简单口令猜测时，如果网络设备、安全设备、服务器开启了账户锁定策略，则可能会造成账户锁定，无法使用的情况。

二、数据库漏洞扫描常见风险：

1、数据库账户被锁定。扫描工具在进行PenTest默认及简单口令猜测时，如果管理员开启了账户锁定策略，则可能会造成账户锁定，无法使用的情况；

2、扫描时间过长，对数据库服务器产生负载。扫描工具在进行Audit权限检测及默认及简单口令猜测时，如果数据库库数量、账户数量较多时，可能会导致扫描时间过长，对数据库服务器产生少量的负载。

三、Web漏洞扫描常见风险：

1、Web应用无法访问。扫描工具在进行Web应用漏洞扫描时会对Web应用产生一定的负载（具体负载情况视线程数设置而定），在出现服务器性能较差、带宽较小、中间件设置不当、数据库数据量过大等极端情况下可能会造成Web应用无法访问；

2、数据库崩溃。扫描工具在进行Web应用漏洞扫描时，会添加“and”、“or”等测试脚本，如该页面存在SQL注入漏洞，且所执行的查询语句过于复杂且涉及数据量过大时，可能会对数据库产生大量负载，极端情况下可能导致数据库崩溃；

3、数据被误删除。扫描工具在进行Web应用漏洞扫描时，如所扫描的页面提供数据删除功能，且正式删除前无任何提示确认或校验，则可能会造成数据被误删除的情况；

4、产生垃圾数据。扫描工具在进行Web应用漏洞扫描时，如所扫描的页面提供用户注册、发帖、信息发布等功能，且这些页面没有任何验证码机制，则可能会往数据库中写入垃圾数据，可能造成大量注册信息、垃圾数据被误发布等情况。

四、测评过程中可能存在的风险：

1.测评过程中，人员的误操作；

2.漏洞扫描设备接入网络，造成网络速度慢；

3.网络设备出现故障，造成网络堵塞；

4.应用服务中断，造成服务暂停。

五、在渗透测试时可能带来的安全风险包含但不限于：

1)造成网络速度慢、网络设备出现故障，造成网络堵塞、应用服务中断，造成服务暂停等情况。

2)渗透性攻击测试还可能影响到服务器和系统的正常运行，如出现重启、服务中断、渗透过程中植入的代码未完全清理等现象。

3)在渗透测试完成后，测试过程中用到的测试工具未清理或清理不彻底，或者测试电脑中带有木马程序，带来在被测评系统中植入木马的风险。

4)敏感信息泄露风险，如IP地址、业务数据、安全隐患和有关文档等。

六、风险规避措施

工具扫描过程中可以采取以下措施来降低风险：

1、充分评估风险。贵单位相关工程师应对可能产生的风险做好相应的评估工作，并签署《现场测评授权书》或《放弃声明》；

2、选择合适的扫描时间。对生产环境的对象进行扫描时，可以选择合适的时间，比如业务暂停或空闲时段，降低发生意外时对业务产生的影响；

3、选择合适的对象。在扫描对象配置、环境一致的情况下，尽可能选择备机或测试环境的对象进行扫描测试，避免发生意外时对业务产生的影响；

4、扫描前的准备。在进行扫描工作前，贵单位相关工程师应对重要的数据、应用进行备份，检查锁定策略等配置情况，并告知测试人员扫描测试的起止时间；

5、扫描过程中的监控。在扫描测试过程中，贵单位相关工程师应对扫描对象进行监控，一旦发生问题，立刻告知测试人员停止扫描测试，并及时分析发生问题的原因；

6、扫描结束后的确认。在扫描测试结束后，贵单位相关工程师应确认扫描对象是否正常，如发生异常，则应及时分析发生问题的原因，并做好相应的恢复工作。

测评过程中可以采取以下措施来减小风险：

1、做好应急措施，对于可能出现的问题有所准备。

2、测试前，所有网络设备的配置文件、操作系统、数据库、应用做好相应备份。

3、测试前，确认需要测试的设备均能正常工作，正常提供服务。

4、测试后，确认需要测试的设备均能正常工作，正常提供服务。

渗透测试过程中可以采取以下措施来减小风险：

1、在渗透测试中不使用含有拒绝服务的测试策略。

2、渗透测试时间尽量安排在业务量不大的时段或者晚上。

3、在渗透测试过程中如果出现被评估系统没有响应的情况，应当立即停止测试工作，与用户相关人员一起分析情况，在确定原因后，并待正确恢复系统，采取必要的预防措施（比如调整测试策略等）之后，才可以继续进行。

4、测试人员与甲方人员保持良好沟通，随时协商解决出现的各种问题。

5、测试方自控：由渗透测试方对本次测透测试过程中的数据进行完整记录、操作、响应、分析，最终形成完整有效的渗透测试报告提交给用户。

特此告知！

（以下无正文，为甲方贵州省能源局与乙方四川中成基业安全技术有限公司之《等级保护测评服务合同书》附件签章页）