信息系统安全年度服务协议合同编号：甲方：地址：联系人：电话：传真：邮政编码：乙方：地址：联系人：电话：传真：邮政编码：1.协议内容................................................... 错误!未定义书签。

前期系统评估............................................ 错误!未定义书签。

整理工作................................................ 错误!未定义书签。

服务内容................................................ 错误!未定义书签。

信息安全风险评估.................................... 错误!未定义书签。

信息系统安全加固.................................... 错误!未定义书签。

信息系统实时监测.................................... 错误!未定义书签。

安全事件应急响应.................................... 错误!未定义书签。

等级保护安全建设整改................................ 错误!未定义书签。

信息系统安全通告.................................... 错误!未定义书签。

信息安全管理策略.................................... 错误!未定义书签。

管理人员安全培训.................................... 错误!未定义书签。

信息系统安全测评.................................... 错误!未定义书签。

咨询服务............................................ 错误!未定义书签。

呼叫中心服务........................................ 错误!未定义书签。

安全服务所包括的设备范围................................ 错误!未定义书签。

下属情况不在乙方服务范围之列............................ 错误!未定义书签。

其他服务约定............................................ 错误!未定义书签。

2.合同价格................................................... 错误!未定义书签。

3.合同有效期................................................. 错误!未定义书签。

4.付款条款................................................... 错误!未定义书签。

5.违约责任................................................... 错误!未定义书签。

6.技术支持服务项目组成员..................................... 错误!未定义书签。

7.优惠措施................................................... 错误!未定义书签。

8.服务保证................................................... 错误!未定义书签。

9.不可抗力................................................... 错误!未定义书签。

10.仲裁条款.................................................. 错误!未定义书签。

11.保密条款.................................................. 错误!未定义书签。

12.合同变更、补充及终止...................................... 错误!未定义书签。

13,合同效力.................................................. 错误!未定义书签。

甲方向乙方购买信息系统安全服务。

甲乙双方本着相互信任、真诚合作、共同发展的原则，在友好协商的基础上达成如下协议。

1.协议内容我们为您提供的专业安全服务包括：1.是否对网络基础平台熟悉：熟悉。

2.是否提供24小时技术支持：提供。

3.是否提供365×7×24热线支持：提供。

4.是否提供工程师到厂安全巡检：提供每月一次的网络安全巡检，并提交巡检报告。

5.是否提供服务器及网络设置安全策略优化服务：提供。

6.是否提供24小时热线支持电话：提供。

7.重大事件响应时间：12个小时内到达甲方现场。

8.是否对现有信息安全进行风险评估：在甲方许可的情况下可提供风险评估，或每季度进行一次风险评估。

9.是否对信息系统安全加固：可按照等级相关要求、标准进行安全加固10.是否对互联网网站实时监测：提供实时监测服务。

11.当发生安全事件后是否提供应急响应：提供12.是否提供等级保护测评服务：由专业测评师提供每年不少于一次的测评服务。

13.是否提供等级保护安全建设整改：针对甲方现状提供整改意见。

14.是否第一时间提供重大信息系统安全通告：以邮件、短信、微信、传真等方式提供。

15.是否提供信息安全管理策略：提供16.是否提供管理人员安全培训：提供前期系统评估在签订合同并且生效后，乙方需按甲方的要求在协商好的时间之内（一般在__个工作日内），对甲方的计算机网络系统设备的安全状况、运行状况进行全面检查，做出详细的报告，记录所有设备清单中关键设备的当前安全状况，并且结合甲方网络的实际运行情况对于可以进行安全优化的内容与甲方协商，确定安全的方案，在与甲方和乙方进行充分论证后，由甲方决定是否实施。

整理工作在甲方确认乙方的安全建议后，双方协商好实施的时间，由乙方完成优化工作，并记录配置情况和运行情况。

服务内容信息安全风险评估信息安全风险评估是从风险管理的角度，运用科学的方法和手段，结合信息安全全面检测网络和信息系统存在的脆弱性，系统分析和评估安全防护水平，从而有针对性地提出抵御威胁的防护对策和整改措施，将风险控制在可接受的水平，最大限度的保障网络和信息安全。

