XXX等级保护测评服务合同

技术服务合同

合同编号（甲方）：

合同编号（乙方）：

项目名称：

委托方（甲方）：

受托方（乙方）：

签订时间：

签订地点：

有效期限：xxx年xxx月至xxx年xxx月

目录

1.技术服务项目概要.................................................................................................................... - 0 -

2.技术服务具体要求.................................................................................................................... - 0 -

3.甲方提供的工作条件及协作事项............................................................................................ - 0 -

4.组织与管理 ............................................................................................................................... - 1 -

5.技术服务报酬及支付方式........................................................................................................ - 2 -

6.技术服务工作成果的验收........................................................................................................ - 3 -

7.知识产权 ................................................................................................................................... - 3 -

8.保密义务 ................................................................................................................................... - 3 -

9.违约责任 ................................................................................................................................... - 4 -

10.合同变更和解除...................................................................................................................... - 5 -

11.争议解决 ................................................................................................................................. - 5 -

12.名词和技术术语的定义和解释.............................................................................................. - 6 -

13.本合同的组成部分.................................................................................................................. - 6 -

14.其他 ......................................................................................................................................... - 6 - 附件1：技术协议书..................................................................................................................... - 8 - 附件2：保密协议 ...................................................................................................................... - 22 -

技术服务合同

委托方（甲方）：

受托方（乙方）：

鉴于本合同为甲方委托乙方就xxx系统等保测评项目进行的专项技术服务，并支付相应的技术服务报酬。为明确各自的权利和义务，双方经过平等协商，根据《中华人民共和国合同法》等有关法律法规的规定，订立本合同。

1.技术服务项目概要

1.1技术服务的目标：完成xxx系统等保测评服务。

1.2技术服务的内容：对xxx系统进行等级保护测评，出具《xxx 系统等级保护测评报告》；详见附件1：技术协议书。

1.3技术服务的方式：甲方所在地现场数据采集、乙方所在地报告编制。

2.技术服务具体要求

2.1技术服务地点：xxx。

2.2技术服务期限：合同签订日起3个月。

2.3技术服务进度：第一阶段：商务沟通、合同签订及计划编写；第二阶段：资产调研、方案编写与评审；第三阶段：现场数据采集与整理；第四阶段：分析与报告编制；第五阶段：项目验收。

2.4技术服务质量要求：按招标技术规范书要求完成等级测评服务，并提交符合要求的成果交付物。

3.甲方提供的工作条件及协作事项

3.1提供的工作条件：

（1）为测评小组准备一间容纳4~5人的办公室。

（2）提供合适的会议室及办公环境供交流使用。

（3）提供一部打印机，打印项目过程文档。

3.2提供的技术资料如下：

3.3其他：根据项目组的建议，做好相关数据的备份工作；并安排信息安全管理人员、系统维护人员等，配合测评小组的现场测评工作。

3.4甲方提供上述工作条件和协作事项的时间及方式：

合同履行期内、现场技术服务。

4.组织与管理

4.1在本合同有效期内，乙方应派出专业技术人员为甲方提供技术服务。技术服务人员名单见附件《技术服务人员表》。

4.2本合同双方分别指定项目负责人如下：

（1）甲方负责人：，电话：；

（2）乙方负责人：，电话：。

4.2.1甲方项目负责人的主要职责为：

（1）牵头组织本方技术服务工作；

（2）负责组织协调合同的签订、履行；

（3）负责跟踪或报告技术服务工作进展和成果；

（4）负责与另一方的沟通协调、信息传递等工作，为技术服务工作提供便利条件。

4.2.2乙方项目负责人的主要职责

（1）负责编制整个测评工作计划和测评技术方案，沟通甲方确认后按计划开展现场服务。

（2）由于乙方技术人员操作或其他行为造成甲方信息系统运行设备、应用功能等软、硬件设备故障时，乙方应立即停止工作，并负责对上述系统、设备进行恢复消缺。

（3）乙方负责人按照相关信息系统安全防护系统规定与甲方签订保密协议，并确保参与本次系统评估工作的工程技术人员严格遵守保密协议相关条款。

（4）乙方负责按照招标文件要求与甲方签订技术协议，并履行技术协议中相关职责。

（5）乙方按照技术协议要求开展保护等级测评，出具完整的测评报告、整改建议及安全评估报告，确保系统通过能源局、国网公司等监管机构及主管部门的检查、评估。

4.3人员更换

4.3.1一方变更项目负责人的，应当及时以书面形式通知另一方。

4.3.2乙方更换其项目负责人与其他技术服务人员，须征得甲方书面同意。

4.3.3甲方认为乙方工作人员不能胜任项目工作或玩忽职守的，有权要求乙方立即更换。上述被更换的人员无甲方另行批准不得重新参加本项目技术服务工作。

5.技术服务报酬及支付方式

5.1技术服务报酬总额为：人民币（大写）XXX元整（￥XXX元）（含

税）。该报酬包含乙方履行本合同所需全部费用，包括但不限于员工工资、加班费、咨询费、资料费、交通费、食宿费以及税费等。

5.2技术服务报酬由甲方（一次或分期）支付乙方。具体支付方式和时间如下：

（1）。

（2）。

（3）。

（4）。

6.技术服务工作成果的验收

6.1乙方完成技术服务工作的形式：提交《xxx系统等级保护测评报告》。

6.2技术服务工作成果的验收标准：完成并提交所有成果交付物；项目实施过程未造成安全事件发生。

6.3技术服务工作成果的验收方法：召开项目评审会，甲乙双方就项目的成果和过程进行正式评审，内容包括：最终成果和输出报告讲解和汇报；项目工作成果评审意见。

6.4验收的时间和地点：由甲乙双方协商确定。

7.知识产权

7.1在本合同有效期内，甲方利用乙方提交的技术服务工作成果所完成的新的技术成果，归双（甲、双）方所有。

7.2在本合同有效期内，乙方利用甲方提供的技术资料和工作条件所完成的新的技术成果，归双（乙、双）方所有。

8.保密义务

8.1一方及其工作人员应对技术服务合同签订、履行过程中了解到的涉及到另一方商业秘密的文件资料以及其他尚未公开的有关信息承担保密责任，并采取相应的保密措施。双方应承担的保密义务包括但不限于：

