XXX等級(jí)保護(hù)測評(píng)服務(wù)合同

1、技 術(shù) 服 務(wù) 合 同 合同編號(hào)（甲方）： 合同編號(hào)（乙方）： 項(xiàng)目名稱： 委托方（甲方）： 受托方（乙方）： 簽訂時(shí)間： 簽訂地點(diǎn)： 有效期限：xxx年xxx月至xxx年xxx月目錄1.技術(shù)服務(wù)項(xiàng)目概要- 1 -2.技術(shù)服務(wù)具體要求- 1 -3.甲方提供的工作條件及協(xié)作事項(xiàng)- 1 -4.組織與管理- 2 -5.技術(shù)服務(wù)報(bào)酬及支付方式- 4 -6.技術(shù)服務(wù)工作成果的驗(yàn)收- 4 -7.知識(shí)產(chǎn)權(quán)- 4 -8.保密義務(wù)- 5 -9.違約責(zé)任- 5 -10.合同變更和解除- 6 -11.爭議解決- 7 -12.名詞和技術(shù)術(shù)語的定義和解釋- 7 -13.本合同的組成部分- 7 -14.其他- 7 -附件

2、1：技術(shù)協(xié)議書- 10 -附件2：保密協(xié)議- 24 - 0 -技術(shù)服務(wù)合同委托方（甲方）： 受托方（乙方）： 鑒于本合同為甲方委托乙方就xxx系統(tǒng)等保測評(píng)項(xiàng)目進(jìn)行的專項(xiàng)技術(shù)服務(wù)，并支付相應(yīng)的技術(shù)服務(wù)報(bào)酬。為明確各自的權(quán)利和義務(wù)，雙方經(jīng)過平等協(xié)商，根據(jù)中華人民共和國合同法等有關(guān)法律法規(guī)的規(guī)定，訂立本合同。1.技術(shù)服務(wù)項(xiàng)目概要 1.1技術(shù)服務(wù)的目標(biāo)： 完成xxx系統(tǒng)等保測評(píng)服務(wù) 。1.2技術(shù)服務(wù)的內(nèi)容：對xxx系統(tǒng)進(jìn)行等級(jí)保護(hù)測評(píng)，出具xxx系統(tǒng)等級(jí)保護(hù)測評(píng)報(bào)告；詳見附件1：技術(shù)協(xié)議書 。1.3技術(shù)服務(wù)的方式： 甲方所在地現(xiàn)場數(shù)據(jù)采集、乙方所在地報(bào)告編制 。2.技術(shù)服務(wù)具體要求2.1技術(shù)服務(wù)地點(diǎn)：

3、 xxx 。 2.2技術(shù)服務(wù)期限： 合同簽訂日起3個(gè)月 。 2.3技術(shù)服務(wù)進(jìn)度： 第一階段：商務(wù)溝通、合同簽訂及計(jì)劃編寫；第二階段：資產(chǎn)調(diào)研、方案編寫與評(píng)審；第三階段：現(xiàn)場數(shù)據(jù)采集與整理；第四階段：分析與報(bào)告編制；第五階段：項(xiàng)目驗(yàn)收 。 2.4技術(shù)服務(wù)質(zhì)量要求： 按招標(biāo)技術(shù)規(guī)范書要求完成等級(jí)測評(píng)服務(wù)，并提交符合要求的成果交付物 。3.甲方提供的工作條件及協(xié)作事項(xiàng)3.1提供的工作條件：（1）為測評(píng)小組準(zhǔn)備一間容納45人的辦公室 。 （2）提供合適的會(huì)議室及辦公環(huán)境供交流使用 。（3）提供一部打印機(jī)，打印項(xiàng)目過程文檔 。3.2提供的技術(shù)資料如下：類別對應(yīng)文檔網(wǎng)絡(luò)拓?fù)涓飨到y(tǒng)網(wǎng)絡(luò)拓?fù)鋱D業(yè)務(wù)流程圖各系統(tǒng)

4、的業(yè)務(wù)流程圖公司規(guī)范公司下發(fā)的各類安全管理制度和規(guī)范機(jī)房管理規(guī)范機(jī)房的安全管理制度維護(hù)手冊/制度日常運(yùn)維的手冊和制度部門、人員崗位職責(zé)各部門和人員的崗位職責(zé)業(yè)務(wù)事故和網(wǎng)絡(luò)事故案例發(fā)生過的業(yè)務(wù)和網(wǎng)絡(luò)安全事故記錄和處理結(jié)果口令管理辦法各類口令的制定和管理方法業(yè)務(wù)開發(fā)設(shè)計(jì)文檔各業(yè)務(wù)開發(fā)設(shè)計(jì)文檔（提供目錄）網(wǎng)絡(luò)設(shè)備配置文檔各網(wǎng)絡(luò)設(shè)備的配置文件（交換機(jī)、防火墻、路由器）系統(tǒng)日志網(wǎng)絡(luò)設(shè)備和主機(jī)的日志系統(tǒng)安全配置要求部分業(yè)務(wù)和系統(tǒng)的安全其他針對不同的網(wǎng)絡(luò)業(yè)務(wù)，我方可以查詢的其他文檔 3.3其他：根據(jù)項(xiàng)目組的建議，做好相關(guān)數(shù)據(jù)的備份工作；并安排信息安全管理人員、系統(tǒng)維護(hù)人員等，配合測評(píng)小組的現(xiàn)場測評(píng)工作 。3

