等级保护测评服务合同协议书
等级保护测评项目合同范本
等级保护测评项目合同范本合同编号:_______甲方(委托方):_______乙方(受托方):_______根据《中华人民共和国合同法》、《中华人民共和国网络安全法》等法律法规的规定,甲乙双方在平等、自愿、公平、诚信的原则基础上,就甲方委托乙方进行等级保护测评项目(以下简称“本项目”)的事宜,经充分协商,达成以下协议:第一条项目概述1.1 本项目是指根据《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008、《信息安全技术信息系统安全等级保护测评过程指南》GB/T 28450-2012等相关标准,对甲方信息系统进行安全等级保护测评,确保信息系统满足相应安全等级的要求。
1.2 乙方向甲方提供的服务包括:项目评估、风险分析、安全整改建议、整改验收等。
第二条项目范围2.1 本项目的范围包括:(1)信息系统安全等级保护测评;(2)信息系统安全漏洞扫描与风险评估;(3)信息系统安全整改方案制定与实施指导;(4)信息系统安全验收评估;(5)甲方人员培训与技术支持。
2.2 乙方应按照甲方提供的信息系统相关资料,进行全面、详细的测评,并提供真实、准确、完整的测评报告。
第三条项目时间3.1 本项目自双方签订合同之日起至测评工作完成之日止。
3.2 乙方应按照约定的时间节点完成测评工作,并提交测评报告。
第四条费用及支付4.1 本项目的费用为人民币_______元(大写:_________________________元整),乙方应向甲方提供合法的税务发票。
4.2 甲方应按照本合同约定的付款方式及时支付乙方服务费用。
4.3 付款方式如下:(1)本合同签订后5个工作日内,甲方支付乙方50%的服务费用;(2)乙方完成本项目全部工作并提交测评报告后,甲方支付乙方剩余50%的服务费用。
第五条保密条款5.1 双方在合同履行过程中所获悉的对方商业秘密、技术秘密、市场信息等,应予以严格保密。
5.2 保密期限自本合同签订之日起至合同终止或履行完毕之日止。
网络安全等级保护测评服务合同(通用版)
XXXXXX公司网络安全等级保护测评服务合同合同编号:XXX公司与XXXX公司之网络安全等级保护测评服务合同(通用版)中国·北京年月网络安全等级保护测评服务合同(通用版)甲方:地址:联系人:手机:乙方:地址:联系人:手机:邮件:鉴于:依据《中华人民共和国民法典》的规定,甲乙双方就网络等级保护测评服务项目,经协商一致,签订本合同,双方共同遵守履行。
一. 服务的内容、形式和要求1.服务内容:乙方依据网络等级保护测评服务的标准,结合甲方的实际情况,为甲方提供等级保护测评。
2.提供服务形式:乙方以“现场➕远程”相结合的方式,作为本协议服务的主要形式。
3.要求:达到网络等级保护测评服务标准的要求,并保证甲方系统顺利通过等级保护办公室的检查。
4.技术服务质量要求:满足以下标准:《信息安全等级保护管理办法》(公通字[2007]43号);GB 17859-1999 《信息安全技术计算机信息系统安全保护等级划分准则》;GB/T 22239-2019 《信息安全技术网络安全等级保护基本要求》;GB/T 25058-2019 《信息安全技术网络安全等级保护实施指南》;GB/T 28449-2018 《信息安全技术网络安全等级保护测评过程指南》;GB/T 28448-2019 《信息安全技术网络安全等级保护测评要求》;GBT 24363-2009 《信息安全技术信息安全应急响应计划规范》;GBT 21052-2007 《信息安全技术信息系统物理安全技术要求》;GBT 21028-2007 《信息安全技术服务器安全技术要求》;GBT 20269-2006 《信息安全技术信息系统安全管理要求》;GBT 20271-2006 《信息安全技术信息系统通用安全技术要求》;GB/T 20984-2007 《信息安全技术信息安全风险评估规范》;GA∕T 1389-2017 《信息安全技术网络安全等级保护定级指南》和其他相关法律法规要求。
