编制说明

1、签订合同应遵守《中华人民共和国政府采购法》、《中华人民共和国民法典》。

2、签订合同时，采购人与中标人应结合招标文件第五章规定填列相应内容。招标文件第五章已有规定的，双方均不得对规定进行变更或调整；招标文件第五章未作规定的，双方可通过友好协商进行约定。

甲方：福州市大数据服务中心

乙方：福建闽盾网络安全有限公司

根据招标编号为[350100]ZDZB[GK]2022001的福州市可信电子文件应用系统项目第三方测试和等保测评服务类采购项目项目（以下简称：“本项目”）的招标结果，乙方为中标人。现经甲乙双方友好协商，就以下事项达成一致并签订本合同：

1、下列合同文件是构成本合同不可分割的部分：

1.1合同条款；

1.2招标文件、乙方的投标文件；

1.3其他文件或材料：□无。□（若有联合协议或分包意向协议）无。

2、合同标的

3、合同总金额

3.1合同总金额为人民币大写：捌万元整（￥80000.0000）。

4、合同标的交付时间、地点和条件

4.1交付时间：合同签订后90天交付测评报告；

4.2交付地点：福建省福州市仓山区福州市仓山区南江滨西大道199号；

4.3交付条件： 详见招标文件 。

5、合同标的应符合招标文件、乙方投标文件的规定或约定，具体如下：

服务类 品目号 品目编号及品目名称 采购标的 服务范围 服务要求 服务时间 单位 服务标准 2-1 C0205测试评估认证服务 等保测评服务 安全测评服务 具有网络安全等级保护测评资质 1项 《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）

6、验收

6.1验收应按照招标文件、乙方投标文件的规定或约定进行，具体如下：

验收期次：1 验收期次说明：乙方完成等级保护测评工作，并提供测评报告和网安支队等级保护证明。

6.2本项目是否邀请其他投标人参与验收：

不邀请。

7、合同款项的支付应按照招标文件的规定进行，具体如下：

8、履约保证金

无。

9、合同有效期

合同生效之日起，至乙方完成甲方项目通过验收为止。

10、违约责任

10.1因乙方原因造成采购合同无法按时签订的，视为乙方违约，对甲方造成损失的，乙方还需另行支付相应的赔偿。 10.2在签定采购合同之后，有下列情形之一的，视为乙方违约，甲方有权要求乙方支付合同总价款15%的违约金，并可进一步提出追索和索赔： 10.2.1签定合同后，乙方未按合同规定提供服务的； 10.2.2乙方未能按合同规定履行其义务的； 10.2.3在签定采购合同之后，乙方要求解除合同的； 10.3.本合同所有服务，都必须由乙方或在报价响应文件中明确的单位承担，不得以任何名义和理由进行分包或转包。如有发现，视为乙方违约，甲方有权单方终止合同，对甲方造成损失的，需另行支付相应的赔偿。 10.4因乙方原因发生重大质量事故，除依约承担赔偿责任外，还将按有关质量管理办法规定执行。同时，甲方有权保留更换乙方的权利，并报相关行政主管部门处罚。 10.5若发生死亡安全事故，除按国家有关安全管理规定及甲方有关安全管理办法执行外，并报相关行政主管部门处罚；发生重大安全事故或特大安全事故，除按国家有关安全管理规定及甲方有关安全管理办法执行外，甲方有权终止合同，给甲方造成的损失，还应承担赔偿责任。 10.6在明确违约责任后，乙方应在接到书面通知书起七天内支付违约金、赔偿金等。

11、知识产权

11.1乙方提供的采购标的应符合国家知识产权法律、法规的规定且非假冒伪劣品；乙方还应保证甲方不受到第三方关于侵犯知识产权及专利权、商标权或工业设计权等知识产权方面的指控，任何第三方如果提出此方面指控均与甲方无关，乙方应与第三方交涉，并承担可能发生的一切法律责任、费用和后果；若甲方因此而遭致损失，则乙方应赔偿该损失。

11.2若乙方提供的采购标的不符合国家知识产权法律、法规的规定或被有关主管机关认定为假冒伪劣品，则乙方中标资格将被取消；甲方还将按照有关法律、法规和规章的规定进行处理，具体如下：若乙方提供的采购标的不符合国家知识产权法律、法规的规定或被有关主管机关认定为假冒伪劣品，则乙方中标资格将被取消；甲方还将按照有关法律、法规和规章的规定进行处理。