5、.4甲方提供上述工作條件和協(xié)作事項(xiàng)的時(shí)間及方式：合同履行期內(nèi)、現(xiàn)場技術(shù)服務(wù)。4.組織與管理4.1在本合同有效期內(nèi)，乙方應(yīng)派出專業(yè)技術(shù)人員為甲方提供技術(shù)服務(wù)。技術(shù)服務(wù)人員名單見附件技術(shù)服務(wù)人員表。4.2本合同雙方分別指定項(xiàng)目負(fù)責(zé)人如下：（1）甲方負(fù)責(zé)人： ，電話： ；（2）乙方負(fù)責(zé)人： ，電話： 。4.2.1甲方項(xiàng)目負(fù)責(zé)人的主要職責(zé)為：（1）牽頭組織本方技術(shù)服務(wù)工作；（2）負(fù)責(zé)組織協(xié)調(diào)合同的簽訂、履行；（3）負(fù)責(zé)跟蹤或報(bào)告技術(shù)服務(wù)工作進(jìn)展和成果；（4）負(fù)責(zé)與另一方的溝通協(xié)調(diào)、信息傳遞等工作，為技術(shù)服務(wù)工作提供便利條件。 4.2.2乙方項(xiàng)目負(fù)責(zé)人的主要職責(zé) （1）負(fù)責(zé)編制整個(gè)測評(píng)工作計(jì)劃和測評(píng)技術(shù)

6、方案，溝通甲方確認(rèn)后按計(jì)劃開展現(xiàn)場服務(wù)。 （2）由于乙方技術(shù)人員操作或其他行為造成甲方信息系統(tǒng)運(yùn)行設(shè)備、應(yīng)用功能等軟、硬件設(shè)備故障時(shí)，乙方應(yīng)立即停止工作，并負(fù)責(zé)對上述系統(tǒng)、設(shè)備進(jìn)行恢復(fù)消缺。 （3）乙方負(fù)責(zé)人按照相關(guān)信息系統(tǒng)安全防護(hù)系統(tǒng)規(guī)定與甲方簽訂保密協(xié)議，并確保參與本次系統(tǒng)評(píng)估工作的工程技術(shù)人員嚴(yán)格遵守保密協(xié)議相關(guān)條款。 （4）乙方負(fù)責(zé)按照招標(biāo)文件要求與甲方簽訂技術(shù)協(xié)議，并履行技術(shù)協(xié)議中相關(guān)職責(zé)。 （5）乙方按照技術(shù)協(xié)議要求開展保護(hù)等級(jí)測評(píng)，出具完整的測評(píng)報(bào)告、整改建議及安全評(píng)估報(bào)告，確保系統(tǒng)通過能源局、國網(wǎng)公司等監(jiān)管機(jī)構(gòu)及主管部門的檢查、評(píng)估。4.3人員更換4.3.1一方變更項(xiàng)目負(fù)責(zé)人的

7、，應(yīng)當(dāng)及時(shí)以書面形式通知另一方。4.3.2乙方更換其項(xiàng)目負(fù)責(zé)人與其他技術(shù)服務(wù)人員，須征得甲方書面同意。4.3.3甲方認(rèn)為乙方工作人員不能勝任項(xiàng)目工作或玩忽職守的，有權(quán)要求乙方立即更換。上述被更換的人員無甲方另行批準(zhǔn)不得重新參加本項(xiàng)目技術(shù)服務(wù)工作。5.技術(shù)服務(wù)報(bào)酬及支付方式5.1技術(shù)服務(wù)報(bào)酬總額為：人民幣（大寫）XXX元整 （￥XXX元）（含稅）。該報(bào)酬包含乙方履行本合同所需全部費(fèi)用，包括但不限于員工工資、加班費(fèi)、咨詢費(fèi)、資料費(fèi)、交通費(fèi)、食宿費(fèi)以及稅費(fèi)等。5.2技術(shù)服務(wù)報(bào)酬由甲方 （一次或分期）支付乙方。具體支付方式和時(shí)間如下：（1） 。（2） 。（3） 。（4） 。6.技術(shù)服務(wù)工作成果的驗(yàn)收6

8、.1乙方完成技術(shù)服務(wù)工作的形式： 提交xxx系統(tǒng)等級(jí)保護(hù)測評(píng)報(bào)告。6.2技術(shù)服務(wù)工作成果的驗(yàn)收標(biāo)準(zhǔn)： 完成并提交所有成果交付物；項(xiàng)目實(shí)施過程未造成安全事件發(fā)生 。6.3技術(shù)服務(wù)工作成果的驗(yàn)收方法： 召開項(xiàng)目評(píng)審會(huì)，甲乙雙方就項(xiàng)目的成果和過程進(jìn)行正式評(píng)審，內(nèi)容包括：最終成果和輸出報(bào)告講解和匯報(bào)；項(xiàng)目工作成果評(píng)審意見 。 6.4驗(yàn)收的時(shí)間和地點(diǎn)：由甲乙雙方協(xié)商確定 。7.知識(shí)產(chǎn)權(quán)7.1在本合同有效期內(nèi)，甲方利用乙方提交的技術(shù)服務(wù)工作成果所完成的新的技術(shù)成果，歸雙（甲、雙）方所有。7.2在本合同有效期內(nèi)，乙方利用甲方提供的技術(shù)資料和工作條件所完成的新的技術(shù)成果，歸雙（乙、雙）方所有。8.保密義務(wù)8.

