度信息安全测评实验室运维服务合同.docx
《度信息安全测评实验室运维服务合同.docx》由会员分享,可在线阅读,更多相关《度信息安全测评实验室运维服务合同.docx(17页珍藏版)》请在冰豆网上搜索。
度信息安全测评实验室运维服务合同
委托人(甲方):
XX信息安全测评中心
法定代表人:
XXX
住所:
XXXX
受托人(乙方):
上海XX卫士信息安全技术有限公司
法定代表人:
XXX
住所:
XXX
甲、乙双方根据《中华人民共和国合同法》及相关法律法规的规定,采用公开招标方式,经过友好协商,就乙方为甲方信息安全测评实验室运维项目提供运行维护服务事宜达成本合同,以资共同遵守。
第一条运维服务事项及内容
乙方为甲方所委托的信息安全测评实验室运维项目提供如下运行维护服务:
(一)检测工具升级服务
1.安信通数据库安全扫描工具1年升级服务及技术支持服务;
2.应用程序静态安全检查工具(岛此i命)1年升级及技术支持服务:
3.WEB黑盒检测工具(WebRavor)安全扫描工具1年升级及技术支持服务;
4.启明漏洞安全扫描工具1年升级及技术支持服务:
5.绿盟冰之眼网络安全审计系统1年升级服务、技术支持服务及硬件质保:
6.火星企业级跨平台数据备份软件系统标准级和专业级各一套l年升级服务及技术支持服务;
7.AcunetixWebVulnerabilityScanner软件l年升级及技术支持服务:
8.万兆级网络性能分析评估专用工具运维1年升级服务、技术支持服务及硬件质保;
9.2台绿盟极光漏洞扫描器1年升级服务、技术支持服务及硬件质保:
10.绿盟BVSl年升级服务、技术支持服务及硬件质保;
11.启明星辰IDS升级1年升级服务、技术支持服务及硬件质保:
12.天融信网络卫士安全审计系统1年升级服务、技术支持服务及硬件质保;
13.诺赛SQL注入检测工具升级:
14.CheckmarxCxEnterprise源代码扫描工具升级。
(二)机房运维服务
1.机房环境设施设备日常巡检:
2.机房环境设施设备的定期检修:
3.机房环境设施设备的突发故障紧急处理:
4.机房环境检测。
(三)检测设备维护
包括专用设备的资产标识和管理、周期核查及维护、使用前后核查、期间核查、设备能力比对、校准、维修维护及故障处理、样品管理、易耗品更换、作业指导书维护等。
(四)实验室网络运维
对实验室网络进行日常巡检、周期运维、故障处理,并定期进行网络优化。
(五)质量体系及有关资格维持
支付实验室认可、检查机构认可、涉密系统测评分中心资格维持、公安部等级保护测评机构年审、信息安全风险评估服务资质年审等所需的年度管理费、专家评审费等。
具体的运维服务事项及内容要求,请见附件1.
第二条运维服务要求
乙方接受甲方委托所提供的整体运维服务应遵循客观、科学、公平、公正原则,符合国家和相关部门、评估专家对该类项目内容和深度规定的要求及甲方的技术、质量要求。
第三条运维服务期限
乙方为甲方提供信息安全测评实验室运维项目运行维护服务的期限为一年,即自2018年1月起至组18年12月止。
本合同第一条"检测工具升级服务"开始时间按实际升级服务合同为准,有效期要满足合同附件l要求。
第四条合同履行地点
本合同项下的运维服务履行地点为甲方所在地或者甲方指定的地点。
第五条服务费及支付方式
l、本合同项下服务费总额为人民币XXX元,大写:
XXXX整。
前述服务费已经包含乙方完成本合同项下运维服务的全部费用,除前述费用外,甲方无需向乙方另行支付其他任何款项。
2、甲方将按以下第一二一种方式向乙方支付服务费:
(1)一次性支付:
甲方于本合同签署之日起←一个工作日内,向乙方付清本合同项下的服务费。
(2)分期支付:
一甲方自本合同签署之日起立立个工作日内,向乙方支付服务费总额的XXX%(人民币204.16万元);乙方完成本合同项下全部服务的80%后的二十个工作日内,甲方向乙方支付服务费的20%(人民币51.04万元)。