8.1.1未经一方书面同意，另一方不得将上述保密信息披露给任何

第三人。

8.1.2 不得将上述保密信息用于本合同以外的其他目的。

8.1.3 在技术服务项目通过评审后或按合同要求，及时将上述资料和信息返还对方或按对方要求作适当处理。

8.2 涉密人员范围

甲方涉密人员范围：系统运行单位及参与测评人员。

乙方涉密人员范围：等级测评项目组。

8.3上述保密义务的期限至保密信息正式向社会公开之日或一方书面解除另一方此合同项下保密义务之日止。

9.违约责任

9.1 乙方不履行本合同义务或履行义务不符合约定的，甲方有权要求乙方承担继续履行、赔偿损失或支付违约金等违约责任。

9.1.1 乙方未按期完成技术服务工作的，每逾期1天，应向甲方支付相当于技术服务报酬 1 % 的违约金，逾期超过 30 日的，甲方有权单方解除合同。

9.1.2 乙方未按合同约定履行合同义务，经甲方催告仍未纠正的，甲方有权单方解除合同。由于整改纠正造成进度延期交付的视同逾期交付。

9.1.3乙方提供的技术服务不符合本合同约定的验收标准，未通过甲方验收的，乙方应退还甲方已支付的全部款项，并向甲方支付相当于技术服务报酬 10 %的违约金。

9.1.4乙方违反合同约定的保密义务，应承担一切法律责任并向甲方支付相当于技术服务报酬 10 %的违约金。

9.1.5合同因乙方原因解除的，甲方有权停止支付并要求乙方退还甲方已支付的全部款项，且乙方应向甲方支付相当于技术服务报酬

10 %的违约金。

9.1.6乙方因违约需要向甲方支付违约金或赔偿损失的，甲方有权从任何一期合同应付款项中予以扣除。

9.2甲方不履行本合同义务或者履行义务不符合约定的，乙方有权要求甲方承担继续履行、支付违约金等违约责任。

9.2.1甲方不提供工作条件或提供的工作条件不符合约定，影响工作进度和质量，承担由此造成的项目延期、费用增加的责任。

9.2.2甲方逾期支付技术服务报酬的，应就逾期部分向乙方支付按照中国人民银行规定的同期贷款基准利率计算的逾期付款违约金。

9.2.3甲方无正当理由不接受工作成果的，已支付的报酬不得追回，未支付的报酬应当支付，并向乙方支付相当于技术服务报酬 10 %的违约金；甲方无正当理由逾期接受工作成果的，每逾期1天，应向乙方支付相当于技术服务报酬 1 %的违约金，逾期超过 30 日的，乙方有权单方解除合同。

9.2.4甲方违反合同约定的保密义务，应承担一切法律责任并向乙方支付相当于技术服务报酬 10 %的违约金。

10.合同变更和解除

10.1双方经协商一致可变更或解除合同，并以书面形式确定。

10.2有下列情形之一的，一方可以向另一方提出变更或解除合同的书面请求，另一方应当在10日内予以书面答复；逾期未予书面答复的，视为同意：

（1）因对方违约使合同不能继续履行或没有必要继续履行。

（2）无。

10.3法律规定的合同解除情形出现时，一方主张解除合同的，应当书面通知对方。合同自通知到达对方时解除。

10.4本合同中约定可单方解除合同的，单方解除合同的条件成就时，享有解除权的一方可单方解除合同，但应书面通知对方。合同自通知到达对方时解除。

11.争议解决

11.1因合同及合同有关事项发生的争议，双方应本着诚实信用原则，通过友好协商解决，经协商仍无法达成一致的，按以下第 2 种方

式处理：

（1）仲裁：提交/仲裁，按照申请仲裁时该仲裁机构有效的仲裁规则进行仲裁。仲裁裁决是终局的，对双方均有约束力。

（2）诉讼：向甲方所在地人民法院提起诉讼。

11.2在争议解决期间，合同中未涉及争议部分的条款仍须履行。

12.名词和技术术语的定义和解释

12.1 等级测评：指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。

13.本合同的组成部分

与履行本合同有关的下列技术文件，经双方约定，作为本合同的组成部分。

13.1技术标准和规范：技术协议书；

13.2其他：保密协议。

14.其他

14.1本合同经双方法定代表人（负责人）或其授权代表签署并加盖双方公章或合同专用章之日起生效。合同签订日期以双方中最后一方签署并加盖公章或合同专用章的日期为准。

14.2本合同一式捌份，甲方执肆份，乙方执肆份，具有同等法律效力。

14.3特别约定

本特别约定是合同各方经协商后对合同其他条款的修改或补充，如有不一致，以特别约定为准。

无。

（以下无正文）

签署页

附件1：技术协议书

1.概述

为了落实公安部、能源局和国家电网公司电力信息系统安全等级保护要求，进一步增强电力信息系统安全防护能力，确保电力信息系统安全稳定运行，依据《信息系统安全等级保护基本要求》（GB/T 22239-2008）和《电力行业信息系统等级保护定级工作指导意见》（电监信息[2007]44号）等标准规范，进行本次电力信息系统等级保护。

1.1.目的及范围

落实信息系统安全等级保护要求，健全电力信息系统安全防护体系，统一信息安全防护标准和策略，按照电力信息系统不同安全等级，通过合理分配资源，规范电力信息系统安全建设与防护，对电力信息系统分等级实施全面保护，以提高xxx系统信息安全的整体防护水平。

通过等级保护测评工作，全面、完整地了解xxx系统的现有安全状况，通过测评其与《信息系统安全等级保护基本要求》（GB/T 22239-2008）、《电力信息系统安全等级保护要求（试行）》对应级别的差距，达到以检查促安全的目的，实现重要信息系统的分等级保护与监管、信息安全事件分等级响应的要求。

经甲乙双方协商，本项目的工作范围包括：

1、对xxx系统等级保护测评，出具等级保护测评报告。

1.2.要求

本次项目实施方案设计以及在具体的项目实施过程中，我方将严格遵守以下的标准和原则开展工作：

客观性和公正性原则

虽然测评工作不能完全摆脱个人主张或判断，但测评人员应当没有偏见，在

最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。

◆规范性原则

安全测评过程有统一的流程，测评过程中使用的方法及使用的文档，需要具有很好的规范性，便于测评工作的质量保证，并测评保证结果的一致性。

◆标准性原则

测评方案的设计与实施应依据国家及行业等级保护的相关标准进行。

◆可控性原则

安全测评所使用的工具、方法和过程要在双方认可的范围之内，安全测评的进度要符合进度表的安排，保证双方对测评工作的可控性。

◆整体性原则

安全测评的范围和内容应当全面覆盖xxx系统所涉及的各个层面，并考虑各个层面的相互关系。

◆最小影响原则

测评工作应尽可能小地影响网络和系统的正常运行，不能对系统的业务产生显著影响。例如：避免造成被测评系统的性能明显下降、网络拥塞、服务中断等。

◆保密性原则

对在测评过程中所接触到的被测评单位的所有敏感信息，测评人员应遵循相关的保密承诺，不利用它们进行任何侵害被测评单位安全利益的行为。

2.项目内容

依照 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》和《电力行业信息系统安全等级保护基本要求》（征求意见稿）对xxx系统进行等级保护测评，确定不同等级业务系统当前安全防护现状，以及与国家和行业等级保护要求间的差距；分析其所面临的威胁及其存在的脆弱性，提出有针对性的抵御威