12、解决争议的方法

12.1甲、乙双方协商解决。

12.2若协商解决不成，则通过下列途径之一解决：

13、不可抗力

13.1因不可抗力造成违约的，遭受不可抗力一方应及时向对方通报不能履行或不能完全履行的理由，并在随后取得有关主管机关证明后的15日内向另一方提供不可抗力发生及持续期间的充分证据。基于以上行为，允许遭受不可抗力一方延期履行、部分履行或不履行合同，并根据情况可部分或全部免于承担违约责任。

13.2本合同中的不可抗力指不能预见、不能避免、不能克服的客观情况，包括但不限于：自然灾害如地震、台风、洪水、火灾及政府行为、法律规定或其适用的变化或其他任何无法预见、避免或控制的事件。

14、合同条款

14、合同条款 序号 14.1技术和服务要求 1 1.服务期限：自合同签订之日至项目通过验收。 2 2.服务范围：福州市可信电子文件应用系统。 3 3.服务概述 序号 服务大类 服务细项 交付成果 1 等级保护咨询服务 等保资产分析服务 《信息系统基本情况调査表》 2 等保风险分析服务 《等级保护安全评估与整改建议》 3 等保差距评估服务 4 等保制度编制辅导 服务 《等级保护安全管理制度汇编》 5 安全策略复査服务 《等级保护安全策略复査报告》 6 等保定级咨询服务 相关定级材料 7 等保备案辅助服务 相关备案材料 8 等保测评辅助服务 相关测评材料 9 等保测评服务 等保测评服务 等保测评报告 4.1.1 4.服务内容 4.1. 等保安全咨询服务 对服务范围内的目标系统进行等保咨询服务，并提交等保相关文档。 4.1.1 等保资产分析服务 根据等级保护范围内的资产组成，派遣专业工程师到现场整理各个系统的网络结构拓扑以及相关联的资产，编制信息系统资产清单及资产报告；对服务范围内信息系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理，编制信息系统详细描述文档。 4.1.2 4.1.2 等保风险分析服务 根据等级保护基本要求，开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理的现状分析，通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估，结合信息资产属性、威胁、脆弱性等基本要素，分析信息系统安全风险评估分析，编制风险分析报告。 4.1.3 4.1.3 等保差距评估服务 在安全评估和信息系统定级的基础上，根据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析，从管理和技术两个层面找出存在的问题并进行差距分析，包含以下内容： （1）安全通用要求差距： 1）技术层面的差距评估内容： 安全物理环境：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 安全通信网络：网络架构、通信传输、可信验证。 安全区域边界：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。 安全计算环境：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。 安全管理中心：系统管理、审计管理、安全管理、集中管控。 4.1.3 2） 管理层面的差距评估内容： 安全管理制度：安全策略、管理制度、制定与发布、评审与修订。 安全管理机构：岗位设置、人员配备、授权和审批、沟通与合 作、审核和检查。 安全管理人员：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。 安全建设管理：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供 应商管理。 安全运维管理：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。 4.1.3 （2）云计算安全扩展要求差距 安全物理环境：基础设施位置。 安全通信网络：网络架构。 安全区域边界：访问控制、入侵防范、安全审计安全计算环境。 安全计算环境：身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护。 安全管理中心：集中管控。 4.1.4 4.1.4 等保制度编制辅导服务 协助完成安全管理制度建设，主要包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度，达到等级保护测评要求。 4.1.5 4.1.5 安全策略复查服务 需派遣专业工程师到现场针对加固前后的系统脆弱性进行复查，复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。复查结束后，形成加固前后对比复查报告。 4.1.6 4.1.6 等保定级咨询服务 在信息系统自行定级的基础上，参照国家和地方对等级保护定级的有关要求，对信息系统开展摸底调查工作，掌握信息系统的基本情况，了解信息系统（包括信息网络）的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息，协助完成撰写信息系统定级报告，明确信息系统的边界和安全保护等级，并组织专家评审。 4.1.7 4.1.7 等保备案辅助服务 根据《信息安全等级保护管理办法》，信息系统运营使用单位或主管部门需到当地公安机关备案，乙方需提供备案咨询服务，协助甲方填写《信息系统安全等级保护备案表》等准备材料，直到完成备案工作。 4.1.8 4.1.8 等保测评辅助服务 在测评阶段协助准备测评材料，指导甲方配合乙方开展等级测评工作，组织测评整改，并保障顺利通过等保测评获得测评报告 4.2 4.2 等保测评服务 根据网络安全法及国家等级保护相关标准，乙方对甲方进行等级保护安全测评，并出具正式等级保护测评报告。 