信息系统安全年度服务协议
欧阳家百(2021.03.07)
合同编号:
甲方:
地址:
联系人:
电话:
传真:
邮政编码:
乙方:
地址:
联系人:
电话:
传真:
邮政编码:
1.协议内容3
1.1 前期系统评估3
1.2 整理工作4
1.3 服务内容4
1.3.1 信息安全风险评估4
1.3.2 信息系统安全加固4
1.3.3 信息系统实时监测4
1.3.4 安全事件应急响应5
1.3.5 等级保护安全建设整改5
1.3.6 信息系统安全通告5
1.3.7 信息安全管理策略6
1.3.8 管理人员安全培训7
1.3.9 信息系统安全测评7
1.3.10 咨询服务7
1.3.11 呼叫中心服务7
1.4 安全服务所包括的设备范围8
1.7 下属情况不在乙方服务范围之列8
1.8 其他服务约定8
2.合同价格8
3.合同有效期9
4.付款条款9
5.违约责任9
6.技术支持服务项目组成员9
7.优惠措施9
8.服务保证10
9.不可抗力10
10.仲裁条款10
11.保密条款11
12.合同变更、补充及终止11
13,合同效力11
甲方向乙方购买信息系统安全服务。甲乙双方本着相互信任、真诚合作、共同发展的原则,在友好协商的基础上达成如下协议。
1.协议内容
我们为您提供的专业安全服务包括:
1. 是否对网络基础平台熟悉:熟悉。
2. 是否提供24小时技术支持:提供。
3. 是否提供365×7×24热线支持:提供。
4. 是否提供工程师到厂安全巡检:提供每月一次的网络安全巡
检,并提交巡检报告。
5. 是否提供服务器及网络设置安全策略优化服务:提供。
6. 是否提供24小时热线支持电话:提供。
7. 重大事件响应时间:12个小时内到达甲方现场。
8. 是否对现有信息安全进行风险评估:在甲方许可的情况下可
提供风险评估,或每季度进行一次风险评估。
9. 是否对信息系统安全加固:可按照等级相关要求、标准进行
安全加固
10. 是否对互联网网站实时监测:提供实时监测服务。
11. 当发生安全事件后是否提供应急响应:提供
12. 是否提供等级保护测评服务:由专业测评师提供每年不少于
一次的测评服务。
13. 是否提供等级保护安全建设整改:针对甲方现状提供整改意
见。
14. 是否第一时间提供重大信息系统安全通告:以邮件、短信、
微信、传真等方式提供。
15. 是否提供信息安全管理策略:提供
16. 是否提供管理人员安全培训:提供
1.1 前期系统评估
在签订合同并且生效后,乙方需按甲方的要求在协商好的时间之内(一般在__个工作日内),对甲方的计算机网络系统设备的安全状况、运行状况进行全面检查,做出详细的报告,记录所有设备清单中关键设备的当前安全状况,并且结合甲方网络的实际运行情况对于可以进行安全优化的内容与甲方协商,确定安全的方案,在与甲方和乙方进行充分论证后,由甲方决定是否实施。
1.2 整理工作
在甲方确认乙方的安全建议后,双方协商好实施的时间,由乙方完成优化工作,并记录配置情况和运行情况。
1.3 服务内容
1.3.1 信息安全风险评估
信息安全风险评估是从风险管理的角度,运用科学的方法和
手段,结合信息安全全面检测网络和信息系统存在的脆弱性,系统分析和评估安全防护水平,从而有针对性地提出抵御威胁的防护对策和整改措施,将风险控制在可接受的水平,最大限度的保障网络和信息安全。
我公司提供的风险评估内容包括:物理环境安全检查及建议、网络设备风险评估、操作系统风险评估、应用系统风险评估、数据库风险评估、计算机终端风险评估等。
评估的主要手段包括:安全点检查、漏洞扫描、渗透测试、配置检查等多种方式。
1.3.2 信息系统安全加固
安全加固是指通过一定的技术手段,提高操作系统、应用系统、数据库、网络设备、安全设备等的安全性和抗攻击能力,经过良好配置的系统或设备的抗攻击性有极大的增强。在对系统作相应的安全配置后,结合定期的安全评估和维护服务就使得系统保持在一个较高的安全线之上。
1.3.3 信息系统实时监测
信息系统实时监测服务全面覆盖网站代码安全检测、网页内容安全监测、网站服务质量监测,为网站提供全方位、全天候的安全监测服务;通过主动发现网站漏洞、实时监测网页内容、及时发现网站服务可用性问题三大维度保障网站持续稳定提供服务,主要提供以下服务:
◆网站漏洞检测
◆网页木马检测
◆网页恶意链接检测
◆网页敏感内容监测
◆网页篡改监测
◆网页坏链检测
◆网站DNS监测
◆网站可用性监测
1.3.4 安全事件应急响应
针对用户信息系统可能发生的信息安全事件,通过引入专业的安全事件应急相应服务:在接到用户应急响应服务请求后,由专业安全公司的安全专家提供远程安全支持和现场安全支持,判断事件类型,协助客户降低影响,并提供分析建议。对攻击进行抑制,降低损失。
应急响应服务完成后服务人员会整理详细的事故处理报告,内容包括事故原因分析、已造成的影响、处理办法、处理结果、预防和改进建议等提交给用户相关人员。
1.3.5 等级保护安全建设整改
按照国家有关规定和标准规范的要求,对现有信息系统开展信息安全等级保护安全建设整改工作。通过落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,