等保测评服务合同模板
等保测评服务合同模板甲方(需方):_________乙方(服务方):_________鉴于甲方需要对其信息系统进行等级保护测评服务,乙方具备提供该服务的资质和能力,双方本着平等自愿、诚实守信的原则,经友好协商,就等保测评服务事宜达成以下协议:一、服务内容1. 乙方根据国家相关法律法规和标准,对甲方的信息系统进行等级保护测评。
2. 乙方应出具详细的测评报告,报告中应包含测评结果、存在的问题及改进建议。
3. 乙方提供的服务包括但不限于:预评估、现场评估、风险分析、整改建议、复评指导等。
二、服务标准乙方应遵守国家关于等级保护的相关法律、法规和标准,确保服务质量满足甲方的需求。
三、服务期限本合同服务期限自双方签署合同之日起至测评服务全部结束并提交最终报告之日止。
四、费用支付1. 甲方应按照合同约定向乙方支付等保测评服务费用。
2. 服务费用的支付方式和时间节点由双方协商确定。
五、权利与义务1. 甲方应提供必要的工作条件和所需资料,配合乙方完成测评工作。
2. 乙方应保证测评工作的独立性、客观性和公正性。
3. 双方应严格履行合同,未经对方同意,不得擅自变更或解除合同。
六、保密条款双方应对在执行合同过程中获知的对方商业秘密和技术秘密负有保密义务,未经对方书面同意,不得向第三方泄露。
七、违约责任如一方违反合同约定,应承担违约责任,赔偿对方因此遭受的损失。
八、争议解决因执行本合同所产生的一切争议,双方应通过友好协商解决;协商不成时,可提交至签约地人民法院诉讼解决。
九、其他事项本合同未尽事宜,由双方另行协商确定。
本合同一式两份,甲乙双方各执一份,具有同等法律效力。
十、合同生效本合同自双方授权代表签字盖章之日起生效。
甲方(盖章):_________________ 日期:____年__月__日乙方(盖章):_________________ 日期:____年__月__日。
系统等保测评合同范本
系统等保测评合同范本甲方(委托方):____________________乙方(受托方):____________________鉴于甲方需要对自身的信息系统进行等级保护测评,乙方具备相应的资质和能力,双方本着平等、自愿、公平和诚实信用的原则,经协商一致,订立本合同,共同遵守。
第一条合同目的甲方委托乙方对甲方的信息系统进行等级保护测评,以确保甲方信息系统的安全等级符合国家相关法律法规和标准要求。
第二条服务内容乙方应根据甲方提供的信息系统资料,按照国家等级保护标准,对甲方信息系统进行安全等级测评,并出具测评报告。
第三条服务期限乙方应在本合同签订之日起____天内完成测评工作,并在测评完成后____天内向甲方提交测评报告。
第四条服务费用甲方应向乙方支付测评服务费用共计人民币(大写)____________元整(¥________元)。
甲方应在合同签订后____天内支付____%作为预付款,余款在乙方提交测评报告并经甲方确认无误后____天内支付。
第五条甲方的权利和义务1. 甲方应向乙方提供真实、完整、准确的信息系统资料。
2. 甲方有权要求乙方按照约定的时间和标准完成测评工作。
3. 甲方应按照合同约定及时支付服务费用。
第六条乙方的权利和义务1. 乙方应具备国家规定的等级保护测评资质,并保证测评工作的专业性和准确性。
2. 乙方应按照合同约定的时间和标准完成测评工作,并出具测评报告。
3. 乙方应保守甲方提供的信息系统资料及测评过程中知悉的商业秘密。
第七条违约责任1. 如甲方未按约定支付服务费用,每逾期一天,应向乙方支付未付款项的____%作为违约金。
