本服务条款是阿里云计算有限公司 (以下简称“阿里云”)与您就先知等保测评服务相关事项所订立的有效合约。您通过盖章、网络页面点击确认或以其他方式选择接受本服务条款,包括但不限于未点击确认本服务条款而事实上使用了先知等保测评服务,即表示您与阿里云已达成协议并同意接受本服务条款的全部约定内容。如若双方盖章文本与网络页面点击确认或以其他方式选择接受之服务条款文本,存有不一致之处,以双方盖章文本为准。

关于本服务条款,提示您特别关注限制、免责条款,阿里云对您违规、违约行为的认定处理条款,以及管辖法院的选择条款等。限制、免责条款可能以加粗或加下划线形式提示您注意。在接受本服务条款之前,请您仔细阅读本服务条款的全部内容。如果您对本服务条款的条款有疑问的,请通过阿里云相关业务部门进行询问,阿里云将向您解释条款内容。如果您不同意本服务条款的任意内容,或者无法准确理解阿里云对条款的解释,请不要进行后续操作。

根据《中华人民共和国合同法》及其它相关法律法规的规定,就阿里云计算有限公司(以下简称“乙方”)向您(以下简称“甲方”)提供技术服务(以下简称“服务”)事宜,经甲乙双方共同协商,一致达成本如下各条款,以资共同遵照协议。

1 定义

1.1 “项目”是指乙方按照《等保合规咨询与测评服务说明书》中的约定,向甲方提供服务的具体项目。

1.2 “关联公司” 是指控制、受控于本协议一方或同本协议一方共同受某一公司控制的实体。

1.3 “本协议” 是指本《技术服务协议》及其所有附件。

1.4 “技术服务”或“服务”是指乙方技术服务人员按本协议及其所有附件的约定,为甲方所做的工作。

1.5 “可交付成果物”是指本协议实施过程中产出的工作成果。

1.6 “技术服务人员” 是指乙方雇用或指定的代理人、雇员或分包商。

1.7 “保密信息”是指双方在讨论、订立及履行本协议过程中向另一方提供的全部技术和商业信息,以及本协议及其所有附件的内容及可交付成果物(如有)。

1.8 “服务费用”是指依照本协议中约定的服务费用,已包括乙方应缴纳的税款。

1.9 “税款”是指根据中华人民共和国法律规定对可交付成果物和/或服务应征收的税款。

2 项目的实施

2.1 乙方应按本协议及《等保合规咨询与测评服务说明书》中的相关约定,向甲方提供相应的技术服务和/或可交付成果物。

2.2 项目的内容以《等保合规咨询与测评服务说明书》中的约定为准。

2.3 服务周期以《等保合规咨询与测评服务说明书》中的约定为准。

2.4 验收标准和验收方式以《等保合规咨询与测评服务说明书》中的约定为准。

3 双方权利义务

3.1 甲方权利义务

3.1.1 按照约定如期全额支付服务费用。

3.1.2 甲方应依照《等保合规咨询与测评服务说明书》中的约定,向乙方提供技术服务所必须的信息、数据、资料、系统/设备权限、系统/软件,并负责为乙方提供必要的设备、工作场地、后勤设施等。

3.1.3 甲方充分知晓并认可,甲方的支持与配合是乙方如期完成服务内容的必要条件。甲方承诺在制度上、人力上、系统环境上以及乙方人员的工作条件方面给予乙方充分的配合和支持,确保项目的顺利实施。

3.1.4 甲方应在项目小组指派一名甲方人员作为项目负责人,负责对乙方服务进行协调、监督,项目负责人应定期向甲方汇报,与乙方项目负责人沟通,并对服务和/或可交付成果物进行验收。

3.1.5 本协议及《等保合规咨询与测评服务说明书》中规定的其他义务。

3.2 乙方权利义务

3.2.1 乙方应尽勤勉义务,严格执行项目服务计划,依照《等保合规咨询与测评服务说明书》的约定交付服务和/或可交付成果。

3.2.2 未经双方项目负责人书面确认或者甲方书面同意,乙方不得延迟或进行内容上的变更。如果乙方在提供技术服务的过程中发现影响计划执行的不利因素的,乙方应及时通报给甲方。

3.2.3 鉴于该项服务的特殊性,甲方同意并认可乙方可将本项目的全部或部分服务内容委托给其合作伙伴完成。

3.2.4 乙方负责对其合作伙伴的能力和资质进行把控,确保合作伙伴提供的服务符合监管部门的要求。

3.2.5 本协议及《等保合规咨询与测评服务说明书》中规定的其他义务。

4 服务费用的支付

4.1 乙方将向甲方提供本协议及《等保合规咨询与测评服务说明书》约定的专业服务费用。该服务费用不含阿里云云服务产品的费用,就项目所需的云服务产品,甲乙双方另行签署协议确定。

