1、付 款 人：长沙市交通运输信息中心

2、合同总金额：不含税金额199716.98元，税金11983.02元，含税总额人民币（大写）贰拾壹万壹仟柒佰元整，（211700.00元）

3、付款方式：项目安装调试完毕、出具测评报告、经甲方验收合格后，乙方提供相关票据，甲方支付乙方合同金额的100%。

4、本项目采用费用包干方式建设，乙方应根据项目要求和现场情况，详细列明项目所需的货物及材料购置，以及产品运输保险保管、货物安装、测试通过验收、质保期免费保修维护等所有人工、管理、财务等所有费用，在项目实施中出现任何遗漏，均由乙方免费提供，甲方不再支付任何费用。

5、如初次测评结论为“差”，甲方应根据乙方提交的《差距分析报告》在半年内对被测等级保护对象进行改进，并通知乙方进行回归测试，乙方根据回归测试结果出具最终测评报告；如因甲方改进导致半年内未出报告的，乙方有权根据甲方实际测评结论出具报告，甲方收到报告后7个工作日须一次性支付乙方余款。

6、乙方收款户名及帐户：

收款单位：湖南省金盾信息安全等级保护评估中心有限公司

开户银行：中国建设银行股份有限公司长沙麓谷科技支行

账 号：4305 0178 5036 0000 0890

乙方根据甲方提供的交通运行监测预警系统、交通综合业务辅助与决策系统、应急指挥调度系统、综合服务协调管理系统（定级为三级）的详细资料，依据《信息安全技术网络安全等级保护基本要求》（GB-T 22239-2019）、《信息安全技术网络安全等级保护测评要求》（GB-T 28448-2019）对甲方的以上系统进行安全等级测评。测评内容包含：安全计算环境、安全物理环境、安全通信网络、安全区域边界、安全管理中心等五个技术层面，以及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个管理层面实施测评。

2、乙方通过测评结果的分析，判断安全管理和安全技术的各个方面与测评指标的符合程度，找出信息系统的安全保护程度与国家等级保护要求之间的差距，客观反映现有安全状况、当前存在的不足以及可能存在的风险，提出差距分析建议。最终完成并提交签章为“湖南省金盾信息安全等级保护评估中心有限公司”的交通运行监测预警系统、交通综合业务辅助与决策系统、应急指挥调度系统、综合服务协调管理系统的《等级测评报告》。

3. 为了保障长沙市交通运输局综合协调与应急指挥中心（TOCC）系统的“交通运行监测预警系统、交通综合业务辅助与决策系统、应急指挥调度系统、综合服务协调管理系统”安全、稳定、可靠、高效的运行，按照相关的国家、行业的安全标准要求，需要对其进行安全等级保护三级测评。测评内容包括：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。通过测评，对照相应安全等级保护要求进行差距分析，排查系统安全漏洞和隐患并分析其风险，制订出整改措施，出具测评报告。具体内容包括：

3.1、对长沙市交通运输局综合协调与应急指挥中心（TOCC）的“交通运行监测预警系统、交通综合业务辅助与决策系统、应急指挥调度系统、综合服务协调管理系统”的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理共10个层面通过访谈、检查、测评等方法进行初测评，找出差距、安全漏洞和隐患并分析其风险，制订出整改建议报告。