胁的防护策略和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地防止由于电力信息系统安全事件引发电力安全事故，全面提高电力信息系统安全防护水平提供科学依据。

等级测评将覆盖物理环境、网络安全、主机安全、应用安全、数据安全及信息安全管理等方面的内容，内容包括但不限于以下内容：

1.总体要求测评：包括总体技术要求、总体管理要求；

2.安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和

数据安全等五个方面的安全测评；

3.安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建

设管理和系统运维管理等五个方面的安全控制测评；

4.最终版报告需加盖电力行业等级保护测评中心的印章。

3.等级保护测评方案

3.1.主要依据

?GB/T 18336-2001 信息技术安全性评估准则

?GB/T 19715-2005 信息技术安全管理指南

?GB/T 19716-2005 信息安全管理实用规则

?GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求

?GB 50174-2008 电子信息系统机房设计规范

?GB/T 22239-2009 信息安全技术信息系统安全等级保护基本要求?公通字〔2007〕43号信息安全等级保护管理办法

?电监信息〔2007〕44号电力行业信息系统安全等级保护定级工作指导意见

3.2.技术思路

本项目主要技术思路是依据上述标准，对xxx系统进行等级测评，依据测评以及核查的结果综合分析给出等级测评的结果和改进建议。具体思路如下：

（1）、使用问卷调查表，对xxx系统调研，掌握xxx系统的主要功能和业务流程。调阅定级报告，详细了解测评范围内的xxx系统及其包含的信息资产，为下一步测评指标的选取做好准备。

（2）、在用户许可的情况下，对xxx系统的关键设备和关键系统进行手工配置检查，对网络拓扑结构进行合理性分析，对应用系统进行安全性分析，发现和分析系统安全技术方面与国家及行业要求之间的差距。

（3）、采用安全核查表的形式从管理层面和技术规范层面，对xxx系统进行现场的安全管理核查，了解包括人的因素在内的系统运行状况。通过对核查结果的分析，发现和分析管理层面与国家及行业要求之间的差距。

（4）、在安全技术测试和安全管理核查的基础上，根据xxx系统的特点，发现和分析安全控制间、层面间以及区域间的相互关联关系，以及安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及xxx系统整体结构安全性、不同信息系统之间整体安全性等。

3.3.工作流程

xxx系统等级测评工作可以分为四个项目活动阶段具体实施，分别是：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。主要工作流程如下图所示：

图等级测评基本工作流程

1)测评准备阶段

测评准备阶段主要完成启动测评项目，组建测评项目组；通过收集和分析被

测系统的相关资料信息，掌握被测系统的大体情况；通过调阅定级报告，掌握各系统所确定的安全重要程度；并通过编制测评方案以及准备测评工具和文档等任务，为顺利实施现场测评工作打下良好的基础。

测评准备阶段实施的主要活动包括:项目启动、信息收集和分析、编制测评方案及工具和文档准备。

2)方案编制阶段

本阶段是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是开发与被测信息系统相适应的测评内容、测评实施手册等，形成测评方案。

3)现场测评阶段

本阶段是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评实施手册，分步实施所有测评项目，包括单项测评和系统整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。

现场测评阶段通过与被测单位进行沟通和协调，为现场测评的顺利开展打下良好基础，然后依据测评方案实施现场测评工作，将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。

4)报告编制阶段

本阶段是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《信息系统安全等级保护测评过程指南》的有关要求，通过单项测评结果判定和系统整体测评分析等方法，分析整个系统的安全保护现状与相应等级的保护要求之间的差距，综合评价被测信息系统保护状况，并形成测评报告文本。

测评人员在初步判定单项测评结果后，还需进行系统整体测评，经过系统整

体测评后，有的单项测评结果可能会有所变化，需进一步修订单项测评结果，而后形成等级测评结论。最终组织专家对测评结论进行评审。

3.4.测评方法

等级测评的主要方式有：访谈、检查和测试。

?访谈

访谈是指测评人员通过与xxx系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据表明xxx系统安全保护措施是否落实的一种方法。在访谈的范围上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样。

?检查

检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明国xxx系统安全等级保护措施是否得以有效实施的一种方法。在检查范围上，应基本覆盖所有的对象种类（设备、文档、机制等），数量上可以抽样。

?测试

测试是指测评人员通过对测评对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析响应输出结果，获取证据以证明xxx安全等级保护措施是否得以有效实施的一种方法。在测试范围上，应基本覆盖不同类型的机制，在数量上可以抽样。

3.5.测评原则

对于各种类型测评对象数量的选择采取抽样的方式，其数量应能够满足各级系统整体测评分析的需要。本项中涉及的设备、设施、人员和文档的抽样结果需在系统完整调查之后最终确定，并与用户单位沟通确认。

◆三级及以上系统

重点抽查“主要”的设备、设施、人员和文档，其中必查的测评对象主要包括：

●主机房和部分辅机房（包括其环境、设备和设施等），必查的辅机房中放置了服务于xxx系统的局部（包括整体）或对xxx系统的局部（包括整体）安全性起重要作用的设备、设施；

●重要介质的存放环境，存储被测系统重要数据的介质的存放环境。

●整个系统的网络拓扑结构；

●安全设备，包括防火墙、IDS和防病毒网关等；

●边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等。

●主要网络互联设备，对整个xxx系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机等；

●服务器中的主要服务器（包括其操作系统和数据库），指承载被测系统主要业务或数据的服务器；

●终端中的主要终端，包括管理终端和主要业务应用系统的终端，抽查其中的一部分；

●应用系统中的主要应用系统，指能够完成被测系统不同业务使命的业务应用系统；

●硬件冗余设备（重要网络、服务器和通信线路）；

●业务备份系统；

●安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人、所有管理制度和记录；

4.项目质量管理与控制

4.1.项目质量承诺

为了保证本次项目的品质和质量，我方承诺：

●根据标准性、规范性、可控性、整体性、最小影响性及保密性原则，做

到守时、保质；

●指派工作经验丰富、技术实力雄厚的安全顾问结合技术领先、结论可靠

的测评工具为xxx系统作全面的等级保护符合性测评。承诺咨询过程

按照国际标准进行，并保证对客户的资料严格保密；

●确保选派高级专家参与整个项目保证项目质量，并在收到中标通知后，

立即召集参与项目的专家准备项目实施；

●在指定的地点进行测评工作和等级保护符合性测评报告的编写，在测评

期间和测评结束后，不带走测评中的重要资料和结果。

4.2.项目管理方法

在项目的实施过程中，根据项目的具体要求，整个项目的管理参考美国项目管理协会PMI提出的项目管理方法学，以及一些安全专业领域的专家、顾问对项目的实施进行规范管理实施。同时通过规范化的项目管理，保证项目进程中的过程的质量。