9、1一方及其工作人員應(yīng)對技術(shù)服務(wù)合同簽訂、履行過程中了解到的涉及到另一方商業(yè)秘密的文件資料以及其他尚未公開的有關(guān)信息承擔(dān)保密責(zé)任，并采取相應(yīng)的保密措施。雙方應(yīng)承擔(dān)的保密義務(wù)包括但不限于：8.1.1未經(jīng)一方書面同意，另一方不得將上述保密信息披露給任何第三人。8.1.2 不得將上述保密信息用于本合同以外的其他目的。 8.1.3 在技術(shù)服務(wù)項(xiàng)目通過評(píng)審后或按合同要求，及時(shí)將上述資料和信息返還對方或按對方要求作適當(dāng)處理。8.2 涉密人員范圍甲方涉密人員范圍：系統(tǒng)運(yùn)行單位及參與測評(píng)人員。乙方涉密人員范圍：等級(jí)測評(píng)項(xiàng)目組。8.3上述保密義務(wù)的期限至保密信息正式向社會(huì)公開之日或一方書面解除另一方此合同項(xiàng)下保密

10、義務(wù)之日止。9.違約責(zé)任9.1 乙方不履行本合同義務(wù)或履行義務(wù)不符合約定的，甲方有權(quán)要求乙方承擔(dān)繼續(xù)履行、賠償損失或支付違約金等違約責(zé)任。9.1.1 乙方未按期完成技術(shù)服務(wù)工作的，每逾期1天，應(yīng)向甲方支付相當(dāng)于技術(shù)服務(wù)報(bào)酬 1 % 的違約金，逾期超過 30 日的，甲方有權(quán)單方解除合同。9.1.2 乙方未按合同約定履行合同義務(wù)，經(jīng)甲方催告仍未糾正的，甲方有權(quán)單方解除合同。由于整改糾正造成進(jìn)度延期交付的視同逾期交付。9.1.3乙方提供的技術(shù)服務(wù)不符合本合同約定的驗(yàn)收標(biāo)準(zhǔn)，未通過甲方驗(yàn)收的，乙方應(yīng)退還甲方已支付的全部款項(xiàng)，并向甲方支付相當(dāng)于技術(shù)服務(wù)報(bào)酬 10 %的違約金。9.1.4乙方違反合同約定的

11、保密義務(wù)，應(yīng)承擔(dān)一切法律責(zé)任并向甲方支付相當(dāng)于技術(shù)服務(wù)報(bào)酬 10 %的違約金。9.1.5合同因乙方原因解除的，甲方有權(quán)停止支付并要求乙方退還甲方已支付的全部款項(xiàng)，且乙方應(yīng)向甲方支付相當(dāng)于技術(shù)服務(wù)報(bào)酬 10 %的違約金。9.1.6乙方因違約需要向甲方支付違約金或賠償損失的，甲方有權(quán)從任何一期合同應(yīng)付款項(xiàng)中予以扣除。9.2甲方不履行本合同義務(wù)或者履行義務(wù)不符合約定的，乙方有權(quán)要求甲方承擔(dān)繼續(xù)履行、支付違約金等違約責(zé)任。9.2.1甲方不提供工作條件或提供的工作條件不符合約定，影響工作進(jìn)度和質(zhì)量，承擔(dān)由此造成的項(xiàng)目延期、費(fèi)用增加的責(zé)任。9.2.2甲方逾期支付技術(shù)服務(wù)報(bào)酬的，應(yīng)就逾期部分向乙方支付按照中

12、國人民銀行規(guī)定的同期貸款基準(zhǔn)利率計(jì)算的逾期付款違約金。9.2.3甲方無正當(dāng)理由不接受工作成果的，已支付的報(bào)酬不得追回，未支付的報(bào)酬應(yīng)當(dāng)支付，并向乙方支付相當(dāng)于技術(shù)服務(wù)報(bào)酬 10 %的違約金；甲方無正當(dāng)理由逾期接受工作成果的，每逾期1天， 應(yīng)向乙方支付相當(dāng)于技術(shù)服務(wù)報(bào)酬 1 %的違約金，逾期超過 30 日的，乙方有權(quán)單方解除合同。9.2.4甲方違反合同約定的保密義務(wù)，應(yīng)承擔(dān)一切法律責(zé)任并向乙方支付相當(dāng)于技術(shù)服務(wù)報(bào)酬 10 %的違約金。10.合同變更和解除10.1雙方經(jīng)協(xié)商一致可變更或解除合同，并以書面形式確定。10.2有下列情形之一的，一方可以向另一方提出變更或解除合同的書面請求，另一方應(yīng)當(dāng)在1

13、0日內(nèi)予以書面答復(fù)；逾期未予書面答復(fù)的，視為同意：（1）因?qū)Ψ竭`約使合同不能繼續(xù)履行或沒有必要繼續(xù)履行。 （2） 無 。10.3法律規(guī)定的合同解除情形出現(xiàn)時(shí)，一方主張解除合同的，應(yīng)當(dāng)書面通知對方。合同自通知到達(dá)對方時(shí)解除。10.4本合同中約定可單方解除合同的，單方解除合同的條件成就時(shí)，享有解除權(quán)的一方可單方解除合同，但應(yīng)書面通知對方。合同自通知到達(dá)對方時(shí)解除。11.爭議解決11.1因合同及合同有關(guān)事項(xiàng)發(fā)生的爭議，雙方應(yīng)本著誠實(shí)信用原則，通過友好協(xié)商解決，經(jīng)協(xié)商仍無法達(dá)成一致的，按以下第 2 種方式處理：（1）仲裁：提交/仲裁，按照申請仲裁時(shí)該仲裁機(jī)構(gòu)有效的仲裁規(guī)則進(jìn)行仲裁。仲裁裁決是終局的，對

