依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》对信息系统开展了商用密码应用安全性评估工作,从物理和环境安全、网络和通信安全、设备 和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面进行商用密码应用安全性评估,通过测评项目的实施,根据被测信息系统当前的安全状况,给出测 评结果并提出改进建议,以确保被测信息系统达到GB/T 39786- 2021《信息安全技术 信息系统密码应用基本要求》的要求,也为其信息资产安全和业务持续稳定运行
商用密码应用安全性评估服务
合同书
甲 方:新疆维吾尔自治区教育厅
乙 方:新疆天行健信息安全测评技术有限公司签订地点:乌鲁木齐市
签订时间:2022年10月 日
委托服务合同项目名称:商用密码应用安全性评估服务项目
甲方:新疆维吾尔自治区教育厅
乙方:新疆天行健信息安全测评技术有限公司
甲、乙双方根据“商用密码应用安全性评估服务”项目询价的结果,以新疆省级教育数据中心、新疆维吾尔自治区普通高中学生学籍管理系统、新疆教育协同办公系统等三个系统(三级)进行商用密码应用安全性评估服务,签署本合同。
一、项目服务内容
1.商用密码安全性差距分析
针对项目包含的信息系统进行差距分析,为系统的优化加固提出整改建议,提供解决思路和方案。并出具差距分析报告。
2.商用密码安全性评估
依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》对信息系统开展了商用密码应用安全性评估工作,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面进行商用密码应用安全性评估,通过测评项目的实施,根据被测信息系统当前的安全状况,给出测评结果并提出改进建议,以确保被测信息系统达到GB/T 39786- 2021《信息安全技术 信息系统密码应用基本要求》的要求,也为其信息资产安全和业务持续稳定运行
提供保障。
1)物理和环境安全
信息系统所在物理环境人员进出的身份鉴别、电子门禁记录数据存储的完整性、视频监控记录存储的完整性。
2)网络和通信安全
网络通信实体的身份鉴别、通信数据的完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性、安全接入认证。
3)设备和计算安全
登录设备用户的身份鉴别、设备远程管理通道安全、设备系统资源访问控制信息的完整性、重要信息资源安全标记的完整性、设备日志记录的完整性、重要可执行程序完整性和重要可执行程序来源的真实性。
4)应用和数据安全
应用系统用户的身份鉴别、系统访问控制信息的完整性、重要信息资源安全标记完整性、重要数据传输的机密性、重要数据存储的机密性、重要数据传输的完整性、重要数据存储的完整性、用户行为的不可否认性。
5)管理制度
密码应用安全管理制度、密钥管理规则、建立操作规程、定期修订安全管理制度、明确管理制度发布流程、制度执行过程记录留存。
6)人员管理
相关人员了解并遵守相关法律法规和密码管理制度、建立密码应用岗位责任制度、建立上岗人员培训制度、定期进行安全岗位人员考核、建立关键岗位人员保密制度和调离制度。
7)建设运行
制定密码应用方案、制定密钥安全管理策略、制定实施方案、投入运行前进行商用密码应用安全性评估、定期开展商用密码应用安全性评估及攻防对抗演习。
8)应急处置
制定密码应用应急策略、建立安全事件处置程序、及时向有关主管部门上报处置情况。项目输出:《差距分析报告》、《商用密码安全性评估报告》;
3.制定和完善安全管理制度服务
根据网络安全等级保护和商用密码应用安全性评估中对安全管理层面的需求,协助甲方建立网络安全和商用密码应用的安全管理体系,建立并完善安全管理、机构设置、人员管理、系统建设和运行等层面的管理制度,补充执行管理制度所需的过程文档。
4.应急响应服务