2. 如乙方未能在约定时间内完成测评工作或测评报告存在重大错误,应向甲方支付合同总金额的____%作为违约金。
第八条合同变更和解除1. 双方协商一致,可以变更或解除本合同。
2. 任何一方违约,另一方有权要求违约方承担违约责任,并有权解除合同。
第九条争议解决本合同在履行过程中发生的任何争议,双方应首先通过友好协商解决;协商不成时,任何一方可向甲方所在地人民法院提起诉讼。
等保测评服务合同范本最新
等保测评服务合同范本最新为了规范等保测评的服务流程,明确双方的权利与义务,制定一份详尽的等保测评服务合同显得尤为重要。
以下是一个标准的等级保护测评服务合同范本:甲方(客户):_________乙方(服务提供者):_________鉴于甲方需要对其信息系统进行等级保护测评,乙方具有相应的资质和能力提供该服务,根据《中华人民共和国民法典》及相关法律法规的规定,甲乙双方本着平等自愿、诚实信用的原则,经友好协商,就乙方向甲方提供等级保护测评服务事宜达成如下协议:一、服务内容乙方应按照国家相关标准和规定,对甲方指定的信息系统进行全面的安全等级保护测评,包括但不限于系统调研、风险分析、安全检测、漏洞挖掘、整改建议、报告编制等工作。
二、服务期限自合同签订之日起至测评报告提交之日止。
三、服务质量乙方应保证服务的专业性、准确性和及时性,确保测评结果的客观性和公正性。
四、费用支付甲方应按照合同约定向乙方支付等保测评服务费用。
具体金额为人民币______元整。
支付方式为:合同签订后支付__%,测评报告提交并通过甲方验收后支付剩余__%。
五、违约责任如一方违反合同约定,需承担违约责任,赔偿对方因此遭受的损失。
六、保密条款双方应对在履行合同过程中获知的对方的商业秘密和技术信息予以保密,未经对方书面同意,不得向第三方泄露。
七、争议解决因执行本合同所发生的一切争议,双方应通过友好协商解决;协商不成时,可提交乙方所在地人民法院诉讼解决。
八、其他事项1. 本合同一式两份,甲乙双方各执一份,具有同等法律效力。
2. 本合同未尽事宜,由双方另行协商补充。
3. 本合同自双方授权代表签字盖章之日起生效。
甲方(盖章):_________________法定代表人(签字):___________日期:____年____月____日乙方(盖章):_________________法定代表人(签字):___________日期:____年____月____日。
等保测评服务合同模板
甲方:(以下简称“甲方”)乙方:(以下简称“乙方”)鉴于甲方拥有需要实施信息安全等级保护测评的信息系统,乙方具备相应的资质和经验,愿意为甲方提供信息安全等级保护测评服务,双方经友好协商,达成如下协议:一、服务内容1. 定级备案:乙方协助甲方按照《信息系统安全等级保护定级指南》及《信息安全等级保护管理办法》等相关文件要求,完成信息系统安全等级保护定级备案材料的编制工作,并协助甲方取得公安部门颁发的备案证明。
2. 信息安全管理制度:乙方辅助甲方编写信息安全管理制度,包括但不限于安全管理制度、组织体系、岗位职责、运维管理等内容。
3. 差距测评:根据甲方信息系统的安全等级保护定级情况,乙方制定信息系统安全等级保护测评方案,对信息系统的机房、网络/安全设备、主机设备、应用系统、安全管理体系等进行等级保护差距测评,并提交不符合项表和整改建议。
4. 漏洞扫描:乙方对甲方信息系统中服务器、应用系统进行漏洞扫描,列出存在的主要问题及可能造成的后果,并提出整改建议。
5. 渗透测试:根据漏洞扫描结果,乙方进行漏洞分析及说明,对互联网信息系统进行渗透测试,包括弱口令测试及其他手工测试,并提交修复建议。
6. 验收测评:甲方完成整改工作后,乙方根据《信息系统安全等级保护基本要求》及相关标准和要求,对信息系统进行验收性测评,并输出测评报告。
二、服务期限本合同服务期限自双方签订之日起至验收测评报告提交之日止。