14、雙方均有約束力。（2）訴訟：向 甲方 所在地人民法院提起訴訟。11.2在爭議解決期間，合同中未涉及爭議部分的條款仍須履行。 12.名詞和技術(shù)術(shù)語的定義和解釋 12.1 等級(jí)測評(píng)：指測評(píng)機(jī)構(gòu)依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對未涉及國家秘密的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測評(píng)估的活動(dòng)。 13.本合同的組成部分與履行本合同有關(guān)的下列技術(shù)文件，經(jīng)雙方約定，作為本合同的組成部分。13.1技術(shù)標(biāo)準(zhǔn)和規(guī)范： 技術(shù)協(xié)議書 ；13.2其他： 保密協(xié)議 。14.其他 14.1本合同經(jīng)雙方法定代表人（負(fù)責(zé)人）或其授權(quán)代表簽署并加蓋雙方公章或合同專用章之日起生效。合同簽訂日期以雙方中最后

15、一方簽署并加蓋公章或合同專用章的日期為準(zhǔn)。14.2本合同一式 捌 份，甲方執(zhí)肆份，乙方執(zhí) 肆 份，具有同等法律效力。14.3特別約定本特別約定是合同各方經(jīng)協(xié)商后對合同其他條款的修改或補(bǔ)充，如有不一致，以特別約定為準(zhǔn)。 無 。 （以下無正文）- 23 -簽 署 頁甲方：（蓋章） 乙方：（蓋章）法定代表人(負(fù)責(zé)人)或授權(quán)代表（簽字）：法定代表人（負(fù)責(zé)人）或授權(quán)代表（簽字）：簽訂日期： 年 月 日簽訂日期： 年 月 日地址： 地址： 郵編：郵編： 聯(lián)系人： 聯(lián)系人： 電話：電話：傳真：傳真：Email：Email： 開戶銀行： 開戶銀行：賬號(hào)： 賬號(hào)：稅號(hào)： 稅號(hào)：附件1：技術(shù)協(xié)議書1.概述為了落實(shí)

16、公安部、能源局和國家電網(wǎng)公司電力信息系統(tǒng)安全等級(jí)保護(hù)要求，進(jìn)一步增強(qiáng)電力信息系統(tǒng)安全防護(hù)能力，確保電力信息系統(tǒng)安全穩(wěn)定運(yùn)行，依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T 22239-2008）和電力行業(yè)信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見（電監(jiān)信息200744號(hào)）等標(biāo)準(zhǔn)規(guī)范，進(jìn)行本次電力信息系統(tǒng)等級(jí)保護(hù)。1.1.目的及范圍落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)要求，健全電力信息系統(tǒng)安全防護(hù)體系，統(tǒng)一信息安全防護(hù)標(biāo)準(zhǔn)和策略，按照電力信息系統(tǒng)不同安全等級(jí)，通過合理分配資源，規(guī)范電力信息系統(tǒng)安全建設(shè)與防護(hù)，對電力信息系統(tǒng)分等級(jí)實(shí)施全面保護(hù)，以提高xxx系統(tǒng)信息安全的整體防護(hù)水平。通過等級(jí)保護(hù)測評(píng)工作，全面、完整地了解x

17、xx系統(tǒng)的現(xiàn)有安全狀況，通過測評(píng)其與信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T 22239-2008）、電力信息系統(tǒng)安全等級(jí)保護(hù)要求（試行）對應(yīng)級(jí)別的差距，達(dá)到以檢查促安全的目的，實(shí)現(xiàn)重要信息系統(tǒng)的分等級(jí)保護(hù)與監(jiān)管、信息安全事件分等級(jí)響應(yīng)的要求。經(jīng)甲乙雙方協(xié)商，本項(xiàng)目的工作范圍包括：1、對xxx系統(tǒng)等級(jí)保護(hù)測評(píng)，出具等級(jí)保護(hù)測評(píng)報(bào)告。1.2.要求本次項(xiàng)目實(shí)施方案設(shè)計(jì)以及在具體的項(xiàng)目實(shí)施過程中，我方將嚴(yán)格遵守以下的標(biāo)準(zhǔn)和原則開展工作：u 客觀性和公正性原則雖然測評(píng)工作不能完全擺脫個(gè)人主張或判斷，但測評(píng)人員應(yīng)當(dāng)沒有偏見，在最小主觀判斷情形下，按照測評(píng)雙方相互認(rèn)可的測評(píng)方案，基于明確定義的測評(píng)方式和解釋

18、，實(shí)施測評(píng)活動(dòng)。u 規(guī)范性原則安全測評(píng)過程有統(tǒng)一的流程，測評(píng)過程中使用的方法及使用的文檔，需要具有很好的規(guī)范性，便于測評(píng)工作的質(zhì)量保證，并測評(píng)保證結(jié)果的一致性。u 標(biāo)準(zhǔn)性原則測評(píng)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國家及行業(yè)等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。u 可控性原則安全測評(píng)所使用的工具、方法和過程要在雙方認(rèn)可的范圍之內(nèi)，安全測評(píng)的進(jìn)度要符合進(jìn)度表的安排，保證雙方對測評(píng)工作的可控性。u 整體性原則安全測評(píng)的范圍和內(nèi)容應(yīng)當(dāng)全面覆蓋xxx系統(tǒng)所涉及的各個(gè)層面，并考慮各個(gè)層面的相互關(guān)系。u 最小影響原則測評(píng)工作應(yīng)盡可能小地影響網(wǎng)絡(luò)和系統(tǒng)的正常運(yùn)行，不能對系統(tǒng)的業(yè)務(wù)產(chǎn)生顯著影響。例如：避免造成被測評(píng)系統(tǒng)的性能明顯下降、網(wǎng)