自合同签订之日起一年服务期内,在国家法定节假日、国家或自治区重要会议、安全事件大规模爆发等重要时刻,提供7x24小时应急支撑服务。
5.网络安全及商用密码应用安全性培训服务
自合同签订之日起一年服务期内,提供网络安全等级保护以及商用密码应用安全性评估相关咨询、培训服务,构建网络安全知识和能力体系,提升网络安全管理水平。
二、合同金额
x合同费用金额为:壹拾叁万元整(小写:¥130000.00元)人民币。合同费用金额为含税金额,并包含乙方为完成本合同项下所有服务工作的全部报酬和产生的所有费用。甲方无须再向乙方另行支付任何其他费用。
三、技术资料
1.乙方应按询价文件规定的时间向甲方提供服务和货物的有关技术资料。
2.没有甲方事先书面同意,乙方不得将甲方提供的有关合同或任何合同条文、规格、计划、图纸、样品或资料提供给与履行本合同无关的任何其他人。即使向履行本合同有关的人员提供,也应注意保密并限于履行合同的必需范围。
四、知识产权
1.乙方应保证甲方在使用、接收本合同货物和服务或者其任何一部分时不接受第三方提出侵犯其专利权、版权、商标权和工业设计权等知识产权的起诉。如乙方在履行合同过程中的不当行为或过失行为构成甲方侵权第三方知识产权的,乙方承担所有责任,由此造成司法文书确定甲方的赔偿责任由乙方向甲方全额补偿。
2.本项目所形成的知识产权归甲方。乙方提交验收时需向甲方提供相关设计文件及相关文档。未经甲方同意,乙方不得就本项目内容申报软件著作权、专利、科研题目、科研奖励、发表文章等一切体现知识产权的行为。
五、产权担保
乙方保证所交付的服务无任何抵押、查封等产权瑕疵。六、转包或分包
x合同范围的服务和货物,除非得到甲方的书面同意,乙方不得以任何方式分包或转包给第三人完
成和供应,否则,甲方有权单方面解除或终止合同。七、质量要求
1. 报价供应商所提供研究成果报告必须遵守各种国家和部颁标准和有关规定。
2. 报价供应商所提供研究成果报告必须达到本询价文件中规定的要求。
3. 履行本合同的过程中,确因在现有水平和条件下难以克服的技术困难,导致部分或全部失败所造成的损失,风险责任由乙方全部承担,达不到项目规定的技术指标,乙方应当承担违约责任。
八、完工期、交付方式及交付地点
完工期:项目完成时间到“新疆维吾尔自治区教育厅商用密码应用安全性评估服务项目”整体最终验收合格止,交付地点乌鲁木齐市甲方指定地点。
九、服务工期
工期总体要求:乙方需在合同签订之日起60日内完成所有测评对象的测评服务工作,并出具相关的评估报告(必须在甲方整改完成,能够出具合格报告);如在约定的60日期限内无法完成的(由于乙方原因造成延误),甲方有权解除合同,并要求乙方退还甲方已支付合同价款。
十、服务费支付
x项目合同总金额:为(大写):壹拾叁万元整(小写:¥130000.00元)人民币。具体支付方式如下:
1.合同签订后 10 日内,甲方向乙方支付合同总价的 97%,计人民币壹拾贰万陆仟壹佰元整(小
写:¥126100.00元 );服务期满1个月后,待乙方向甲方交付的服务成果xxxxxxxx,xxxx方支付合同总价的 3%,计人民币叁仟玖佰元整(小写:¥3900.00元 )。
2.在甲方支付合同款的同时乙方向甲方开具全额的技术服务费增值税普通发票。
3.开具增值税发票的信息
名称:新疆维吾尔自治区教育厅税号:11650000010183592W
十一、质量保证及售后服务
1. 乙方应按询价文件规定的服务和技术要求、质量标准向甲方提供技术文件。
2. 乙方应对可能存在的服务变更提供相关服务。十二、甲方、乙方的权利和义务
(一)甲方的权利和义务
1.协助项目开展工作;
2.协助提供项目服务所必须的场地和环境。
(二)乙方的权利和义务
1.乙方保证按本合同约定完成方项目,并保证提供的服务是满足甲方需求规定、符合国家有关标准。