3.2、对经过整改后的信息系统进行回归测评，并正式形成《信息系统安全等级保护测评报告》。

4、测评内容包括信息系统技术安全性测评及信息系统管理安全测评：

4.1、信息系统技术安全性测评包括但不限于：物理安全、网络安全、主机安全、应用安全、数据安全。

4.2、信息系统管理安全测评包括但不限于：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。

5、服务要求：

（一）成果要求

1、信息系统技术安全性测评

1.1、物理安全测评

物理安全检测应当包含：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。

1.2、网络安全测评

网路安全测评应当包含：结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等。

1.3、主机安全测评

主机安全测评应当包含：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。

1.4、应用安全测评

应用安全测评应当包含：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。

1.5、数据安全及备份恢复测评

数据安全及备份恢复测评应当包含：数据完整性、数据保密性、备份和恢复。

2、信息系统管理安全测评

2.1、安全管理制度测评

安全管理制度测评应当包含：管理制度、制定与发布、审批和修订。

2.2、安全管理机构测评

安全管理机构测评应当包含：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

2.3、人员安全管理测评

人员安全管理测评应当包含：人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员访问管理。

2.4、系统建设管理测评

系统建设管理测评应当包含：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、测评、安全服务商选择。

2.5、系统运维管理测评

系统运维管理测评应当包含：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。

3、风险分析和评价

依据GB/T 20984-2007《信息安全技术 信息安全风险评估规范》，针对长沙市交通运输局综合协调与应急指挥中心（TOCC）系统采用风险分析方法，分析信息系统测评结果中存在的安全问题可能对信息系统安全造成的影响，并给出发现的安全问题以及风险分析及评价情况。

（二）过程要求

1、项目进度要求

本项目测评实施要求同步实施、重点先行、阶段性成果展现相结合。

具体实现进度要求如下：

本次信息系统安全等级保护测评服务工作分为：测评准备、方案编制、现场测评、问题整改、回归测评、报告编制等几个阶段。

（1）第一阶段：

组建项目组，制定信息安全测评项目计划书、测评实施方案以及人员安全培训计划，并提交长沙市交通运输信息中心审核。

（2）第二阶段：

进行现场测评，同时对甲方信息安全相关管理和技术人员进行安全技术培训。初次测评完成后，提交初评的整改意见报告。

（3）第三阶段：

协助甲方针对测评过程中发现的安全问题进行技术整改加固工作，并进行整改后的回归测评。

（4）第四阶段：

整理测评结果，向甲方提交被测信息系统安全等级保护测评报告以及相应文档。

2、项目实施要求

依据国家各项相关标准法规和长沙市交通运输局现有的规范、制度，同时结合项目实际需要，对信息安全等级保护项目工作中的定级、备案、测评（包括测评范围、测评方法等）、整改（包括整改方法、范围等）过程中，所需的产品、技术、制度、流程、建设要求和实施规范等方面，提供咨询、测评、整改建议以及整个建设过程的监督和管理等服务。提供的整改方案，包括整体流程、技术方法和服务方案等，发现系统不足，明确安全风险隐患和差距，提出整改意见，协助甲方信息安全管理人员进行整改。

乙方负责提供的服务内容至少应包括，但不限于以下各项：

（1）乙方在信息安全等级保护测评前应制定详细的技术方案，包括信息安全等级保护测评项目计划书、测评实施方案以及人员安全培训计划等，并提交甲方审核。

（2）信息安全等级保护测评包括但不限于以下对象：网络结构、网络服务、主机系统、存储备份系统、数据库、中间件、应用系统、数据安全、安全系统、系统安全策略等。

（3）乙方应描述测评服务的技术方案，包括准备工作、技术措施、人员安排、时间进度、可能对系统造成的影响等。

3、安全测评工作应尽量选择在非业务繁忙时段进行，将对被测系统可能带来的影响减至最小。

4、乙方应书面承诺能够积极与甲方协作，共同完成本项目的测评工作，项目实施过程中出现问题不得互相推诿，双方应主动进行沟通，并及时解决问题，确保项目顺利实施。

（三）实施要求

1、开展测评活动的必须为本机构测评师或者取得等级测评师证书与上岗证的测评人员。

2、项目完成后，乙方应将项目有关的全部资料，包括产品资料、技术文档、施工图纸等，移交甲方。

（四）服务保障与承诺

1、乙方应严格按照测评人员执业守则，按照国家相关法规、规范、标准及制定的测评方案、项目计划书、实施细则进行测评，在保证质量、安全的前提下，确保在项目规定的期限内按期完成。

2、乙方应协助、配合甲方与上级监管部门、公安机关的沟通协调。在测评过程中和测评完成后，协助、配合甲方进行相关的信息系统安全整改，确保已定级系统达到等级保护的相关要求，并通过上级监管部门和公安机关的审核验收。