3、乙方应在甲方付款前向甲方开具正规合法发票,否则甲方有权暂不付款且不承担逾期付款的违约责任。
第六条甲方的权利义务
1、甲方负责项目运维方案的审核工作,负责维护工作中重大事项的协调工作,负责预算支出的审核,负责召集专家对重要方案进行论证:
2、甲方负责项目系统维护服务资金的协调工作:
3、甲方负责项目的内容策划工作;
4、甲方负责组织制定项目质量评审标准和办法并依据办法对服务质量进行评审;
5、甲方负责主导业务需求与应用。
对乙方的日常工作进行指导,对相关政策做出明确的解释,当发现乙方工作中存在问题时及时纠正;
6、甲方负责系统运维日常事项的协调、管理工作,提出业务需求并对需求进行确认:
7、甲乙双方共同确定对分包商的选择机制和考核评价模式,甲方对考核结果有一票否决权:
8、甲方负责对本项目乙方人员定期进行考核评价,考核方式包括日常考核、季度考核和年度考核:
如发生严重违反合作原则、伤害甲方利益、影响服务质量等行为,甲方有权随时提出人员撤换要求。
9、甲方负责对乙方参与本项目的核心人员的确定和变更进行审查。
第七条乙方的权利义务
1、负责甲方技术运维工作,包括:
·保障信息安全测评实验室的稳定运行;
·负责组建管理技术运维队伍。
2、负责项目相关的基础(硬件、网络等)运维工作,向甲方提交每月工作汇总,主要内容详见附件1。
3、正常情况下,乙方应向甲方配备2名技术人员驻场执行日常运维工作,原则上驻场人员按照甲方工作作息,特殊时期(如春节、两会、国庆、敏感时期等,总数不超过25天)7X24驻场服务。
在可能导致甲方系统瘫痪等不可挽回的损失时,乙方响应甲方服务要求的时间不得超过一个小时(包括人员及硬件备机、备件)
4、负责实验室运维的整体技术服务,提供系统维护和日常维护。
在技术上确保项目系统安全可靠、稳定高效的运行;
5、根据甲方现有维护内容及标准,制定本年度工作方案及计划,按时保质完成工作目标:
6、负责按照甲方的要求进行系统升级;
7、负责建立完善的项目管理机制,保证日常维护的进度及质量。
建立符合甲方系统维护和工程建设要求的项目管理文档和技术文档;
8、负责新增软硬件、数据库和应用系统的建设及与原有系统的集成,保证系统安全、稳定运行;
9、负责制定系统安全、稳定运行的各项技术性规范,建立运维服务的应急保障机制;
10、负责做好应急预案的落实工作,严格按照《上海市国家机关重大信息安全事件报告制度))(XX信息办函[2016]140号)有关要求,做好事件上报工作:
11、乙方应对承担项目进行专科目单独核算,编制项目经费结算表,不得列支与本项目无关的费用。
12、服务期间,乙方应于每月30日前定期向甲方提交当月工作进度报告,报告内容包括项目进度执行情况、己完成的项目内容、人员配置情况,以及项目变更情况等:
13、负责做好项目执行过程中形成的归乙方所有的软硬件资产的管理工作:
14、负责分包商管理。
15、如乙方基本信息(单位名称、账户、账号及法人等)发生变更,乙方应在变更后5个工作日内书面通知甲方。
第八条分包商管理
1、分包商由乙方负责管理,甲方提出需求并负责监督工作;
2、分包商的服务质量将纳入对乙方的考核中。
第九条项目管理小组及技术人员要求
1、双方各指派一名代表作为本项目负责人,项目负责人职责范围包括:
•组织制定项目实施计划:
•组织完成项目实施,保证项目按时按质量要求完成;
•组织项目结题验收;
•负责项目实施过程中的内外部沟通协作:
•组织解决项目实施过程中的问题:
•定期汇报项目进展:
•控制项目信息的安全保密。
2、项目技术人员资格
乙方须根据项目要求安排具备相应资质的专业技术人员,并确保项目实施队伍的稳定(项目技术人员名单和简历详见附件3)。
项目实施过程中,乙方如因正当理由需要调整项目技术人员的,应当提前」止日通知甲方,获得甲方书面同意后方可进行。