2.保证甲方在合同服务使用期间不受第三方提出侵犯其专利权、商标权和工业设计权等相关知识产权的起诉,如乙方在履行合同过程中的不当行为或过失行为构成甲方侵权第三方知识产权的,乙方承担所有责任,由此造成司法文书确定甲方的赔偿责任由乙方向甲方全额补偿。
3.乙方保证具有履行本合同项目义务所需的资质。
4.乙方在项目建设过程中对安全、风险、涉及密码建设工作进行指导和检查。十三、要求
1.保密要求
乙方须与甲方签署保密协议,未经甲方同意不得向第三方泄露此项目相关情况。服务中产生的所有资料、技术文档要妥善保管,不得遗失、转借、复印,严禁通过互联网等公共信息网络、普通邮政进行传递。相关工作人员须由乙方进行资格审查和保密教育,对知悉的事项及信息予以保密,自觉遵守国家保密法律法规及甲方工作纪律和规章制度,不做任何窃取或泄露国家秘密。工作秘密的行为,签署《保密承诺书》并甲方备案。乙方若违反保密协议,未履行相关职责或教育、监督措施落实不到位,发生参与本项目人员窃取或泄露国家秘密、工作秘密的事件,将按照《中华人民共和国保守国家秘密法》等有关法律法规承担相应的责任。
2.管理要求
乙方需提供详细的项目管理方案,应配备1个独立的项目管理小组,提供项目团队人员安排、项目进度安排、项目关键点控制计划与方案、项目安全控制计划与方案等,以确保项目顺利实施。
3.质量要求
对项目进行科学严格的管理,通过系统计划、有序组织、科学指导和有效控制,促进项目全面顺利实施,保证其公正性、独立性的质量体系,确保测评活动不受任何可能影响结果的商业、财务、健康、环境等方面的压力。
4.服务要求
提供7x24服务响应(7x24小时测评师电话支撑),需要现场支撑时,乙方需在12小时内安排至少1名具有服务能力的测评师到达现场处理。
5.成果文件交付要求
乙方应提交的书面材料中应包括但不限于以下内容:
按照《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T28448-2019)、《信息安全技术 信息系统密码应用基本要求》
(GB/T39786-2021)的标准规范要求,出具以下测评报告:
1)差距分析报告
2)商用密码应用安全性评估报告
针对每个被评估系统编制《差距分析报告》、《商用密码应用安全性评估报告》,报告按照国家密码管理局要求包含的内容编制或参考模板编制。协助被评估单位认清风险,查找漏洞,找出差距,提出有针对性的加强完善密码安全管理和防护建议。
十四 违约责任
1.任何一方不履行合同或履行合同不符合约定的均视为违约,届时,违约方应向合同相对方支付合同总
额10%的惩罚性违约金,还应赔偿由此给相对方造成的所有损失,损失包括但不限于相对方以诉讼方式追究违约方违约责任时产生的律师代理费、保全费、保全担保费、鉴定费、公证费、交通费等合理费 用。
2. 如乙方不履行合同或提供的服务不符合约定的,经甲方催告后仍未能在催告的时间内纠正违约行为或改进服务的,甲方有权单方面解除合同,解除合同的通知自送达乙方时,产生解除合同的效力。送达的方式包括:(1)甲方以邮寄方式将通知送达至乙方在本合同中明确的地址时;(2)甲方以邮件方式将通知发送至乙方邮箱时;(3)甲方项目联系人以手机短信、微信方式将通知送达至乙方项目联系人手机时。合同解除后,乙方已收取的合同款额应全额退还甲方,并按违约责任第1条的约定向甲方承担违约责任和赔偿。
十五、不可抗力时间处理
1.在合同有效期内,任何一方因不可抗力事件导致不能履行合同的,则合同履行期可延长,其延长期与不可抗力影响期相同。
2.不可抗力事件发生后,应立即通知对方,并寄送有关权威机构出具的证明。
3.不可抗力时间延续120天以上,双方应通过友好协商,确认是否继续履行合同。十六、诉讼
双方在执行合同中所发生的一切争议,应通过协商解决。如协商不成,由甲方所在地人民法院管辖通过诉讼方式解决。
十七、合同生效及其他
1.合同经双方法定代表人或授权委托代表人签字并加盖单位公章后生效。
2.合同生效后,甲乙双方共同组成项目组,乙方人员需服从甲方代表因工作需要进行的统筹调度与指导。