4.2 本合同签订7日后,甲方应向乙方支付全部服务费用,乙方在收到款项后10日内向甲方开具等额发票。

4.3 甲方将上述服务费通过在阿里云官网线上购买的方式支付至乙方账户。

5 保密信息

5.1 未经披露方允许,接收方不得将属于披露方的任何资料用于本协议之外的目的。

5.2 接收方应妥善保管披露方提供的各种资料、信息和数据。

5.3 接收方对披露方所提供的技术资料承担保密义务。本协议履行完毕后,除双方另有约定外,接收方应按披露方要求退还披露方所提供的技术资料。

5.4 除为履行本协议需要,乙方有权将提供服务所必要的保密信息提供给其合作伙伴外,一方必须对所接触到的对方的保密信息进行严格保密,未经对方书面许可不得向任何第三方以任何形式进行披露。乙方应确保合作伙伴按照本协议规定条款承担保密责任。但是,如下信息不受此限:

a) 已成为公知信息,而接收方对此并无过错;

b) 披露时接收方已经知晓的信息;

c) 接收方从第三方合法获得的信息,且未附加保密的义务;

d) 接收方并未使用保密信息,而自行研发获得的信息;

e) 披露方事先书面同意披露或使用的信息;

5.5 一方发现“保密信息”发生泄露等事故时,应立即告知对方,经双方协商后采取合理的对策。另外,由于一方的故意或过失造成“保密信息”泄露时,该方须承担由此给另一方造成的直接经济损失,且须及时采取必要的措施将对方损失控制在最小限度内,并自行承担因此发生的费用和责任。如果一方未及时采取必要措施而使损失扩大,则该方对对方扩大的损失亦承担赔偿责任。

5.6 本条规定于本协议有效期内及终止后两(2)年内有效。

6 违约责任与免责条款

6.1 除非双方一致同意或本协议另有约定或法律规定,任何一方不得提前终止本协议。

6.2 因甲方未向乙方提供项目服务所需的信息、数据、资料、系统/设备权限、设备、工作场地、后勤设施等,致使乙方提供服务迟延或不符合约定的,乙方应予免责。

6.3 甲方未按约定支付服务费用的,乙方有权随时解除协议,并要求甲方支付服务费用20%的违约金。

6.4 甲方充分知晓并认可,乙方尽勤勉义务向甲方提供服务,但是乙方所提供的技术服务受项目实施当时的技术条件、网络状态、甲方的系统状况、服务周期等因素的影响和约束,乙方所提供的技术服务和/或可交付成果物仅仅是当时情况下给出的技术建议,乙方不对技术服务和/或可交付成果物的准确性、有效性、可持续性承担任何的保证责任。

6.5 如因乙方主观原因造成乙方未能够按 《等保合规咨询与测评服务说明书》 的约定交付服务成果的,乙方应向甲方出具电子邮件说明延误原因,并承诺加大投入以追赶项目进度。如乙方延误两周以上未能够按《等保合规咨询与测评服务说明书》的约定交付服务成果的,乙方应向甲方出具追赶进度计划,并加大投入以追赶项目进度。如乙方延误一个月以上未能够按《等保合规咨询与测评服务说明书》的约定交付服务成果的,甲方有权解除协议,并要求乙方返还所有已经支付的款项。

6.6 任何一方就本协议承担的违约金总额均不超过本协议总金额的20%。

7 协议的生效、变更和终止

7.1 本协议自双方加盖公章或合同专用章之日起生效。

7.2 甲、乙双方任何一方有正当理由要求变更本协议的,须提前15天以书面形式通知对方并协商解决,双方应签署变更协议。

7.3 如果发生以下情况,可以视为合同解除或终止,有关责任方承担相应的责任:

7.3.1 一方进入解散或清算阶段;

7.3.2 一方被判为破产或其它原因致使资不抵债;

7.3.3 本协议已有效、适当、全面得到履行;

7.3.4 双方共同同意以书面文件提前解除协议;

7.3.5 根据仲裁机构的生效裁决或司法机关的生效判决,本协议解除。

8 争议与解决

8.1 因执行本协议所发生的和本协议有关的一切争议,双方应首先友好协商解决。如果经协商不能达成协议,任一方均可向杭州市西湖区人民法院提起诉讼。

9 不可抗力

9.1 不可抗力必须是指一方不可控制的、不可预见的、不可克服的事件,包括但不限于:自然灾害:地震、洪水、火灾等;战争或准战争状态、恐怖活动、戒严、骚乱、大规模爆发的流行性传染病等。

9.2 协议生效后,由上述不可抗力因素造成的乙方服务期延误,则此类延误将被视为不可抗力,乙方不承担违约责任,但必须及时通知甲方。

9.3 不可抗力因素致使甲方无法继续履行本协议或不能及时提供相应支援而致使项目延误,甲方不承担违约责任,但必须及时通知乙方。

9.4 在不可抗力事件结束后十个工作日内,受不可抗力影响一方应以挂号或传真的方式将有关部门出具的证明送达至对方,否则对方可不予承认其遭受不可抗力影响,并要求其承担违约责任。