4.3.项目变更管理

不受控制的项目变更，包括目标变更、范围变更、人员变更、环境变更、文档修改等等是对项目质量的重大威胁。但是，期望实施过程中不出现变更也是不现实的。客观上，项目可能需要随时修改自己的计划、调整资源分配等以适应项目的最新情况。变更控制的关键在于使得变更的出现和接受被置于项目双方的严格管理中。

本项目中由专门的质量保证工程师负责全程监管项目中随时可能出现的变更情况，保证不同层次的变更能够得到相应的、适当的处理，所有重要的修改都经过项目双方的认真讨论和确认。在确认接受变更的情况下，项目双方可能需要重新审定工期、资源、目标、甚至商务等相关条文，并且通过配置管理保证所有人员和基线相关条目都得到了更新。对于项目变更管理流程如下图：

4.4.风险与控制

4.4.1.可能存在的风险

1.验证测试对运行系统可能会造成影响

在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试内容需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操作的可能。

2.敏感信息泄漏

信息安全维护服务合同协议(安全运维合同协议).doc

信息系统安全年度服务协议 合同编号： 甲方: 地 址: 联系人: 电话: 传 真: 邮政编码： 乙方: 地址: 联系人: 电话: 传真: 邮政编码：

1.协议内容 (3) 1.1前期系统评估 (3) 1.2整理工作 (4) 1.3服务内容 (4) 1.3.1信息安全风险评估 (4) 1.3.2信息系统安全加固 (4) 1.3.3信息系统实时监测 (4) 1.3.4安全事件应急响应 (5) 1.3.5等级保护安全建设整改 (5) 1.3.6信息系统安全通告 (5) 1.3.7信息安全管理策略 (6) 1.3.8管理人员安全培训 (7) 1.3.9信息系统安全测评 (7) 1.3.10咨询服务 (7) 1.3.11 呼叫中心服务 (7) 1.4安全服务所包括的设备范围 (8) 1.7下属情况不在乙方服务范围之列 (8) 1.8其他服务约定 (8) 2.合同价格 (8) 3.合同有效期 (9) 4.付款条款 (9) 5.违约责任 (9) 6.技术支持服务项目组成员 (9) 7.优惠措施 (9) 8.服务保证 (10) 9.不可抗力 (10) 10.仲裁条款 (10) 11.保密条款 (11) 12.合同变更、补充及终止 (11) 13.合同效力 (11)

甲方向乙方购买信息系统安全服务。甲乙双方本着相互信任、真诚合作、共同发展的原 则，在友好协商的基础上达成如下协议。 1.协议内容 我们为您提供的专业安全服务包括： 1.是否对网络基础平台熟悉：熟悉。 2.是否提供24小时技术支持：提供。 3.是否提供365 X 7 X 24热线支持：提供。 4.是否提供工程师到厂安全巡检：提供每月一次的网络安全巡检，并提交巡检报告。 5.是否提供服务器及网络设置安全策略优化服务：提供。 6.是否提供24小时热线支持电话：提供。 7.重大事件响应时间：12个小时内到达甲方现场。 8.是否对现有信息安全进行风险评估：在甲方许可的情况下可提供风险评估，或每季 度进行一次风险评估。 9.是否对信息系统安全加固：可按照等级相关要求、标准进行安全加固 10.是否对互联网网站实时监测：提供实时监测服务。 11.当发生安全事件后是否提供应急响应：提供 12.是否提供等级保护测评服务：由专业测评师提供每年不少于一次的测评服务。 13.是否提供等级保护安全建设整改：针对甲方现状提供整改意见。 14.是否第一时间提供重大信息系统安全通告：以邮件、短信、微信、传真等方式提供。 15.是否提供信息安全管理策略：提供 16.是否提供管理人员安全培训：提供 1.1前期系统评估 在签订合同并且生效后，乙方需按甲方的要求在协商好的时间之内（一般在—个工作日内），对甲方的计算机网络系统设备的安全状况、运行状况进行全面检查，做出详细的报

信息安全等级保护测评体系建设与测评工作规范性文件.

信息安全等级保护测评体系建设与测评工作规范性文件 信息安全等级测评机构 能力要求使用说明 （试行） 200×-××-××发布200×-××-××实施公安部信息安全等级保护评估中心

信息安全等级测评机构能力要求使用说明 目录 1范围 (3) 2名词解释 (3) 3基本条件 (3) 4组织管理能力 (4) 5测评实施能力 (6) 6设施和设备安全与保障能力 (12) 7质量管理能力 (14) 8规范性保证能力 (15) 9风险控制能力 (20) 10可持续性发展能力 (20) 11测评机构能力约束性要求 (21)

信息安全等级测评机构能力要求使用说明 前言 公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容，为确保有效指导测评机构的能力建设，规范其测评活动，满足信息安全等级保护工作要求，特制定本规范。 《信息安全等级测评机构能力要求》（以下简称《能力要求》）是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容，结合信息安全等级测评工作的特点，对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求，为规范等级测评机构的建设和管理，及其能力评估工作的开展提供依据。

信息安全等级测评机构能力要求使用说明 信息安全等级测评机构能力要求使用说明 1范围 本规范规定了测评机构的能力要求。 本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 2名词解释 2.1等级测评 等级测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2等级测评机构 等级测评机构，是指具备测评机构基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事等级测评工作的机构。 3基本条件 依据《信息安全等级保护测评工作管理规范》（试行），信息安全等级测评机构（以下简称测评机构）应当具备以下基本条件： a)在中华人民共和国境内注册成立（港澳台地区除外）； b)由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（具 体要求参见8.2.1） c)产权关系明晰，注册资金100万元以上；（具体要求参见8.2.2） d)从事信息系统检测评估相关工作两年以上，无违法记录；（具体要求参见5.2.1） e)工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（具体要求参见 8.2.1） f)具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； g)具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等 级保护管理办法》对信息安全产品的要求；（具体要求参见6.1） h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （具体要求参见4.5） i)对国家安全、社会秩序、公共利益不构成威胁;