3.本合同未尽事宜,遵照《民法典》有关条文执行。
4.本合同正本一式肆份,具有同等法律效益,甲方、乙方各执贰份。
(此页无正文)
甲方:新疆维吾尔自治区教育厅 乙方:新疆天行健信息安全测评技术有限公司法定代表人或授权代表: 法定代表人或授权代表:
地址: 地址:新疆乌鲁木齐市水磨沟xxx山路888号绿城广场1A-301
联系人: 联系人:xxx
联系电话: 联系电话:00000000000
签订日期:2022年 月 日 签订日期:2022年 月 日
现场测评授权书
授权方:新疆维吾尔自治区教育厅
被授权方:新疆天行健信息安全测评技术有限公司第一条 授权依据
x委托书依据上述双方于2022年10月 日共同签署并已生效的《现场测评授权书 》。
第二条 授权范围
(一)授权的地域范围
x《授权书》只适用于新疆省级教育数据中心、新疆维吾尔自治区普通高中学生学籍管理系统、新 疆教育协同办公系统(三级)范围内办理授权事项之用,超越授权地域范围使用本《授权书》均属无效使用,不对授权方产生任何法律效力,一切后果由被授权方自行承担。
(二)授权的事项范围
授权方兹授权被授权方在授权地域范围内从事:利用安全测评工具及相关技术手段,对授权方的网络及信息系统进行安全测评。
(三)在上述授权事项范围内,被授权方通过合法方式代表授权方从事活动的,其法律后果方由授权方承担;否则被授权方任何超越授权事项行事或以不合法的方式行事的,产生的一切后果概由被授权方自行承担。
第三条 授权期限
(一)本授权书的有效期限为;自签订之日起至项目验收止。
(二)授权方在授权期限内合法提前撤销授权的,授权亦自行终止,本《现场测评授权书》失效。
(三)授权期限到期,本《现场测评授权书》失效;
(四)被授权方在获得授权书后,方能在指定时段内对指定对象进行测评。第四条 其他
(一)本《授权书》自授权期限开始之日起生效。
(二)本《授权书》壹式贰份,双方各持壹份,均具有同等法律效力。
(三)本《授权书》未尽事宜,按双方签署的《委托测评合同 》(填写授权依据)执行。
(四)本《授权书》不得擅自转借、涂改或复印,否则无效。第五条 附录
双方就授权事项范围达成下列共识:
(一)授权方相关技术人员全程陪同安全测评工作,安全测评所涉及授权方的设备上机操作完全由授权方人员进行,被授权方进行结果记录。
(二)授权方已了解网络及系统安全测评对系统可能会带来的如下影响:
影响 | 影响描述 |
1 | 可能导致被测主机、服务器其他被测设备异常运行或停机 |
2 | 可能导致被测对象上的服务、应用程序异常运行或终止运行 |
3 | 测评期间,被测主机上相关服务的运行速度可能会减慢 |
4 | 测评期间,网络系统的处理能力和传输速度可能会减慢 |
(三)授权方在测评时段之前针对测评可能对系统带来的影响和后果已做好充分应对准备及措施(特别指出测评前须或已完成全面备份)。
(四)被授权方在授权许可范围内开展测评活动而对授权方产生任何不良后果,授权方同意承担相关风险。
(五)被授权方不按约定时间或不使用约定的工具对指定系统进行测评,由此产生的后果由被授权方承担。
(六)被授权方在获得本授权书后,x能在授权书指定的时段内进行测评活动。甲方:新疆维吾尔自治区教育厅 乙方:新疆天行健信息安全测评技术
有限公司
授权代表人(签字): 授权代表人(签字):
日 期: 年 月 日 日 期: 年 月 日
保 密 协 议
甲方:新疆维吾尔自治区教育厅
乙方:新疆天行健信息安全测评技术有限公司
甲乙双方正在就 新疆维吾尔自治区教育厅商用密码应用安全性评估项目进行合作,需要取得对方的相关业务和技术资料,为此甲乙双方本着平等自愿、公平诚信的原则,经友好协商签订本协议。
第一条 保密资料的定义
甲乙双方中任何一方披露给对方的与项目有关或因项目产生的任何商业、营销、技术、运营数据或其他性质的材料,无论以何种形式或载于何种载体,无论在披露时是否以口头、图像或以书面方式标明其具有保密性(简称:保密资料),但不包括下述资料和信息:
(一) 已经或将公布于众的资料,但不包括甲乙双方或其代表违反本规定未经授权所披露的;
(二) 在任何一方向接受方披露前已为该方知悉的非保密性材料;
(三) 任何一方提供的非保密资料,接受方在披露这些资料前不知此资料提供者(第三方)已经与本协议下的非保密提供方订立过有约束力的保密协议,且接受方有理由认为资料披露者未被禁止向接受方提供资料。
第二条 保密资料的范围
甲、乙双方确认,双方应承担关于该信息系统的商业秘密范围包括:
(一) 技术信息:包括技术方案、设计要求、服务内容、实现方法、运作流程、技术指标、软件系统、数据库、运行环境、作业平台、测试结果、使用手册、技术文档、涉及技术秘密的业务函电等等;
(二) 经营信息:包括客户名称、客户地址及联系方式、需求信息、营销计划、采购资料、定价政策、进货渠道、产销
策略、招投标中的标底及标书内容、项目组人员构成、费用预算、利润情况及不公开的财务资料等等;
(三) 其他事项:甲方依照法律规定和有关协议(如技术合同等)的约定要求乙方承担保密义务的其他事项。第三条 双方责任义务
(一) 甲乙双方互为保密资料的提供方和接收方,负有保密义务,承担保密责任。
(二) 甲乙双方中任何一方未经对方书面同意不得向第三方公开和披露任何保密资料或以其他方式使用保密资料。双方也许促使各自达标不想第三方公开或披露任何保密资料或以其他方式使用保密资料。除非披露、公开或利用保密资料是双方从事或开展合作项目工作在通常情况下应承担的义务(包括双方今后依法律或合同应承担的义务)适当所需的。
(三) 甲乙双方均须把保密资料的接触范围严格限制在因本协议规定目的而需接触保密资料的各自负责任的代表的范围内。
(四) 除经过双方书面同意而必要进行披露外,任何一方不得将含有对方或其代表披露的保密资料复印或复制或者有意无意地提供给他人。
(五) 如果合作项目不再继续进行或乙方因故退出此项目,经甲方在任何时候提出书面要求,乙方应当、并应促使其代
表在五个工作日内销毁或向甲方返还其占有的或控制的全部保密资料以及包含或体现了保密材料的全部文件和其他材料并连同全部副本。但是在不违反本协议其他条款的条件下,双方可仅为本协议第四条之目的,保留上述文件或材料的复制件一份。
第四条 保密资料的保存和使用
(一) 甲乙双方中的任何一方有权保存必要的保密资料,以便在履行其在合作项目工作中所承担的法律、规章与义务时使用该部分保密资料。
(二) 甲乙双方有权使用保密资料对任何针对接受方或其代表的与本协议项目及其事务相关的索赔、诉讼、司法程序及指控进行抗辩,或者对本协议项目及其事务相关的传唤、传票或其他法律程序做出答复。
第五条 违约和赔偿
(一) 任何一方有违反本协议的情形,无论故意与过失,应当立即停止侵害,并在第一时间采取一切必要措施防止保密信息的扩散,尽最大可能消除影响。
(二) 一方违反本协议的一方,应承担违约责任,违约方应向守约方支付违约金,违约金的具体数额由双方协商确定。
(三) 上述违约金数额并不影响受损害方向违约方要求损害赔偿。该赔偿以受损害方实际遭受的损失为限。第六条 适用法律和争议解决
x协议受中华人民共和国法律管辖并按中华人民共和国法律解释。对因本协议或本协议各方的权利和义务而发生的或与之有关的任何事项和争议、诉讼或程序,本协议双方不可撤销地接受中华人民共和国法院的管辖。
因执行本协议而发生纠纷,可以由双方协商解决或者共同委托双方信任的第三方调解。协商、调解不成或者一方不愿意协商、调解的,任何一方都有提起诉讼的权利。
第七条 协议变更
x协议的任何修改必须经过双方的书面同意。
第八条 协议有效期
乙双方确认,本协议有效期自甲乙双方签字盖章之日起,于甲方关于该信息系统的商业秘密公开时止。第九条 x协议一式贰份,甲乙双方各执壹份。
甲方:新疆维吾尔自治区教育厅 乙方:新疆天行健信息安全测评技术
有限公司
授权代表人(签字): 授权代表人(签字):
日 期: 年 月 日 日 期: 年 月 日