我公司提供的风险评估内容包括：物理环境安全检查及建议、网络设备风险评估、操作系统风险评估、应用系统风险评估、数据库风险评估、计算机终端风险评估等。

评估的主要手段包括：安全点检查、漏洞扫描、渗透测试、配置检查等多种方式。

信息系统安全加固安全加固是指通过一定的技术手段，提高操作系统、应用系统、数据库、网络设备、安全设备等的安全性和抗攻击能力，经过良好配置的系统或设备的抗攻击性有极大的增强。

在对系统作相应的安全配置后，结合定期的安全评估和维护服务就使得系统保持在一个较高的安全线之上。

信息系统实时监测信息系统实时监测服务全面覆盖网站代码安全检测、网页内容安全监测、网站服务质量监测，为网站提供全方位、全天候的安全监测服务；通过主动发现网站漏洞、实时监测网页内容、及时发现网站服务可用性问题三大维度保障网站持续稳定提供服务，主要提供以下服务：网站漏洞检测网页木马检测网页恶意链接检测网页敏感内容监测网页篡改监测网页坏链检测网站DNS监测网站可用性监测安全事件应急响应针对用户信息系统可能发生的信息安全事件，通过引入专业的安全事件应急相应服务：在接到用户应急响应服务请求后，由专业安全公司的安全专家提供远程安全支持和现场安全支持，判断事件类型，协助客户降低影响，并提供分析建议。

对攻击进行抑制，降低损失。

应急响应服务完成后服务人员会整理详细的事故处理报告，内容包括事故原因分析、已造成的影响、处理办法、处理结果、预防和改进建议等提交给用户相关人员。

等级保护安全建设整改按照国家有关规定和标准规范的要求，对现有信息系统开展信息安全等级保护安全建设整改工作。

通过落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使现有信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少。

并坚持管理和技术并重的原则，将技术措施和管理措施有机结合，建立信息系统综合防护体系，提高信息系统整体安全保护能力。

同时依据《信息系统安全等级保护基本要求》建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

信息系统安全通告信息安全是动态发展的。

面对日益演变的安全攻击手段和系统安全漏洞的不断发现和利用，信息系统所面临的风险也在不断变化。

基于此，建议客户实时关注安全动态，了解最新的安全技术和安全理念。

我们建议安全公告服务主要包括：系统漏洞信息将一段时期内，各操作系统、应用系统、网络设备等的最新安全漏洞进行通告，包括漏洞威胁、影响平台及修补方法等。

病毒信息将一段时期内，最具威胁性的病毒信息进行通告，包括病毒危害、感染原理及防护措施等。

安全预警一旦出现将可能造成大规模网络攻击事件的安全漏洞或病毒木马，进行及时的安全预警，积极进行补丁修复和安全防护。

信息安全事件将一段时期内，相关信息安全事件进行通告，避免客户信息系统遭遇同样安全攻击事件，造成严重损失。

安全技术研究专业信息安全团队对最新安全技术进行深入研究，包括信息系统漏洞挖掘、风险分析以及安全防护技术。

信息安全管理策略信息安全管理策略是信息系统生命周期的重要环节，管理策略制定服务是根据应用系统面临的安全威胁分析或评估结果，对客户授权的信息系统进行安全策略设计、部署，并对已经制定实施的系统安全管理策略效果进行验证、调整和改进，我们建议系统安全策略涉及到的主要内容为：WEB应用安全管理制度日志管理与审核制度账号口令管理制度防病毒服务器日常维护制度补丁加载管理制度风险评估实施细则安全事件应急响应流程管理人员安全培训通过信息安全培训服务，加强广大员工的信息安全意识，提高客户应对信息安全风险的能力，同时提高系统管理员的安全运维水平，为企业创造一个良好的信息安全氛围。

我们建议安全培训服务主要包括：信息系统安全威胁常见信息系统入侵技术信息系统防护体系风险评估与等级保护信息系统安全测评针对甲方现有信息系统进行等级测评，测评内容包括：测评包括安全技术测评和安全管理测评两大部分，其中安全技术测评包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等五个技术层面，安全管理测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个安全管理方面的内容。