某等级保护测评服务合同模板

技术服务合同 合同编号（甲方）： 合同编号（乙方）： 项目名称： 委托方（甲方）： 受托方（乙方）： 签订时间： 签订地点： 有效期限：xxx年xxx月至xxx年xxx月

目录 1.技术服务项目概要........................................................ - 1 - 2.技术服务具体要求........................................................ - 1 - 3.甲方提供的工作条件及协作事项............................................ - 1 - 4.组织与管理.............................................................. - 2 - 5.技术服务报酬及支付方式.................................................. - 3 - 6.技术服务工作成果的验收.................................................. - 4 - 7.知识产权................................................................ - 4 - 8.保密义务................................................................ - 4 - 9.违约责任................................................................ - 5 - 10.合同变更和解除......................................................... - 6 - 11.争议解决............................................................... - 6 - 12.名词和技术术语的定义和解释............................................. - 7 - 13.本合同的组成部分....................................................... - 7 - 14.其他................................................................... - 7 - 附件1：技术协议书......................................................... - 9 - 附件2：保密协议.......................................................... - 26 -

风电场信息安全等级保护测评项目合同书

合同编号：信息安全等级保护测评项目合同书 甲方： XX风电有限公司（盖章） 地址： 联系人： 电话： 乙方：XX信息安全等级技术测评中心有限公司（盖章）地址： 联系人： 电话：

依据《中华人民共和国合同法》的规定，甲乙双方本着平等互利的原则，在友好协商的基础上，就甲方的电力监控系统（二级系统）开展安全等级保护测评签订本合同书。 一、测评服务的内容 根据甲方的需求，乙方就甲方的电力监控系统（二级系统）信息安全等级保护测评项目提供以下技术服务： 1、基于《信息安全技术信息安全等级保护基本要求》（GB/T22239-2008）的等级保护测评服务（包括物理安全、网络安全、主机安全、应用安全和数据安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等十个方面的安全测评）； 2、提交《信息系统安全等级保护测评报告》； 3、依据《信息安全等级保护管理办法》的有关规定，协助甲方完成电力监控系统在当地公安部门的定级备案工作。 二、测评服务依据 依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：?《信息安全技术信息系统安全保护等级保护定级指南》(GB/T22240-2008)?《信息安全技术信息系统安全保护等级保护基本要求》(GB/T22239-2008)?《信息安全技术信息系统安全保护等级保护测评要求》(GB/T8448-2012)?《信息安全技术信息系统安全等级保护实施指南》(GB/T25058-2010) 三、测评服务原则 本次信息系统等级保护测评服务的实施应满足以下原则： 1）保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害甲方网络的行为，否则甲方有权追究乙方的责任。 2）标准性原则：测评方案的设计与实施应依据国家等级保护的标准进行。 3）规范性原则：工作过程和相关文档应具有很好的规范性，可以便于项目的

某等级保护测评服务合同模板

技术服务合同 合同编号（甲方）：合同编号（乙方）：项目名称：委托方（甲方）： 受托方（乙方）： 签订时间： 签订地点： 有效期限：XXX 年XXX 月至XXX 年XXX 月

目录 1. 技术服务项目概要 (1) 2. 技术服务具体要求............................... -1 - 3. 甲方提供的工作条件及协作事项.......................... -1 - 4. 组织与管理.................................. -2 - 5. 技术服务报酬及支付方式............................ -3 - 6. 技术服务工作成果的验收............................ -4 - 7. 知识产权.................................... -4 - 8. 保密义务.................................... -4 - 9. 违约责任................................... -5 - 10. 合同变更和解除................................ -6 - 11. 争议解决................................... -6 - 12. 名词和技术术语的定义和解释........................... -7 - 13. 本合同的组成部分.............................. -7 - 14. 其他..................................... -7 - 附件1 :技术协议书................................ -9 - 附件2:保密协议................................. -26 -

等级保护测评试题

一、单选题 1、下列不属于网络安全测试范畴的是（C） A．结构安全B.便捷完整性检查C.剩余信息保护D.网络设备防护 2、下列关于安全审计的内容说法中错误的是（D） A．应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录 B．审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 C．应能够根据记录数据进行分析，并生成审计报表 D．为了节约存储空间，审计记录可以随意删除、修改或覆盖 3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个（A） A．exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标（A） A.ping扫描 B.操作系统扫描 C.端口扫描 D.漏洞扫描 ping扫描：用于发现攻击目标 操作系统识别扫描：对目标主机运行的操作系统进行识别 端口扫描：用于查看攻击目标处于监听或运行状态的。。。。。。 5、路由器工作在（C） A.应用层 B.链接层 C.网络层 D.传输层 6、防火墙通过____控制来阻塞邮件附件中的病毒。（A） A.数据控制 B.连接控制 C.ACL控制 D.协议控制 7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是（B） A.10.110.12.0 B.10.110.12.30 C.10.110.12.31 D.10.110.12.32 8、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令：（A） A.show running-config B.show buffers C. show starup-config D.show memory 9、路由器命令“Router（config）#access-list 1 permit 192.168.1.1”的含义是：（B） A．不允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 B．允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 C．不允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则结束 D．允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则检查下一条语句。 10、配置如下两条访问控制列表：

信息安全维护服务协议安全运维协议精编

信息安全维护服务协议安全运维协议精编 Document number：WTT-LKK-GBB-08921-EIGG-22986

信息系统安全年度服务协议 合同编号： 甲方： 地址： 联系人： 电话： 传真： 邮政编码： 乙方：

地址：联系人：电话：传真：邮政编码：

甲方向乙方购买信息系统安全服务。甲乙双方本着相互信任、真诚合作、共同发展的原则，在友好协商的基础上达成如下协议。 1.协议内容 我们为您提供的专业安全服务包括： 1.是否对网络基础平台熟悉：熟悉。 2.是否提供24小时技术支持：提供。 3.是否提供365×7×24热线支持：提供。 4.是否提供工程师到厂安全巡检：提供每月一次的网络 安全巡检，并提交巡检报告。 5.是否提供服务器及网络设置安全策略优化服务：提 供。 6.是否提供24小时热线支持电话：提供。