19、絡(luò)擁塞、服務(wù)中斷等。u 保密性原則對在測評(píng)過程中所接觸到的被測評(píng)單位的所有敏感信息，測評(píng)人員應(yīng)遵循相關(guān)的保密承諾，不利用它們進(jìn)行任何侵害被測評(píng)單位安全利益的行為。2.項(xiàng)目內(nèi)容依照 GB/T22239-2008信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求和電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（征求意見稿）對xxx系統(tǒng)進(jìn)行等級(jí)保護(hù)測評(píng)，確定不同等級(jí)業(yè)務(wù)系統(tǒng)當(dāng)前安全防護(hù)現(xiàn)狀，以及與國家和行業(yè)等級(jí)保護(hù)要求間的差距；分析其所面臨的威脅及其存在的脆弱性，提出有針對性的抵御威脅的防護(hù)策略和整改措施，為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，最大限度地防止由于電力信息系統(tǒng)安全事件引發(fā)電力安全事故，全面提高電

20、力信息系統(tǒng)安全防護(hù)水平提供科學(xué)依據(jù)。等級(jí)測評(píng)將覆蓋物理環(huán)境、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及信息安全管理等方面的內(nèi)容，內(nèi)容包括但不限于以下內(nèi)容：1. 總體要求測評(píng)：包括總體技術(shù)要求、總體管理要求；2. 安全技術(shù)測評(píng)：包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測評(píng)；3. 安全管理測評(píng)：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制測評(píng)；4. 最終版報(bào)告需加蓋電力行業(yè)等級(jí)保護(hù)測評(píng)中心的印章。3.等級(jí)保護(hù)測評(píng)方案3.1.主要依據(jù) GB/T 18336-2001信息技術(shù)安全性評(píng)估準(zhǔn)則 GB/T 19715-2005信息技術(shù)

21、安全管理指南 GB/T 19716-2005信息安全管理實(shí)用規(guī)則 GB/T 22239-2008 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB 50174-2008 電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范 GB/T 22239-2009信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求 公通字200743號(hào)信息安全等級(jí)保護(hù)管理辦法 電監(jiān)信息200744號(hào)電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見3.2.技術(shù)思路本項(xiàng)目主要技術(shù)思路是依據(jù)上述標(biāo)準(zhǔn)，對xxx系統(tǒng)進(jìn)行等級(jí)測評(píng)，依據(jù)測評(píng)以及核查的結(jié)果綜合分析給出等級(jí)測評(píng)的結(jié)果和改進(jìn)建議。具體思路如下：（1）、使用問卷調(diào)查表，對xxx系統(tǒng)調(diào)研，掌握xxx系統(tǒng)的主要功能和業(yè)務(wù)

22、流程。調(diào)閱定級(jí)報(bào)告，詳細(xì)了解測評(píng)范圍內(nèi)的xxx系統(tǒng)及其包含的信息資產(chǎn)，為下一步測評(píng)指標(biāo)的選取做好準(zhǔn)備。（2）、在用戶許可的情況下，對xxx系統(tǒng)的關(guān)鍵設(shè)備和關(guān)鍵系統(tǒng)進(jìn)行手工配置檢查，對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行合理性分析，對應(yīng)用系統(tǒng)進(jìn)行安全性分析，發(fā)現(xiàn)和分析系統(tǒng)安全技術(shù)方面與國家及行業(yè)要求之間的差距。（3）、采用安全核查表的形式從管理層面和技術(shù)規(guī)范層面，對xxx系統(tǒng)進(jìn)行現(xiàn)場的安全管理核查，了解包括人的因素在內(nèi)的系統(tǒng)運(yùn)行狀況。通過對核查結(jié)果的分析，發(fā)現(xiàn)和分析管理層面與國家及行業(yè)要求之間的差距。（4）、在安全技術(shù)測試和安全管理核查的基礎(chǔ)上，根據(jù)xxx系統(tǒng)的特點(diǎn)，發(fā)現(xiàn)和分析安全控制間、層面間以及區(qū)域間的相互關(guān)聯(lián)

23、關(guān)系，以及安全控制間、層面間和區(qū)域間是否存在安全功能上的增強(qiáng)、補(bǔ)充和削弱作用以及xxx系統(tǒng)整體結(jié)構(gòu)安全性、不同信息系統(tǒng)之間整體安全性等。3.3.工作流程xxx系統(tǒng)等級(jí)測評(píng)工作可以分為四個(gè)項(xiàng)目活動(dòng)階段具體實(shí)施，分別是：測評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場測評(píng)活動(dòng)、分析與報(bào)告編制活動(dòng)。主要工作流程如下圖所示：圖 等級(jí)測評(píng)基本工作流程等級(jí)測評(píng)項(xiàng)目啟動(dòng)信息收集與分析工具和表單準(zhǔn)備測評(píng)準(zhǔn)備活動(dòng)測評(píng)對象確定測評(píng)指標(biāo)確定測評(píng)工具接入點(diǎn)確定測評(píng)方案編制測評(píng)內(nèi)容確定測評(píng)實(shí)施手冊開發(fā)方案編制活動(dòng)測評(píng)實(shí)施準(zhǔn)備現(xiàn)場測評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還單項(xiàng)測評(píng)結(jié)果判定單項(xiàng)測評(píng)結(jié)果匯總分析系統(tǒng)整體測評(píng)分析綜合測評(píng)結(jié)論形成測評(píng)報(bào)告