9.5 如不可抗力事故连续60天以上时,双方应通过友好协商解决本协议履行的问题。

10 附则

10.1 本协议所载任何内容不应被解释为在甲乙双方间创设合资、合伙、代理或任何其它本协议目的以外的关系。

10.2 本协议的所有附件均构成本协议的有效组成部分。本协议反映了双方对本协议所述主题的全部协定,并代替所有之前关于本协议所述主题的任何协议及以往惯例。

10.3 任何一方未能或延迟行使其在本项下的权利,不能解释为对该权利的放弃。

10.4 如有未尽事宜,甲乙双方可以签订补充协议进行说明。

10.5 若本协议中任何条款因任何原因而被认定无效,此种无效条款并不影响其他条款的有效性,且此种无效条款应自始视为不存在。

10.6 本协议及附件壹式贰份,甲乙双方各执壹份,每份具有同等的法律效力。

10.7 本协议附件为本协议不可分割之部分,具有同等法律效力。  

附件一:《等保合规咨询与测评服务说明书》

1 技术服务的内容和范围

乙方根据甲方需求,委托具有等保测评资质的合作伙伴测评机构,按本说明书第四条所列明的信息系统安全等级保护测评项目清单的范围,提供以下内容的技术服务:

1、基于国家标准《GB/T22239-2008信息系统安全等级保护基本要求》,完成XX系统的Y级保护测评服务,包括物理安全、网络安全、主机系统安全、应用安全和数据安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等十个方面的安全测评,并按照等级保护主管部门指定的报告模版要求,为每个测评系统编制信息系统安全等级保护测评报告。

2、为满足等级保护相关技术和管理要求,提供系统安全加固咨询、安全管理体系咨询、Web安全扫描和网站恶意代码检测等技术咨询服务。

2 技术服务标准和原则

1、测评机构依据国家等级保护相关标准和制度规范开展测评等工作,遵循的标准和规范包括但不限于如下所列:

 GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》

 GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》

 GB/T 25058-2010《信息安全技术 信息系统安全等级保护实施指南》

 GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》

 GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》

 行业标准。

2、本次信息系统等级保护测评服务的实施应遵循以下原则:

1) 保密性原则:乙方及合作测评机构对测评服务中的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害被测评单位和被测评系统的行为,否则甲方有权追究乙方的责任。

2) 标准性原则:合作测评机构实施的第三方测评应依据国家等级保护制度公布的相关标准及行业规范进行,不得采用未经正式公布的私有规定。

3) 规范性原则:工作过程和相关文档应具有良好的规范性和一致性,可以便于项目的跟踪和控制管理。

4) 整体性原则:每个系统测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面,不能因疏漏而导致结果的不可用。

5) 最小影响原则:采取的测评方法应尽可能小的影响被测系统和网络的正常运行,控制且减少风险,避免对现有网络和业务的正常运行产生显著影响或导致不可恢复的损失。

3 服务质量保证

1、为了保证本次项目的服务质量,乙方承诺并保证:

1) 乙方要求合作测评机构指派经国家认可的测评工程师参与项目的全过程,以保证工作质量达到预期要求;

2) 乙方和合作测评机构以职业审慎的态度处理可能存在的风险性,特别是在关键测评内容实施前(如扫描或工具测试),应和被测评单位充分沟通和协商,使得双方都清楚地认识到风险的可能性和可控性,并制定慎密的实施方案,采取必要的防范措施,确保在项目实施过程中对被测评信息系统正常运行不造成危害性影响。

2、 甲方应为乙方和合作测评机构履行协议的要求提供所需要的便利条件:

1) 予以项目便利的配合,包括及时提供准确完整的相关资料、协调相关配合人员、提供必要的现场实施办公工作环境等。

2) 甲方应按照双方商定的工作要求(包括进度、人员、质量等)完成本协议服务内容所要求甲方配合的工作。

4 服务清单和价格

本协议列明所有的信息系统安全等级保护测评项目清单和价格如下:
服务属性 服务名称 服务说明 价格
测评服务 信息系统安全等级保护测评 根据国家和相关行业等级保护相关标准,选取测评指标开展等级测评,出具等级测评报告 根据各省测评指导价计算
测评服务 信息系统等级保护定级和备案辅导 协助开展信息系统定级和备案辅导,包括定级报告、备案表的填写指导 根据各省测评指导价计算

5 服务交付物

本服务的交付物为以下形式的技术资料输出或成果:

1) 信息系统等级保护测评方案

2) 信息系统等级保护测评报告(每系统一份)

3) 信息系统等级保护测评过程文档(甲方保存归档)