三、服务费用1. 乙方提供等保测评服务的费用总额为人民币_____元整(大写:_____元整)。
2. 甲方应在本合同签订之日起____个工作日内向乙方支付合同总金额的_____%作为预付款。
3. 乙方完成各项测评工作后,甲方应在收到乙方提交的验收测评报告之日起____个工作日内支付剩余款项。
四、双方权利与义务1. 甲方权利与义务:- 甲方应按照乙方要求提供必要的信息和资料。
- 甲方应按时支付服务费用。
- 甲方应对乙方提供的服务内容保密。
等级保护测评项目合同范本
等级保护测评项目合同范本甲方(委托方):____________________乙方(受托方):____________________根据《中华人民共和国合同法》及相关法律法规的规定,甲乙双方在平等、自愿、公平、诚实信用的原则基础上,就甲方委托乙方进行等级保护测评项目事宜,达成如下协议:一、项目名称:____________________1. 信息系统安全等级保护定级;2. 信息系统安全等级保护差距分析;3. 信息系统安全等级保护整改方案编制;4. 信息系统安全等级保护测评;5. 信息系统安全等级保护测评报告编制。
三、项目期限:本合同自双方签字盖章之日起生效,项目期限为____个月,自____年__月__日起至____年__月__日止。
四、项目费用:本项目费用为人民币____元(大写:____________________元整),甲方应在本合同签订后____个工作日内支付乙方50%的项目启动费,剩余50%的项目尾款在乙方完成本项目并提交测评报告后____个工作日内支付。
五、甲方的权利和义务:1. 提供乙方开展等级保护测评所需的全部资料,包括但不限于信息系统相关文档、网络拓扑图、设备配置信息等;2. 协调乙方开展等级保护测评工作,确保乙方能够顺利进入甲方现场进行测评;3. 对乙方提交的测评报告进行审核,并在收到报告后____个工作日内提出书面意见;4. 按照本合同的约定支付项目费用。
六、乙方的权利和义务:1. 按照国家有关法律法规、标准规范和甲方的要求开展等级保护测评工作;2. 对甲方提供的资料保密,未经甲方同意不得泄露给第三方;3. 在项目期限内完成测评工作,并向甲方提交测评报告;4. 对测评过程中发现的问题提出整改建议,协助甲方进行整改;5. 按照本合同的约定收取项目费用。
七、违约责任:1. 甲方未按照约定支付项目费用的,乙方有权暂停或终止本项目,并要求甲方支付逾期付款的滞纳金;2. 乙方未按照约定完成测评工作的,甲方有权要求乙方退还已支付的项目费用,并支付相应的违约金。
网络安全等级保护评估服务合同
网络安全等级保护评估服务合同合同编号:__________甲方(委托方):____________________地址:____________________________联系方式:_________________________乙方(受托方):____________________地址:____________________________联系方式:_________________________第一章定义及术语1.1 本合同中,以下术语具有以下含义:1.1.1 “甲方”指甲乙双方中委托乙方提供网络安全等级保护评估服务的主体。
1.1.2 “乙方”指甲乙双方中接受甲方委托,提供网络安全等级保护评估服务的主体。
1.1.3 “网络安全等级保护评估服务”指甲方委托乙方对甲方网络系统的安全等级进行评估,并提供相应的安全防护建议和改进措施。
1.1.4 “合同服务期限”指甲乙双方约定提供网络安全等级保护评估服务的起止时间。
第二章合同目的与范围2.1 甲方委托乙方进行网络安全等级保护评估服务的目的是保证甲方网络系统的安全稳定运行,提高甲方网络安全防护能力。