24、編制現(xiàn)場測評(píng)活動(dòng)修訂分析與報(bào)告編制活動(dòng)動(dòng)溝通與洽談1) 測評(píng)準(zhǔn)備階段測評(píng)準(zhǔn)備階段主要完成啟動(dòng)測評(píng)項(xiàng)目，組建測評(píng)項(xiàng)目組；通過收集和分析被測系統(tǒng)的相關(guān)資料信息，掌握被測系統(tǒng)的大體情況；通過調(diào)閱定級(jí)報(bào)告，掌握各系統(tǒng)所確定的安全重要程度；并通過編制測評(píng)方案以及準(zhǔn)備測評(píng)工具和文檔等任務(wù)，為順利實(shí)施現(xiàn)場測評(píng)工作打下良好的基礎(chǔ)。測評(píng)準(zhǔn)備階段實(shí)施的主要活動(dòng)包括:項(xiàng)目啟動(dòng)、信息收集和分析、編制測評(píng)方案及工具和文檔準(zhǔn)備。2) 方案編制階段本階段是開展等級(jí)測評(píng)工作的關(guān)鍵活動(dòng)，為現(xiàn)場測評(píng)提供最基本的文檔和指導(dǎo)方案。本活動(dòng)的主要任務(wù)是開發(fā)與被測信息系統(tǒng)相適應(yīng)的測評(píng)內(nèi)容、測評(píng)實(shí)施手冊等，形成測評(píng)方案。3) 現(xiàn)場測評(píng)階段本

25、階段是開展等級(jí)測評(píng)工作的核心活動(dòng)。本活動(dòng)的主要任務(wù)是按照測評(píng)方案的總體要求，嚴(yán)格執(zhí)行測評(píng)實(shí)施手冊，分步實(shí)施所有測評(píng)項(xiàng)目，包括單項(xiàng)測評(píng)和系統(tǒng)整體測評(píng)兩個(gè)方面，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題?，F(xiàn)場測評(píng)階段通過與被測單位進(jìn)行溝通和協(xié)調(diào)，為現(xiàn)場測評(píng)的順利開展打下良好基礎(chǔ)，然后依據(jù)測評(píng)方案實(shí)施現(xiàn)場測評(píng)工作，將測評(píng)方案和測評(píng)工具等具體落實(shí)到現(xiàn)場測評(píng)活動(dòng)中?，F(xiàn)場測評(píng)工作應(yīng)取得分析與報(bào)告編制活動(dòng)所需的、足夠的證據(jù)和資料。4) 報(bào)告編制階段本階段是給出等級(jí)測評(píng)工作結(jié)果的活動(dòng)，是總結(jié)被測系統(tǒng)整體安全保護(hù)能力的綜合評(píng)價(jià)活動(dòng)。本活動(dòng)的主要任務(wù)是根據(jù)現(xiàn)場測評(píng)結(jié)果和信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)

26、過程指南的有關(guān)要求，通過單項(xiàng)測評(píng)結(jié)果判定和系統(tǒng)整體測評(píng)分析等方法，分析整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級(jí)的保護(hù)要求之間的差距，綜合評(píng)價(jià)被測信息系統(tǒng)保護(hù)狀況，并形成測評(píng)報(bào)告文本。測評(píng)人員在初步判定單項(xiàng)測評(píng)結(jié)果后，還需進(jìn)行系統(tǒng)整體測評(píng)，經(jīng)過系統(tǒng)整體測評(píng)后，有的單項(xiàng)測評(píng)結(jié)果可能會(huì)有所變化，需進(jìn)一步修訂單項(xiàng)測評(píng)結(jié)果，而后形成等級(jí)測評(píng)結(jié)論。最終組織專家對測評(píng)結(jié)論進(jìn)行評(píng)審。3.4.測評(píng)方法等級(jí)測評(píng)的主要方式有：訪談、檢查和測試。 訪談訪談是指測評(píng)人員通過與xxx系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)表明xxx系統(tǒng)安全保護(hù)措施是否落實(shí)的一種方法。在訪談的范圍上，應(yīng)基本覆蓋所有的安全相關(guān)人

27、員類型，在數(shù)量上可以抽樣。 檢查檢查是指測評(píng)人員通過對測評(píng)對象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取證據(jù)以證明國xxx系統(tǒng)安全等級(jí)保護(hù)措施是否得以有效實(shí)施的一種方法。在檢查范圍上，應(yīng)基本覆蓋所有的對象種類（設(shè)備、文檔、機(jī)制等），數(shù)量上可以抽樣。 測試測試是指測評(píng)人員通過對測評(píng)對象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)等活動(dòng)，查看、分析響應(yīng)輸出結(jié)果，獲取證據(jù)以證明xxx安全等級(jí)保護(hù)措施是否得以有效實(shí)施的一種方法。在測試范圍上，應(yīng)基本覆蓋不同類型的機(jī)制，在數(shù)量上可以抽樣。3.5.測評(píng)原則對于各種類型測評(píng)對象數(shù)量的選擇采取抽樣的方式，其數(shù)量應(yīng)能夠滿足各級(jí)系統(tǒng)整體測評(píng)分析的需要。本項(xiàng)中涉及的設(shè)備、設(shè)施、人員