7.重大事件响应时间：12个小时内到达甲方现场。 8.是否对现有信息安全进行风险评估：在甲方许可的情 况下可提供风险评估，或每季度进行一次风险评估。 9.是否对信息系统安全加固：可按照等级相关要求、标 准进行安全加固 10.是否对互联网网站实时监测：提供实时监测服务。 11.当发生安全事件后是否提供应急响应：提供 12.是否提供等级保护测评服务：由专业测评师提供每年 不少于一次的测评服务。 13.是否提供等级保护安全建设整改：针对甲方现状提供 整改意见。 14.是否第一时间提供重大信息系统安全通告：以邮件、 短信、微信、传真等方式提供。 15.是否提供信息安全管理策略：提供 16.是否提供管理人员安全培训：提供 前期系统评估 在签订合同并且生效后，乙方需按甲方的要求在协商好的时间之内（一般在__个工作日内），对甲方的计算机网络系统设备的安全状况、运行状况进行全面检查，做出详细的报告，记录所有设备清单中关键设备的当前安全状况，并且结合甲方网络的实际运行情况对于可以进行安全

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件， 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

信息安全等级保护测评机构评优标准(试行)

附件2： 信息安全等级保护测评机构评优标准 （试行） 一、编制目的 本标准的编制目的是通过统一的评价标准，以打分评价的方式选出工作表现和能力优秀的测评机构，从而鼓励先进、指引测评机构的发展方向。 二、指标设定 对测评机构的评价指标共设为8项：系统测评数量、测评师数量、工具配备、测评技术能力、业务经营能力、测评管理规范化、省级等保办对机构工作评价、国家等保办对机构工作评价。 三、各项指标打分标准 指标项前七项满分100分，其中系统测评数量20分、测评师数量10分、工具配备10分、测评技术能力30分、业务经营能力10分、测评管理规范化10分、省级等保办对机构工作评价10分，国家等保办对机构工作评价作为加分项，满分10分。 各项指标的打分标准如下： （1）系统测评数量打分标准 根据测评系统数量计分，每个二级系统计0.05分，每个三级系统计0.2分，每个四级系统计0.3分，满分20分。 测评系统数量依据测评机构当年度1月1日至12月31

日期间所完成的第二级以上信息系统测评数量，以测评报告计数，以每个测评报告首页复印件作为证据 （2）测评师数量打分标准 A.测评师人数10-15人，中、高级人员少于4人，得 1分。 B.测评师人数10-15人且中、高级人员不少于4人， 得3分。 C.测评师人数16-20人且中、高级人员不少于5人， 得5分。 D.测评师人数21-25人且中、高级人员不少于7人， 得6分。 E.测评师人数26-30人且中高、级人员不少于9人， 得7分。 F.测评师人数31-35人且中高、级人员不少于11人， 得8分。 G.测评师人数36-40人且中高、级人员不少于13人， 得9分。 H.测评师人数40人以上且中高、级人员不少于15人， 得10分。 备注：根据测评师证书和社保证明等材料为证据，若机构不同时满足高一级别两个要求，得低一级别分值。 （3）工具配备打分标准 A.机构具备安全问题发现类工具： 漏洞扫描工具（网络和主机）—1分

XXX等级保护测评服务合同

编号：_______________本资料为word版本，可以直接编辑和打印，感谢您的下载 XXX等级保护测评服务合同 甲方：___________________ 乙方：___________________ 日期：___________________

合同编号（甲方）： 合同编号（乙方）： 项目名称： 委托方（甲方）： 受托方（乙方）： 签订时间： 签订地点： 有效期限：xxx 年xxx 月至xxx 年xxx 月

目录 1. 技术服务项目概要................................................................ -1 - 2. 技术服务具体要求................................................................ -1 - 3. 甲方提供的工作条件及协作事项.................................................... -1 - 4. 组织与管理 ...................................................................... -2 - 5. 技术服务报酬及支付方式.......................................................... -3 - 6. 技术服务工作成果的验收.......................................................... -4 - 7. 知识产权 ......................................................................... -4 - 8. 保密义务 ......................................................................... -4 - 9. 违约责任 ....................................................................... -5 - 10. 合同变更和解除................................................................. -6 - 11. 争议解决 ....................................................................... -6 - 12. 名词和技术术语的定义和解释..................................................... -7 - 13. 本合同的组成部分............................................................... -7 - 14. 其他 ........................................................................... -7 -附件1:技术协议书.................................................................. -9 -附件2:保密协议.................................................................... -23 -

信息系统风险评估服务合同

信息系统风险评估服务合同 XXXXXX软件科技有限公司 二〇一二年三月九日

甲方： XXXXXXXXXXXXXXXXXXXXXXXXXX 乙方：XXXXXX件科技有限公司 地址：地址 电话： 4 电话： 传真：传真： 根据《中华人民共和国合同法》，经甲乙双方友好协商，甲方决定请具有风险评估服务资格的第三方对其计算机信息系统提供安全检查服务，乙方是具有风险评估检查资格的服务商，并愿意按照国家等级保护相关法规、国家标准及其它评估要求提供服务。双方就具体细节达成一致意见，特签署本合同。 一、产品标的 本合同项下，甲方同意向乙方购买、乙方同意售于甲方下列服务产品： 注：以上报价为人民币含税价。 报价包含人工、运输、项目管理、调试等费用。 二、服务周期、地点、方式 服务周期： 10 个工作日。 服务地点：甲方机房甲方技术对接人：秦城。

服务方式：上门咨询评估服务。 三、付款方式 1．本次咨询评估的费用以人民币支付。 2．信息系统风险评估服务费用总金额元。自合同签订之日起5个工作日甲方凭乙方提交的有效票据向乙方支付合同总金额的 . 四、双方的权利和义务 甲方的权利和义务 1．甲方须向为乙方提供相关人员询问的便利，并提供专门人员配合评估； 2．甲方须为乙方提供有关风险评估活动其他便利； 3．甲方应在合同签订后，评估工作开始前三个工作日，向乙方提供进行风险评估活动范围内相关的文档资料、图纸、技术资料和相关设备的登陆方式等； 4．本合同期内，若甲方安排第三方对本合同约定范围内硬件设备实施改造、修理、调试、更换及系统变更的，应在实施前书面通知乙方并征得乙方的同意，并在实施结束时通知乙方对设备进行检查测评。 5．在遇到突发事件时，有权要求乙方的技术人员协助工作，乙方亦有义务配合甲方工作； 6．可随时以各种形式就乙方提供的服务向乙方提出建议，乙方应认真听取并及时纠正其服务中存在的问题； 7．有权阻止乙方技术人员进入与本合同约定服务无关的甲方设备机房； 8．甲方要求提供超越本合同所列的服务内容时，所发生的费用由甲方承担，乙方以书面报价单的形式报甲方同意后实施服务； 9．乙方保证不擅自将甲方提供的纸质及电子文档复制给其他单位或个人； 10．甲方保证按时付清款项。 乙方的权利和义务 1．根据甲方的要求和本合同的约定，乙方于年月日起组织评估工作的技术人员针对甲方的信息系统进行为期 10个工作日的网站等级保护评估与信息系统风险评估服务活动； 2．乙方应在合同签订后3个工作日内拟定风险评估实施方案，经甲方同意后，乙方按照实施方案进行评估检查活动；