第十条运维服务工作成果的评价、验收
1、评价目标:
做好现有信息安全测评实验室己有环境的基本运行维护,并对其中关键的专业设备和工具进行例行的升级维护,为信息安全产品检测、信息系统安全测评及信息安全应用技术研究工作的开展,提供持续性的基础技术支撑。
2、验收标准:
乙方提供的实验室运维服务应达到下列指标要求:
女乙方为甲方提供的服务质量应符合国家或相关行业的标准为合同服务内容涉及到设备设施的主要各品备件应保证全部为原厂正品:
为合同服务质量要求详见合同附件1。
3、实验室运维服务验收
(1)本合同服务期届满后」一个月内,由甲方聘请专家组成项目评审组对乙
方提供的实验室运维服务进行质量评审。
乙方应在质量评审前,按甲方要求提
交年度工作报告及实验室运维的相关数据资料(乙方的交付物包括但不限于附件
2提到的文档。
(2)项目评审时,项目评审组按合同约定对乙方提供的实验室运维服务进行评审。
乙方项目负责人应对工作情况做出必要说明,并可以对质量评审结论申述意见。
评审结束后,双方共同确认项目评审组出具的项目质量评审报告,作为项目验收的凭证。
第十一条保密义务
1、乙方因承接本合同约定项目所知悉的该项目信息或甲方信息,以及在项目实施过程中所产生的与该项目有关的全部信息均为甲方的保密信息,乙方应按照《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施办法》及甲方关于保密工作的相关要求,对上述保密信息承担保密义务。
未经甲方书面同意,乙方不得将甲方保密信息透露给任何第三方。
2、乙方应按照《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施办法》及甲方关于保密工作的相关要求,对上述保密信息承担保密义务。
未经甲方书面同意,乙方不得将甲方保密信息透露给任何第三方。
3、乙方应对上述保密信息予以妥善保存,并保证仅将其用于与完成本合同项下约定项目实施有关的用途或目的。
在缺少相关保密条款约定时,对上述保密信息,乙方应至少采取适用于对自己核心机密进行保护的同等保护措施和审慎程度进行保密。
4、乙方保证将保密信息的披露范围严格控制在直接从事该项目工作且因工作需要有必要知悉保密信息的工作人员范围内,对乙方非从事该项目的人员一律严格保密。
5、乙方应保证在向其工作人员披露甲方的保密信息前,认真做好员工的保密教育工作,明确告知其将知悉的为甲方的保密信息,并明确告知其需承担的保密义务及泄密所应承担的法律责任,并要求全体参与该项目的人员签署书面《保密协议》。
6、任何时间内,一经甲方提出要求,乙方应按照甲方指示在收到甲方书面通知后二-日内将含有保密信息的所有文件或其他资料归还甲方,且不得擅自复制留存。
7、非经甲方特别授权,甲方向乙方提供的任何保密信息并不包括授予乙方该保密信息包含的任何专利权、商标权、著作权、商业秘密或其它类型的知识产权。
8、乙方承担上述保密义务的期限为合同有效期间及合同终止后一立一年。
9、承担上述保密义务的责任主体为乙方(含乙方工作人员)。
如乙方或乙方工作人员违反了上述保密义务,给甲方造成损失的,乙方均应向甲方承担全部责任,并赔偿因此给甲方造成的全部损失;如损失数额无法确定的,乙方赔偿甲方所能提供损失证明的数额。
第十二条产权归属
(一)知识产权归属
1、本项目属政府投入项目范畴,按照《上海市人民政府关于加强政府投入项目专利和版权管理工作的意见》的要求,在甲方按照合同约定向乙方支付相应对价后,乙方同意本项目实施过程中所形成的所有技术成果归上海市人民政府所有。
2、乙方保证委托项目成果是其独立实施完成,其使用的开发工具等都有合法授权。
乙方保证甲方不会受到任何第二方基于侵犯其专利权、商标权、著作权、商业秘密等的指控和诉讼。
如果甲方收到上述指控和诉讼,乙方应当配合甲方积极应诉,并承担因此给甲方造成的全部损失,包括但不限于诉讼仲裁费、律师费、法院或仲裁机构最终裁定的侵权赔偿费用及甲方承担其他侵权责任所造成的经济损失等。