2.2 本合同范围包括以下内容:2.2.1 乙方对甲方网络系统进行安全等级评估,评估内容包括但不限于:网络安全设备、网络安全防护措施、网络安全管理制度等。
2.2.2 乙方根据评估结果,向甲方提供网络安全防护建议和改进措施。
2.2.3 乙方协助甲方制定并实施网络安全等级保护方案。
第三章乙方义务3.1 乙方应按照国家相关法律法规、行业标准和甲方实际需求,提供专业的网络安全等级保护评估服务。
3.2 乙方应保证评估结果的客观性、准确性和有效性,并对评估结果负责。
3.3 乙方应遵守甲方网络安全管理制度,保证评估过程中不损害甲方网络系统安全。
3.4 乙方应在合同服务期限内完成评估工作,并按照甲方要求及时提交评估报告。
3.5 乙方应保守甲方商业秘密,不得泄露甲方网络系统相关信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护测评服务合同协议书文件编号TT-00-PPS-GGB-USP-UYY-0089技术服务合同合同编号(甲方):合同编号(乙方):项目名称:委托方(甲方):受托方(乙方):签订时间:签订地点:有效期限:xxx年xxx月至xxx年xxx月目录技术服务合同委托方(甲方):受托方(乙方):鉴于本合同为甲方委托乙方就xxx系统等保测评项目进行的专项技术服务,并支付相应的技术服务报酬。
为明确各自的权利和义务,双方经过平等协商,根据《中华人民共和国合同法》等有关法律法规的规定,订立本合同。
1.技术服务项目概要技术服务的目标:完成xxx系统等保测评服务。
技术服务的内容:对xxx系统进行等级保护测评,出具《xxx系统等级保护测评报告》;详见附件1:技术协议书。
技术服务的方式:甲方所在地现场数据采集、乙方所在地报告编制。
2.技术服务具体要求技术服务地点:xxx。
技术服务期限:合同签订日起3个月。
技术服务进度:第一阶段:商务沟通、合同签订及计划编写;第二阶段:资产调研、方案编写与评审;第三阶段:现场数据采集与整理;第四阶段:分析与报告编制;第五阶段:项目验收。
技术服务质量要求:按招标技术规范书要求完成等级测评服务,并提交符合要求的成果交付物。
3.甲方提供的工作条件及协作事项提供的工作条件:(1)为测评小组准备一间容纳4~5人的办公室。
(2)提供合适的会议室及办公环境供交流使用。
(3)提供一部打印机,打印项目过程文档。
提供的技术资料如下:其他:根据项目组的建议,做好相关数据的备份工作;并安排信息安全管理人员、系统维护人员等,配合测评小组的现场测评工作。
甲方提供上述工作条件和协作事项的时间及方式:合同履行期内、现场技术服务。
4.组织与管理在本合同有效期内,乙方应派出专业技术人员为甲方提供技术服务。
技术服务人员名单见附件《技术服务人员表》。
本合同双方分别指定项目负责人如下:(1)甲方负责人:,电话:;(2)乙方负责人:,电话:。
(1)牵头组织本方技术服务工作;(2)负责组织协调合同的签订、履行;(3)负责跟踪或报告技术服务工作进展和成果;(4)负责与另一方的沟通协调、信息传递等工作,为技术服务工作提供便利条件。
(1)负责编制整个测评工作计划和测评技术方案,沟通甲方确认后按计划开展现场服务。
(2)由于乙方技术人员操作或其他行为造成甲方信息系统运行设备、应用功能等软、硬件设备故障时,乙方应立即停止工作,并负责对上述系统、设备进行恢复消缺。
(3)乙方负责人按照相关信息系统安全防护系统规定与甲方签订保密协议,并确保参与本次系统评估工作的工程技术人员严格遵守保密协议相关条款。
(4)乙方负责按照招标文件要求与甲方签订技术协议,并履行技术协议中相关职责。
(5)乙方按照技术协议要求开展保护等级测评,出具完整的测评报告、整改建议及安全评估报告,确保系统通过能源局、国网公司等监管机构及主管部门的检查、评估。
人员更换5.技术服务报酬及支付方式技术服务报酬总额为:人民币(大写)XXX元整(¥XXX元)(含税)。