等级保护测评服务合同协议书

等级保护测评服务合同 协议书 Modified by JACK on the afternoon of December 26, 2020

技术服务合同 合同编号（甲方）： 合同编号（乙方）： 项目名称： 委托方（甲方）： 受托方（乙方）： 签订时间： 签订地点： 有效期限：xxx年xxx月至xxx年xxx月

目录 1.技术服务项目概要................................................... 2.技术服务具体要求................................................... 3.甲方提供的工作条件及协作事项....................................... 4.组织与管理......................................................... 5.技术服务报酬及支付方式............................................. 6.技术服务工作成果的验收............................................. 7.知识产权........................................................... 8.保密义务........................................................... 9.违约责任........................................................... 10.合同变更和解除.................................................... 11.争议解决.......................................................... 12.名词和技术术语的定义和解释........................................ 13.本合同的组成部分.................................................. 14.其他.............................................................. 附件1：技术协议书 ...................................................

等级保护测评项目测评方案-2级和3级标准

信息安全等级保护测评项目 测 评 方 案 广州华南信息安全测评中心 二〇一六年

目录 第一章概述 (3) 第二章测评基本原则 (4) 一、客观性和公正性原则 (4) 二、经济性和可重用性原则 (4) 三、可重复性和可再现性原则 (4) 四、结果完善性原则 (4) 第三章测评安全目标（2级） (5) 一、技术目标 (5) 二、管理目标 (6) 第四章测评内容 (9) 一、资料审查 (10) 二、核查测试 (10) 三、综合评估 (10) 第五章项目实施 (12) 一、实施流程 (12) 二、测评工具 (13) 2.1 调查问卷 (13) 2.2 系统安全性技术检查工具 (13) 2.3 测评工具使用原则 (13) 三、测评方法 (14) 第六章项目管理 (15) 一、项目组织计划 (15) 二、项目成员组成与职责划分 (15) 三、项目沟通 (16) 3.1 日常沟通，记录和备忘录 (16) 3.2 报告 (16) 3.3 正式会议 (16) 第七章附录：等级保护评测准则 (19) 一、信息系统安全等级保护 2 级测评准则 (19) 1.1 基本要求 (19) 1.2 评估测评准则 (31) 二、信息系统安全等级保护 3 级测评准则 (88) 基本要求 (88) 评估测评准则 (108)

第一章概述 2003 年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件 明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。” 2009 年 4 月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45 号)中又再次指出，“通过深化信息安全等级保护，全面推动重要信息系统安全整改和测评工作，增强信息系统安全保护的整体性、针对性和实效性，使信息系统安全 建设更加突出重点、统一规范、科学合理，提高信息安全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设”。由此可见，等级保护测评和等级保护安全整改工作已经迫在眉睫。

信息系统安全等级保护测评及服务要求

成都农业科技职业学院 信息系统安全等级保护测评及服务要求 一、投标人资质要求 1.在中华人民共和国境内注册成立（港澳台地区除外），具有独立承担民事责任的能力；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）。（提供营业执照副本、组织机构代码证副本、税务登记证副本复印件）； 2.测评机构应为成都市本地机构或在成都有常驻服务机构； 3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》； 4. 参选人必须具有近3年内1例以上，市级以上企事业单位信息安全等级保护测评项目的实施业绩（以合同或协议为准）； 5. 参选人须具有良好的商业信誉和健全的财务会计制度；具有履行合同所必需的设备和专业技术能力；具有依法缴纳税收和社会保障资金的良好记录；有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态，有足够的流动资金来履行本项目合同。 6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。 7.本包不接受联合体参加。 二、信息系统安全等级保护测评目标 本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全

等级保护测评准则》和有关规定及要求，对我单位的重要业务信息系统开展信息安全等级保护测评工作，通过开展测评，了解与《信息系统安全等级保护基本要求》的差距，出具相应的测评报告、整改建议，根据测评结果，协助招标方完成信息安全等级保护后期整改工作，落实等级保护的各项要求，提高信息安全水平和安全防范能力，并配合完成公安系统等级保护备案。 等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容，其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容；安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容，配合相应等级的安全技术措施，提供相应的安全管理措施和安全保障。 三、测评内容及要求 1.完成上述信息系统的等级保护定级工作，协助学院编写相应的《信息系统安全等级保护定级报告》； 2.完成上述信息系统安全等级测评工作，测评后经用户方确认，出具符合信息系统等级测评要求的测评报告； 3.协助完成上述信息系统安全等级保护备案工作； 4.对上述信息系统不符合信息安全等级保护有关管理规范和技术

信息系统安全服务协议(XXX学院)

XXX学院 信息系统安全服务合同 委托人（甲方）：XXX学院 受托人（乙方）：XXX信息中心

甲方委托乙方对其指定的信息系统进行安全服务。为保证安全服务工作顺利进行，经协商一致，双方达成以下协议： 一、安全服务依据 1、安全服务合法性依据，主要包括如下文件： 1）公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）； 2）公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合制定的《信息安全等级保护管理办法》（公通字〔2007〕43号）。 2、安全服务技术规范依据，包括但不限于如下技术标准： 1）《信息安全技术信息系统安全等级保护基本要求》； 2）《信息安全技术信息系统安全等级保护测评要求》； 3）《信息安全技术信息系统安全等级保护测评过程指南》。 二、安全服务内容 乙方应在坚持科学、客观、公正原则的基础上，如实反映信息系统的真实情况，不受第三方干扰，完整、准确地向甲方提供其信息系统安全等级保护职责履行情况的数据和信息，并给出相应的安全服务报告，其结果不受他方干扰。 乙方对信息系统进行如下内容的安全服务工作： 安全差距分析 乙方结合甲方信息系统的实际情况，进行安全现状调研，针对本项目信息系统，依据第一章“安全服务依据”第二点相关技术标准，对项目信息系统进行差距分析和风险评估，并对分析和评估的结果进行归纳整理，形成信息系统差距分析报告并提供安全整改建议。 安全技术评估 乙方通过物理安全、网络安全、主机安全、应用安全和数据安全等五个层面测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况。 安全管理评估 乙方通过查阅文档、抽样调查等方法，针对甲方在信息安全方面制定规章制度的合理性、适用性等进行评估，主要包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等内容。 系统整体评估