(二)资产归属
1、本合同生效后,甲乙双方对甲方原有运维设备资产进行清点登记。
经双方确认,具备继续使用条件的资产由甲方授权乙方使用:
2、合同期内按甲方需求新增软硬件资产由乙方提供,甲方有权无条件使用;乙方为该项目投入的专属资产,在合同期满后,甲方按资产余值(资产原值-己计提折旧或摊销价值)受让相关资产,或负责协调乙方将相关资产直接转让给新的运维服务提供商,并将对价支付给乙方。
第十三条违约责任
1、甲乙双方均应全面履行本合同,任何一方不履行或不按约定履行均构成违约,违约方应赔偿因此给对方造成的损失。
损失赔偿金额为守约方因对方违约而造成的全部直接经济损失和按此合同可获得的经济利益,但此全部赔偿金额不得高于违约方应当预见的因违反合同可能给对方造成的经济损失。
2、甲方迟延支付运维服务费的,每延期一日,应向乙方支付拖欠款项0.1%的违约金。
3、乙方应在本合同期限内按照本合同约定向甲方提供运维服务。
如因乙方原因造成服务延迟,甲方有权要求乙方作出补偿和采取补救措施,并继续履行本合同所规定的义务。
4、乙方未尽日常维护义务或维护不当造成系统运行障碍的,由乙方负责排除,并承担由此造成的损失和产生的附加成本。
5、乙方在提供运维服务过程中,若出现长时间断网(因电信运营商原因故障除外)或系统安全事故造成不良影响等服务质量问题,甲方有权酌情核减运维服务费用,核减的标准按重大事故、严重事故和一般事故区分,一次断网30分钟以上为重大事故,15一-30分钟为严重事故,一次断网15分钟以下为一般事故。
重大事故每发生一次将扣除本合同项下运维服务费总额的0.5%。
严重事故每发生一次将扣除本合同项下运维服务费总额的0.2%。
一般事故将纳入年度考核之中,年度累计断网总时间超过30分钟按重大事故处理,年度累计断网超过15分钟不足30分钟按严重事故处理。
6、乙方提供的运维服务经甲方年度考核不合格的,按照考核管理办法的相关规定执行。
7、乙方未按照本合同约定提供专业技术人员团队,或擅自更换人员的,经甲方通知后,应及时予以改正,经甲方通知后仍不改正的或上述情况累计发生3次以上的,甲方有权解除合同,如因此给甲方造成损失的,由乙方承担全部赔偿责任。
8、乙方不接受甲方和相关单位对本项目进行监督检查的,或经检查发现存在违法违规情况的,按照国家和本市有关规定处理。
第十四条争议的解决
因履行合同所发生的一切争议,双方应友好协商解决,协商不成的,按下列第1种方式解决:
l、提交上海仲裁委员会仲裁,仲裁裁决为终局裁决;
2、依法向上海市朝阳区人民法院起诉。
第十五条廉政承诺
1、合同双方承诺共同加强廉洁白律、反对商业贿赂。
2、甲方及其工作人员不得索要礼金、有价证券和贵重物品;不得在乙方报销应由本单位或个人支付的费用;不得以参与项目实施为名,接受乙方从该项目10中支取的劳务报酬:
不得参加乙方安排的超标准宴请和娱乐活动。
3、乙方不得向甲方及其工作人员行贿或馈赠礼金、有价证券、贵重礼品;不得为其报销应由甲方单位或个人支付的费用;不得向甲方工作人员支付劳务报酬:
不得安排甲方工作人员参加超标准宴请及娱乐活动。
第十六条其他
1、本合同自双方签字盖章之日起生效。
2、未尽事直,经双方协商一致,签订补充协议,补充协议与本合同不一致或相冲突的内容,以补充协议为准。
3、本合同附件是本合同的重要组成部分,与本合同正文具有同等法律效力,双方均应遵照执行。
4、本合同一式六份,其中正本两份,甲、乙双方各执一份,副本肆份,正本和副本具有同等法律效力。
(以下无正文)
甲方(盖具〉
签订日期:
签署人:
签订日期:
乙方(盖具)
签订日期:
签署人:
签订日期:
开户行:
XXX
开户名称:
XXX
有限公司
帐号:
XXX
附件1:
实验室运维服务内容及质量要求
1.检测工具升级服务采购