28、和文檔的抽樣結(jié)果需在系統(tǒng)完整調(diào)查之后最終確定，并與用戶單位溝通確認(rèn)。u 三級(jí)及以上系統(tǒng)重點(diǎn)抽查“主要”的設(shè)備、設(shè)施、人員和文檔，其中必查的測評(píng)對象主要包括：l 主機(jī)房和部分輔機(jī)房（包括其環(huán)境、設(shè)備和設(shè)施等），必查的輔機(jī)房中放置了服務(wù)于xxx系統(tǒng)的局部（包括整體）或?qū)xx系統(tǒng)的局部（包括整體）安全性起重要作用的設(shè)備、設(shè)施；l 重要介質(zhì)的存放環(huán)境，存儲(chǔ)被測系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境。l 整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；l 安全設(shè)備，包括防火墻、IDS和防病毒網(wǎng)關(guān)等；l 邊界網(wǎng)絡(luò)設(shè)備（可能會(huì)包含安全設(shè)備），包括路由器、防火墻、認(rèn)證網(wǎng)關(guān)和邊界接入設(shè)備（如樓層交換機(jī)）等。l 主要網(wǎng)絡(luò)互聯(lián)設(shè)備，對整個(gè)xxx系

29、統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、匯聚層交換機(jī)等； l 服務(wù)器中的主要服務(wù)器（包括其操作系統(tǒng)和數(shù)據(jù)庫），指承載被測系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器；l 終端中的主要終端，包括管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)的終端，抽查其中的一部分；l 應(yīng)用系統(tǒng)中的主要應(yīng)用系統(tǒng)，指能夠完成被測系統(tǒng)不同業(yè)務(wù)使命的業(yè)務(wù)應(yīng)用系統(tǒng)；l 硬件冗余設(shè)備（重要網(wǎng)絡(luò)、服務(wù)器和通信線路）；l 業(yè)務(wù)備份系統(tǒng)；l 安全主管人員、各方面的負(fù)責(zé)人員、具體負(fù)責(zé)安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人、所有管理制度和記錄；4.項(xiàng)目質(zhì)量管理與控制4.1.項(xiàng)目質(zhì)量承諾為了保證本次項(xiàng)目的品質(zhì)和質(zhì)量，我方承諾：l 根據(jù)標(biāo)準(zhǔn)性、規(guī)范性、可控性、整體性、最

30、小影響性及保密性原則，做到守時(shí)、保質(zhì)；l 指派工作經(jīng)驗(yàn)豐富、技術(shù)實(shí)力雄厚的安全顧問結(jié)合技術(shù)領(lǐng)先、結(jié)論可靠的測評(píng)工具為xxx系統(tǒng)作全面的等級(jí)保護(hù)符合性測評(píng)。承諾咨詢過程按照國際標(biāo)準(zhǔn)進(jìn)行，并保證對客戶的資料嚴(yán)格保密；l 確保選派高級(jí)專家參與整個(gè)項(xiàng)目保證項(xiàng)目質(zhì)量，并在收到中標(biāo)通知后，立即召集參與項(xiàng)目的專家準(zhǔn)備項(xiàng)目實(shí)施；l 在指定的地點(diǎn)進(jìn)行測評(píng)工作和等級(jí)保護(hù)符合性測評(píng)報(bào)告的編寫，在測評(píng)期間和測評(píng)結(jié)束后，不帶走測評(píng)中的重要資料和結(jié)果。4.2.項(xiàng)目管理方法在項(xiàng)目的實(shí)施過程中，根據(jù)項(xiàng)目的具體要求，整個(gè)項(xiàng)目的管理參考美國項(xiàng)目管理協(xié)會(huì)PMI提出的項(xiàng)目管理方法學(xué)，以及一些安全專業(yè)領(lǐng)域的專家、顧問對項(xiàng)目的實(shí)施進(jìn)行規(guī)

31、范管理實(shí)施。同時(shí)通過規(guī)范化的項(xiàng)目管理，保證項(xiàng)目進(jìn)程中的過程的質(zhì)量。4.3.項(xiàng)目變更管理不受控制的項(xiàng)目變更，包括目標(biāo)變更、范圍變更、人員變更、環(huán)境變更、文檔修改等等是對項(xiàng)目質(zhì)量的重大威脅。但是，期望實(shí)施過程中不出現(xiàn)變更也是不現(xiàn)實(shí)的?？陀^上，項(xiàng)目可能需要隨時(shí)修改自己的計(jì)劃、調(diào)整資源分配等以適應(yīng)項(xiàng)目的最新情況。變更控制的關(guān)鍵在于使得變更的出現(xiàn)和接受被置于項(xiàng)目雙方的嚴(yán)格管理中。本項(xiàng)目中由專門的質(zhì)量保證工程師負(fù)責(zé)全程監(jiān)管項(xiàng)目中隨時(shí)可能出現(xiàn)的變更情況，保證不同層次的變更能夠得到相應(yīng)的、適當(dāng)?shù)奶幚?，所有重要的修改都?jīng)過項(xiàng)目雙方的認(rèn)真討論和確認(rèn)。在確認(rèn)接受變更的情況下，項(xiàng)目雙方可能需要重新審定工期、資源、目標(biāo)