4.2.1 4.2.1国家标准 依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准： GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》 GB∕T 22240-2020《信息安全技术 网络安全等级保护定级指南》 GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》 GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》 4.2.2 4.2.2技术要求 根据国家等级保护相关标准，乙方服务范围内的系统安全等级保护测评的内容包括但不限于以下内容： （1）安全技术方面 安全物理环境： 包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。 安全通信网络：包括网络架构、通信传输、可信验证等方面。 安全区域边界：包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等方面。 安全计算环境：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面。 安全管理中心：包括系统管理、审计管理、安全管理、集中管控等方面。 4.2.2 （2） 安全管理方面 安全管理制度：包括信息系统的管理制度、制定和发布、评审和修订等方面。 安全管理机构：包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等方面。 安全人员管理：包括信息系统的人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面。 安全建设管理：包括系统定级、安全方案设 计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案、等级测评等方面。 安全运维管理：包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。 4.2.3 4.2.3等级保护测评要求 （1）乙方在对服务范围内的信息系统详细了解的基础上，编制针对性的等级保护测评整体实施方案，包括项目概述、等保测评范围和内容、项目实施流程、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。 （2）乙方将详细描述测评人员的组成、资质及各自职责的划分。乙方将配置有经验的测评人员进行本次等级保护测评工作。 （3）本次等级保护测评实施过程中所使用到的各种工具软件由乙方推荐，经甲方确认后由乙方提供并在测评中使用。 4.2.3 （4）对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面，需要符合信息安全等级保护主管部门要求，包括但不仅仅包括网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。 （5）安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由乙方推荐，经甲方确认后由乙方提供并在测评中使用。 （6）安全测评需要的运行环境（如场地、网络环境等）由甲方提供，乙方应详细描述需要的运行环境的具体要求。 （7）项目完成后乙方必须提交完整的技术文档、测评报告、整改建议等，并负责对相关人员进行培训。 4.2.4 4.2.4测评实施要求 （1）乙方将保证投标项目在甲方条件成熟时应立即开展实施； （2）乙方在项目实施过程中应服从甲方的统一领导和协调，甲方有权裁决乙方的责任范围，乙方必须执行，在甲方限定的时间内解决问题。如果乙方不能按时完成测评内容，甲方有权中止项目、索赔或拒付款项； （3）乙方根据自己的工程实施经验结合甲方的实际需求进一步细化和完善工作任务书，作为工程实施的指导性文件； 4.2.4 （4）乙方根据甲方工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划，对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明，以确保工程实施按时保质的完成； （5）乙方应负责配合甲方制定相关验收标准，并完成工程实施等验收工作。 （6）项目验收完成后，要求提供为期一年的技术咨询服务，以保证项目正常运行。 4.2.5 4.2.5测评报告要求 乙方对采购人的各个信息系统进行等级保护测评，形成相应的报告。 乙方在测评完成后，出具符合信息安全等级保护主管部门要求的信息系统安全等级保护测评符合性报告。 对不符合信息安全等级保护有关管理规范和技术标准的，乙方出具可行的信息系统整改建议。 14.2 甲方为乙方工作提供的条件 14.2.1 提供技术资料 14.2.1.1 系统建设调研报告、系统建设验收报告、系统使用安全产品说明书等。 14.2.1.2 机房管理制度、系统人员管理制度等系统相关制度文档。 14.2.1.3 其他系统相关资料。 14.2.2 提供工作条件 14.2.2.1 配合测评的工作人员至少一名。 14.2.2.2 被评估系统所在网络环境接口。 14.2.2.3 系统备份：甲方在乙方开始工作前应自行做好信息系统的备份工作。 14.3保密条款 所有参与项目测评的人员。包括管理人员与技术人员，对甲方向乙方提供的所有书面、电子材料，包括但不限于被测系统拓扑图、内部管理手册、被测系统操作手册、系统验收文档、被测系统数据、测评报告等，未经甲方许可不得将测评报告用于本合同以外的网络或信息系统或对外泄露其内容。

15、其他约定

15.1合同文件与本合同具有同等法律效力。

15.2本合同未尽事宜，双方可另行补充。

15.3本合同自签订之日起生效。

15.4本合同纸质文件一式 肆 份。合同电子文本通过政府采购网上公开信息系统自动备案。合同纸质文本需与备案电子文本一致，以备案电子文本为准，具有同等效力。

15.5其他：□无。□ 无 。