该报酬包含乙方履行本合同所需全部费用,包括但不限于员工工资、加班费、咨询费、资料费、交通费、食宿费以及税费等。
技术服务报酬由甲方(一次或分期)支付乙方。
具体支付方式和时间如下:(1)。
(2)。
(3)。
(4)。
6.技术服务工作成果的验收乙方完成技术服务工作的形式:提交《xxx系统等级保护测评报告》。
技术服务工作成果的验收标准:完成并提交所有成果交付物;项目实施过程未造成安全事件发生。
技术服务工作成果的验收方法:召开项目评审会,甲乙双方就项目的成果和过程进行正式评审,内容包括:最终成果和输出报告讲解和汇报;项目工作成果评审意见。
验收的时间和地点:由甲乙双方协商确定。
7.知识产权在本合同有效期内,甲方利用乙方提交的技术服务工作成果所完成的新的技术成果,归双(甲、双)方所有。
在本合同有效期内,乙方利用甲方提供的技术资料和工作条件所完成的新的技术成果,归双(乙、双)方所有。
8.保密义务一方及其工作人员应对技术服务合同签订、履行过程中了解到的涉及到另一方商业秘密的文件资料以及其他尚未公开的有关信息承担保密责任,并采取相应的保密措施。
双方应承担的保密义务包括但不限于:不得将上述保密信息用于本合同以外的其他目的。
在技术服务项目通过评审后或按合同要求,及时将上述资料和信息返还对方或按对方要求作适当处理。
涉密人员范围甲方涉密人员范围:系统运行单位及参与测评人员。
乙方涉密人员范围:等级测评项目组。
上述保密义务的期限至保密信息正式向社会公开之日或一方书面解除另一方此合同项下保密义务之日止。
9.违约责任乙方不履行本合同义务或履行义务不符合约定的,甲方有权要求乙方承担继续履行、赔偿损失或支付违约金等违约责任。
乙方未按期完成技术服务工作的,每逾期1天,应向甲方支付相当于技术服务报酬 1 % 的违约金,逾期超过 30 日的,甲方有权单方解除合同。
乙方未按合同约定履行合同义务,经甲方催告仍未纠正的,甲方有权单方解除合同。
由于整改纠正造成进度延期交付的视同逾期交付。
10 %的违约金。
10 %的违约金。
10 %的违约金。
甲方不履行本合同义务或者履行义务不符合约定的,乙方有权要求甲方承担继续履行、支付违约金等违约责任。
10 %的违约金;甲方无正当理由逾期接受工作成果的,每逾期1天,应向乙方支付相当于技术服务报酬 1 %的违约金,逾期超过 30 日的,乙方有权单方解除合同。
10 %的违约金。
10.合同变更和解除双方经协商一致可变更或解除合同,并以书面形式确定。
有下列情形之一的,一方可以向另一方提出变更或解除合同的书面请求,另一方应当在10日内予以书面答复;逾期未予书面答复的,视为同意:(1)因对方违约使合同不能继续履行或没有必要继续履行。
(2)无。
法律规定的合同解除情形出现时,一方主张解除合同的,应当书面通知对方。
合同自通知到达对方时解除。
本合同中约定可单方解除合同的,单方解除合同的条件成就时,享有解除权的一方可单方解除合同,但应书面通知对方。
合同自通知到达对方时解除。
11.争议解决因合同及合同有关事项发生的争议,双方应本着诚实信用原则,通过友好协商解决,经协商仍无法达成一致的,按以下第 2 种方式处理:(1)仲裁:提交/仲裁,按照申请仲裁时该仲裁机构有效的仲裁规则进行仲裁。
仲裁裁决是终局的,对双方均有约束力。
(2)诉讼:向甲方所在地人民法院提起诉讼。
在争议解决期间,合同中未涉及争议部分的条款仍须履行。
12.名词和技术术语的定义和解释等级测评:指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。
13.本合同的组成部分与履行本合同有关的下列技术文件,经双方约定,作为本合同的组成部分。
技术标准和规范:技术协议书;其他:保密协议。
14.其他本合同经双方法定代表人(负责人)或其授权代表签署并加盖双方公章或合同专用章之日起生效。