1)安信通数据库安全扫描工具升级及技术支持服务
为测评实验室现有的安信通数据库安全扫描工具(一套,含三个授权)购买原厂升级和维保服务,内容包括:
一年攻击特征库和知识库升级服务:
产品授权使用期延长一年;产品一年技术支持服务,服务方式包括电子邮件、电话、应急现场支持:
安信通产品培训,培训课时不少于10小时。
2)应用程序静态安全检查工具(fortify)年服务(软件)费为测评实验室现有的HP公司的源代码安全扫描系统CFortifySCA)一套,购买原厂升级和维保服务,内容包括:
一年Fortify360Server平台升级、软件版本升级、软件安全规则库升级服务;产品授权使用期延长一年:
产品一年技术支持服务,服务方式包括电子邮件、电话、现场支持服务等:
产品培训课时不少于10小时。
3)WEB黑盒检测工具(WebRavor)安全扫描工具升级及技术支持服务为测评实验室现有的WebRavor安全扫描工具(一套,含三个授权)购买原厂升级和维保服务,内容包括:
1年产品特征库审计和知识库升级:
产品授权使用期延长一年:
产品1年技术支持服务,服务方式包括电子邮件、电话、现场支持服务等:
产品培训课时不少于10小时。
的启明漏洞安全扫描工具升级及技术支持服务为测评实验室现有的启明漏洞安全扫描工具一套购买原厂升级和维保服务,内容包括:
软件及特征库升级:
产品授权使用期延长一年:
产品一年技术支持服务;服务方式包括电子邮件、电话、现场支持服务等:
产品培训课时不少于10小时0
5)绿盟冰之眼网络安全审计系统升级及技术支持服务为测评实验室现有的绿盟冰之眼千兆网络安全审计系统一台购买原厂升级和维保服务,内容包括:
年度软件及特征库升级:
产品授权使用期延长一年;硬件质保延保一年;产品一年技术支持服务,服务方式包括电子邮件、电话、现场支持服务等:
产品培训课时不少于10小时。
6)火星企业级跨平台数据备份软件系统升级及技术支持服务为测评实验室现有的火星企业级跨平台数据备份系统标准级和专业级各一套购买原厂升级和维保服务,内容包括:
软件及功能模块升级:
客户保障计划延期一年,产品一年技术支持服务,服务方式包括电子邮件、电话、现场支持服务等;产品培训课时不少于10小时。
7)AcunetixWebVulnerabilityScanner软件升级及技术支持服务为测评实验室现有的AcunetixWebVulnerabilityScanner一套购买原厂升级和维保服务,内容包括:
年度软件及特征库升级:
产品授权使用期延长一年:
产品一年技术支持服务,服务方式包括电子邮件、电话、现场支持服务等:
8)万兆级网络性能分析评估专用工具运维
为测评实验室现有的万兆级网络性能分析评估专用工具BPS一台购买原厂维护服务,内容包括:
硬件质保一年;年度基础软件升级、协议更新升级、病毒库更新升级等服务;产品一年技术支持服务,服务方式包括电子邮件、电话、现场支持服务等:
产品培训课时不少于20小时。
9)绿盟极光漏洞扫描器升级及技术支持服务为测评实验室现有的绿盟极光漏洞扫描器二台购买原厂升级和维保服务,内容包括:
年度软件及特征库授权升级:
产品授权使用期延长一年;硬件质保延一年;产品一年技术支持服务,服务方式包括电子邮件、电话、现场支持服务等;
产品培训课时不少于10小时。
10)绿盟BVS升级及技术支持服务
为测评实验室现有的绿盟BVS一台购买原厂升级和维保服务,内容包括:
年度软件及特征库授权升级;产品授权使用期延长一年;硬件质保延保一年;产品一年技术支持服务,服务方式包括电子邮件、电话、现场支持服务等:
产品培训课时不少于10小时。
11)启明星辰IDS升级
为测评实验室现有的启明星辰IDS一台购买原厂升级服务,内容包括:
硬件升级并延保一年;年度软件及特征库授权升级:
产品一年技术支持服务,服务方式包括电子邮件、电话、现场支持服务等。
12)天融信网络卫士安全审计系统升级