3、乙方应在项目期内向甲方提供7*24小时电话咨询服务，必要时上门服务。跟踪信息安全等级保护的最新发展情况，及时告之甲方，提供相应解决方案及建议，协助其持续符合信息系统信息安全等级保护工作的要求。

4、乙方应在项目实施过程中，对甲方相关人员进行安全方面的技术培训，明确项目实施的思路、方案、技术路线，提升技术人员的安全意识，可以独立的对信息安全等级保护的国家安全政策和法规进行把握，了解测评整改手段，掌握测评整改方法。

5、乙方应在项目开始前，与甲方签订保密协议，严格遵守法律法规，对甲方商业秘密、系统风险信息、项目实施内容及成果信息进行严格保密，未经甲方同意，严禁将上述内容与任何第三方透露或用于其他商业用途，并承担由此产生的一切损失。

1、基于国家信息系统安全等级保护相关标准和文件的要求，针对所有应用系统，结合用户方的组织架构、业务要求、系统实际情况，通过一套规范的等保整改评估过程，帮助用户方进行等级保护符合性检查，明确等级保护差距，对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对网络及应用系统基本安全保护状态的分析给出等级测评结论（结论为符合、基本符合、不符合）。

2、测评工作和《等级保护整改建设方案》的编制需结合甲方的实际运行情况，并满足国家及主管部门对等级保护的要求和各项技术标准。

1、 项目验收国家有强制性规定的，按国家规定执行，验收报告作为申请付款的凭证之一。

2、 验收过程中产生纠纷的，由质量技术监督部门认定的检测机构检测,如为乙方原因造成的，由乙方承担检测费用；否则，由甲方承担。

3、 甲方验收前要求乙方提供测评报告。按照政府采购程序验收。

4、 验收时由验收小组对所提交的测评报告检验，并出具最终的验收报告。

5、 凡验收不合格，由乙方返工直至合格，有关返工、再行验收。连续两次项目验收不合格的，甲方可终止合同，由此带来的一切损失由乙方承担。

1、双方向对方提供的所有资料（包括但不限于网络建设方案、系统结构拓扑图、IP地址分配表等）和双方谈判的内容、涉及的报价、形成的文件及签订的合同或协议、以及在履行合同过程中知悉的对方经营信息、业务信息等均属保密范畴（合称保密资料）；

2、双方承诺在任何时候、任何场合均有义务保证前述保密资料的安全，并在项目实施过程中做好保密资料的登记工作；

3、任何一方未经对方许可不得将保密资料全部或部分传递、泄露或散布给他人，也不得协助或默许他人以任何方式取得保密资料及其副本；但法律法规、一方上市机构要求的除外。

4、任何一方不得利用保密资料损害对方利益。如无意进行合作或合同解除后，应归还全部保密资料；

5、任何一方若有违反本条规定，应承担相关的法律责任，并赔偿对方由此造成的经济损失。

6、甲方、乙方依照本合同约定解除合同或本合同履行完毕后，本保密条款仍然有效，保密资料接收方仍应承担保密义务。除非有对方的书面许可，或该保密资料已被所有方认为不再是商业秘密，或已在社会上公开。

1、本项目实施方法的知识产权归乙方所有；本项目实施结果的知识产权归甲方所有。

2、乙方保证其在提供服务和形成资料的过程中所使用的文件、资料、软件及其他物品均可合法地不受打扰地用于本合同项下相关事项的执行。乙方保证其服务与资料不侵犯任何第三方的知识产权，不存在任何与此相关的争议，并可由甲方为其业务或经营管理之目的自由使用。如甲方因使用本合同下的乙方服务与乙方资料引起与第三方纠纷，产生的一切法律责任与费用由乙方承担。

1、本合同的补充协议（如有）与本合同具有同等的法律效力。原协议与补充协议不一致的，则以补充协议为准。

2、本合同一式肆份，甲乙双方各执贰份。合同自双方法定代表人/负责人或其授权代理人签字并盖章之日起生效。

（此页为签署页，以下无正文）