合同签订日期以双方中最后一方签署并加盖公章或合同专用章的日期为准。
本合同一式捌份,甲方执肆份,乙方执肆份,具有同等法律效力。
特别约定本特别约定是合同各方经协商后对合同其他条款的修改或补充,如有不一致,以特别约定为准。
无。
(以下无正文)签署页附件1:技术协议书1.概述为了落实公安部、能源局和国家电网公司电力信息系统安全等级保护要求,进一步增强电力信息系统安全防护能力,确保电力信息系统安全稳定运行,依据《信息系统安全等级保护基本要求》(GB/T 22239-2008)和《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)等标准规范,进行本次电力信息系统等级保护。
.目的及范围落实信息系统安全等级保护要求,健全电力信息系统安全防护体系,统一信息安全防护标准和策略,按照电力信息系统不同安全等级,通过合理分配资源,规范电力信息系统安全建设与防护,对电力信息系统分等级实施全面保护,以提高xxx系统信息安全的整体防护水平。
通过等级保护测评工作,全面、完整地了解xxx系统的现有安全状况,通过测评其与《信息系统安全等级保护基本要求》(GB/T 22239-2008)、《电力信息系统安全等级保护要求(试行)》对应级别的差距,达到以检查促安全的目的,实现重要信息系统的分等级保护与监管、信息安全事件分等级响应的要求。
经甲乙双方协商,本项目的工作范围包括:1、对xxx系统等级保护测评,出具等级保护测评报告。
.要求本次项目实施方案设计以及在具体的项目实施过程中,我方将严格遵守以下的标准和原则开展工作:客观性和公正性原则虽然测评工作不能完全摆脱个人主张或判断,但测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
规范性原则安全测评过程有统一的流程,测评过程中使用的方法及使用的文档,需要具有很好的规范性,便于测评工作的质量保证,并测评保证结果的一致性。
标准性原则测评方案的设计与实施应依据国家及行业等级保护的相关标准进行。
可控性原则安全测评所使用的工具、方法和过程要在双方认可的范围之内,安全测评的进度要符合进度表的安排,保证双方对测评工作的可控性。
整体性原则安全测评的范围和内容应当全面覆盖xxx系统所涉及的各个层面,并考虑各个层面的相互关系。
最小影响原则测评工作应尽可能小地影响网络和系统的正常运行,不能对系统的业务产生显着影响。
例如:避免造成被测评系统的性能明显下降、网络拥塞、服务中断等。
保密性原则对在测评过程中所接触到的被测评单位的所有敏感信息,测评人员应遵循相关的保密承诺,不利用它们进行任何侵害被测评单位安全利益的行为。
2.项目内容依照 GB/T22239-2008《信息安全技术信息安全等级保护基本要求》和《电力行业信息系统安全等级保护基本要求》(征求意见稿)对xxx系统进行等级保护测评,确定不同等级业务系统当前安全防护现状,以及与国家和行业等级保护要求间的差距;分析其所面临的威胁及其存在的脆弱性,提出有针对性的抵御威胁的防护策略和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地防止由于电力信息系统安全事件引发电力安全事故,全面提高电力信息系统安全防护水平提供科学依据。
等级测评将覆盖物理环境、网络安全、主机安全、应用安全、数据安全及信息安全管理等方面的内容,内容包括但不限于以下内容:1.总体要求测评:包括总体技术要求、总体管理要求;2.安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;3.安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评;4.最终版报告需加盖电力行业等级保护测评中心的印章。