为测评实验室现有的天融信网络卫士安全审计系统一台购买原厂升级服务,内容包括:
硬件升级并延保一年:
年度软件及特征库授权升级:
产品一年技术支持服务,服务方式包括电子邮件、电话、现场支持服务等。
13)诺赛SQL注入检测工具升级
为测评实验室现有的诺赛SQL注入检测工具一套购买原厂升级服务,内容包括:
年度软件及特征库授权升级:
产品一年技术支持服务,服务方式包括电子邮件、电话、现场支持服务等。
14)CheckmarxCxEnterprise源代码扫描工具升级为测评实验室现有的CheckmarxCxEnterprise源代码扫描工具→套购买原厂升级服务,内容包括:
年度软件及特征库授权升级:
产品一年技术支持服务,服务方式包括电子邮件、电话、现场支持服务等。
2.机房运维服务
实验室测试机房是采购人的数据中心、网络管理中心、检测中心,良好的机房管理和安全保障,才能使机房提供正常服务功能,为采购人开展业务提供稳定、可靠的工作环境。
实验室机房运行维护包括对机房监控设备、机房装修环境及设施、机房配电设备、机房消防设备、综合布线系统、其它设备的巡检及检修的维护管理。
机房巡检及检修维护包括对机房环境设施设备的巡检及检修、机房信息系统设施设备的运行监控、机房测评专用工具设备的核查维护,采取日常巡检、定期检修、故障处理三种方式。
机房环境设施设备的巡检及检修维护采用日常巡检、定期检修、故障处理三种方式。
1)机房环境设施设备日常巡检主要是规范建立机房环境设施设备的资产及运行记录,每日对机房温度、湿度、机房精密空调设备、机房集中监控系统、机房配电设备、机房消防设备、综合布线系统、机房内地面墙面装修装饰等环境设施设备的有效运行进行日常巡检,并根据质量体系的要求做好环境维护,完成实验室运维日报、周报、月报、年报。
2)机房环境设施设备的定期检修指按照既定的周期对机房环境设施设备进行检修,并形成完整的记录文件,包括:
两台海洛斯机房专用空调(型号海洛斯QII0A+2*HCE24)每台每月派专业工程师巡检1次,检修并保养设施,及时更换老旧、损坏设施,出机房专用空调月度检查报告:
每年至少更换四次加湿罐:
每季度至少更换过滤网1次;春季及高温时节及时清洗空调室外机;每半年一次《机房空调设施状况评估>>;保证机房温度湿度符合设计标准。
负责整个专用空调系统质保。
自动消防设施包括消防电报警系统、气体灭火系统、测试区水喷淋系统(七氟炳炕钢120L瓶两个:
消防气体控制盘为Notifier/美国RPI002E;烟感探测器Notifier/美国D-651;温感探测器Notifier/美国5451;水喷淋系统吊顶喷头)每季度派专业工程师巡检一次,检修并保养设施,及时更换老旧、损坏设施,保证气体压力在正常范围,编写季度检测报告:
每年组织消防演练1次:
每年组织消防培训111次(含消防实喷操作);每年由具有消防专业检测资质的单位做一次消防专业检测。
机房集中监控系统(捷通监控软件)包括空调监控系统、配电集中监控系统、视频监控、漏水报警系统、门禁系统等,每月派专业工程师巡检一次,检修并保养设施,及时更换老旧、损坏设备,编写集中监控系统月度检测报告:
每半年出一次《机房智能化控制系统运行情况评估报告》。
提供整个机房集中监控系统质保服务。
机房电力设施,包括配电柜、配电箱及防雷设施、电气工程、UPS等。
每月派专业工程师巡检一次、检修并保养设施,及时更换老旧、损坏设施,编写机房强电系统月度检测报告:
自动双路配电设施每季度做一次电路切换:
每季度综合评估机房用电使用分配是否合理:
三台机房UPS电源每季度进行充放电一次:
每年对电池组做一次内阻检测,评估电池使用情况:
每半年一次《机房电气设施状况评估》。
提供整个机房电力设施质保服务。
告>>机房网络综合布线系统每半年出《机房网络综合布线系统运行情况评估报每年一次机房及专业机柜除尘;每周做一次