信息安全等级保护测评工作管理规范(试行)完整篇.doc

信息安全等级保护测评工作管理规范(试 行)1 附件一： 信息安全等级保护测评工作管理规范 （试行） 第一条为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作”）的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。 第二条本规范适用于等级测评机构和人员及其测评活动的管理。 第三条等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。 第四条省级以上等保办负责等级测评机构的审核和推荐工作。 公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。

第五条等级测评机构应当具备以下基本条件： （一）在中华人民共和国境内注册成立（港澳台地区除外）； （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； （三）产权关系明晰，注册资金100万元以上； （四）从事信息系统检测评估相关工作两年以上，无违法记录； （五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； （七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求； （八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （九）对国家安全、社会秩序、公共利益不构成威胁; （十）应当具备的其他条件。 第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

等级保护测评考试真题汇总简答题部分)

等级保护测评考试（简答题部分） 应用： 1、基本要求中，在应用安全层面的访问控制要求中，三级系统较二级系统增加的措施有哪些？答：三级比二级增加的要求项有：应提供对重要信息资源设置敏感标记的功能；应按照安全策略严格控制用户对有敏感标记重要信息资源的访问。 2、在应用安全测评中，如何理解安全审计的“a）应该覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计”？ 主机： 1、在主机测评前期调研活动中，收集信息的内容（至少写出六项）？在选择主机测评对象时应该注意哪些要点？（10分） 答：至少需要收集服务器主机的设备名称、型号、操作系统、IP地址、安装的应用软件情况、主要的业务情况、重要程度、是否热备等信息。测评对象选择时应该注意重要性、代表性、完整性、安全性、共享性五大原则。 2、主机常见评测的问题？ 答：①检测用户的安全防范意识，检查主机的管理文档。②网络服务的配置。③安装有漏洞的软件包。④缺省配置。⑤不打补丁或补丁不全。⑥网络安全敏感信息的泄露。7缺乏安全防范体系。⑧信息资产不明，缺乏分类的处理。⑨安全管理信息单一，缺乏单一的分析和管理平台。 3、数据库常见威胁有哪些？针对于工具测试需要注意哪些内容？ 答：①非授权访问、特权提升、SQL注入针对漏洞进行攻击、绕过访问控制进行非授权访问等。 ②工具测试接入测试设备之前，首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行，测试时间段是否为可测试时间段等等。接入系统的设备、工具和IP地址等配置要经过被测系统相关人员确认。对于测试过程可能造成的对目标系统的网络流量及主机性能等方面的影响，要事先告知被测系统相关人员对于测试过程中的关键步骤、重要证据要及时利用抓图工具取证。对于测试过程中出现的异常情况要及时记录，需要被测方人员确认被测系统状态正常并签字后离场。 4、主机按照其规模或系统功能来区分为哪些类？主机安全在测评时会遇到哪些类型操作系统？网络安全三级信息系统的安全子类是什么？三级网络安全的安全审计的内容是什么？ 答：①巨型、大型、中型、小型、微型计算机和单片机。②目前运行在主机上的主流操作系统有：windows、linux、sunsolaris、ibm aix、hp-ux等等。③结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。④应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。审计记录应包括：事件的日期和时间、用户、时间类型、事件是否成功及其他与审计相关的信息。应能够根据记录数据进行分析，并生成审计报表。应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

等级保护测评项目采购合同【模板】

等级保护测评项目采购合同 合同编号： 甲方： 联系人：XXX 地址： 联系电话：__________ 乙方： 地址： 法定代表人：XXX 联系人：XXX 联系电话：__________ 签订地点：XX市XX路___号__号楼根据XX时代招投标有限公司采购编号______________政府采购文件及中标单位的投标文件和中标通知书，甲乙双方就此次成交的等级保护测评项目的购销事宜，签订本合同书。 一、合同内容： ____项目名称：等级保护测评项目【第一标段深度中心（资源服务平台）】。 ____项目标号：_______________号 1.3概况、主要内容： 二、合同价格与支付： 2.1 合同价格按此次成交价格执行，合同总金额为人民币大写叁拾贰万元整小写：（￥__________.00）【包括服务、劳务、人员、交通、食宿、加班、技术支持与培训、售后服务与维保及相关劳务支出等工作所发生的全部费用以及乙方企业利润、税金和政策性文件规定及合同包含的所有风险、责任等各项应有费用】。 2.2 付款方式：合同签订生效后，待整个项目完成并出具的测评报告通过后，甲方在30天内一次性支付。凭下列单据以银行汇票或转帐支票支付： _、正式的发票。 _、由甲乙双方及招标代理机构签章的《政府采购合同履行验收报告》。

2.3 根据现行税法对乙方征收的与本合同有关的一切税费均由乙方承担。 2.4 支付方式：银行转账等。 开户行： 账户名：中国工商银行XX支行 账号：____________________ 三、质量保证： 3.1 乙方须免费提供技术培训，乙方须在投标报价中考虑其中，培训涉及的费用如：培训场地租用费的相关费用。 3.2 乙方除应做好服务人员的安全教育外，还应为服务人员提供必要的劳动保护条件，为服务人员办理作业时的人身安全保险和意外伤害险，一切安全责任事故均由乙方负责（保险种类由乙方自行选择）。 四、服务方式及其他： 4.1 服务期限：本次检测项目2019年__月___日前完成，具体项目流程分为前期准备、方案编制、现场实施、报告分析与编制、总结验收五个阶段。 4.2 服务地点：甲方指定的场所。 五、售后服务： 自项目验收之日起，乙方提供1年免费售后服务。乙方到甲方半小时车程，售后服务组织提供5-__人服务团队，进行本地化服务，同时提供5*8或7*24小时的快速响应，提供现场或远程服务。对甲方提供的需求在1小时内响应，4小时内提出解决方案。 六、甲方权利和义务： 1．依本合同约定按期支付合同款项； 2．协助乙方进行工程的相关协调工作及约定期限内提供相关资料以利于开展项目。 七、乙方权利和义务 1．乙方负责完成本次招标采购要求的全部服务工作。 2．乙方应按招标文件以及合同约定的技术规范、标准进行实施，并保证按期、保质保量完成项目的实施工作，对提交的项目质量负责。 八、不可抗力 1. 因不可抗力（或甲、乙双方不能控制的原因）不能履行合同的，根据不可抗力的影响，部分或者全部免除责任。但合同一方迟延履行后发生不可抗力的，不能免除责任。 2. 合同一方因不可抗力不能履行合同的，应当及时通知对方，以减轻可能给对方造成的损失，并应当在合理期限内提供证明。