32、、甚至商務(wù)等相關(guān)條文，并且通過配置管理保證所有人員和基線相關(guān)條目都得到了更新。對于項(xiàng)目變更管理流程如下圖：4.4.風(fēng)險(xiǎn)與控制4.4.1.可能存在的風(fēng)險(xiǎn)1. 驗(yàn)證測試對運(yùn)行系統(tǒng)可能會(huì)造成影響在現(xiàn)場測評(píng)時(shí)，需要對設(shè)備和系統(tǒng)進(jìn)行一定的驗(yàn)證測試工作，部分測試內(nèi)容需要上機(jī)查看一些信息，這就可能對系統(tǒng)的運(yùn)行造成一定的影響，甚至存在誤操作的可能。2. 敏感信息泄漏泄漏被檢測單位xxx系統(tǒng)狀態(tài)信息，如網(wǎng)絡(luò)拓?fù)洹P地址、業(yè)務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔信息。3. 對測評(píng)結(jié)果的爭議測評(píng)方和被測評(píng)單位對測評(píng)結(jié)果可能存在爭議。4.4.2.風(fēng)險(xiǎn)的規(guī)避1. 簽署委托測評(píng)協(xié)議在測評(píng)工作正式開始之前，測評(píng)方和被測評(píng)單

33、位需要以委托協(xié)議的方式明確測評(píng)工作的目標(biāo)、范圍、人員組成、計(jì)劃安排、執(zhí)行步驟和要求、以及雙方的責(zé)任和義務(wù)等。使得測評(píng)雙方對測評(píng)過程中的基本問題達(dá)成共識(shí)，后續(xù)的工作以此為基礎(chǔ)，避免以后的工做出現(xiàn)大的分歧。 2. 簽署保密協(xié)議測評(píng)雙方應(yīng)簽署完善的、合乎法律規(guī)范的保密協(xié)議，以約束測評(píng)雙方現(xiàn)在及將來的行為。保密協(xié)議規(guī)定了測評(píng)雙方保密方面的權(quán)利與義務(wù)。測評(píng)工作的成果屬被測評(píng)單位所有，測評(píng)方對其的引用與公開應(yīng)得到被測評(píng)單位的授權(quán)，否則被測評(píng)單位將按照保密協(xié)議的要求追究測評(píng)單位的法律責(zé)任。3. 現(xiàn)場測評(píng)工作風(fēng)險(xiǎn)的規(guī)避進(jìn)行驗(yàn)證測試時(shí)，測評(píng)方需要與被測評(píng)單位充分的協(xié)調(diào)，安排好測試時(shí)間，盡量避開業(yè)務(wù)高峰期，在系統(tǒng)

34、資源處于空閑狀態(tài)時(shí)進(jìn)行，并需要被測評(píng)單位對整個(gè)測試過程進(jìn)行監(jiān)督；在進(jìn)行驗(yàn)證測試前，需要對關(guān)鍵數(shù)據(jù)做好備份工作，并對可能出現(xiàn)的影響制定相應(yīng)的處理方案；上機(jī)驗(yàn)證測試原則上由被測評(píng)單位提供相應(yīng)的技術(shù)人員進(jìn)行操作，測評(píng)人員根據(jù)情況提出需要操作的內(nèi)容，并進(jìn)行查看和驗(yàn)證。避免由于測評(píng)人員對某些專用設(shè)備不熟悉造成誤操作。4. 規(guī)范化的實(shí)施過程為保證按計(jì)劃、高質(zhì)量地完成測評(píng)工作，應(yīng)當(dāng)明確測評(píng)記錄和測評(píng)報(bào)告要求，明確測評(píng)過程中每一階段需要產(chǎn)生的相關(guān)文檔，使測評(píng)有章可循。在委托協(xié)議和測評(píng)方案中，需要明確雙方的人員職責(zé)、測評(píng)對象、時(shí)間計(jì)劃、測評(píng)內(nèi)容要求等。5. 溝通與交流為避免測評(píng)工作中可能出現(xiàn)的爭議，在測評(píng)開始前

35、與測評(píng)過程中，雙方需要進(jìn)行積極有效的溝通和交流，及時(shí)解決測評(píng)中出現(xiàn)的問題，這對保證測評(píng)的過程質(zhì)量和結(jié)果質(zhì)量有重要的作用。6. 現(xiàn)場行為規(guī)范不偽造測評(píng)記錄；不泄露xxx系統(tǒng)信息；不暗示被測評(píng)單位，如果提供某種利益就可以修改測評(píng)結(jié)果；測評(píng)人員進(jìn)入現(xiàn)場佩戴工作牌；在不違反測評(píng)工作原則的基礎(chǔ)上，遵從被測評(píng)單位的機(jī)房管理制度；使用測評(píng)專用的筆記本電腦，并由有資格的測評(píng)人員使用；不得將測評(píng)結(jié)果復(fù)制給非測評(píng)人員；不擅自評(píng)價(jià)測評(píng)結(jié)果。4.4.3.項(xiàng)目溝通管理在本項(xiàng)目中，將采用一些正規(guī)的項(xiàng)目溝通程序，保證參與項(xiàng)目的各方能夠保持對項(xiàng)目的了解和支持。這些管理和溝通措施將對項(xiàng)目過程的質(zhì)量和結(jié)果的質(zhì)量具有重要的作用。4

36、.4.4.日常溝通、記錄和備忘錄鼓勵(lì)項(xiàng)目參加各方在項(xiàng)目進(jìn)行過程中隨時(shí)對相關(guān)問題進(jìn)行溝通。所有重要的、有主題的日常溝通活動(dòng)都應(yīng)留下記錄或形成備忘錄。日常溝通的主要渠道包括：n 非正式會(huì)議n 電話n 電子郵件n 傳真等4.4.5.會(huì)議會(huì)議是項(xiàng)目管理活動(dòng)的重要形式，是項(xiàng)目各方進(jìn)行正式溝通的渠道。 項(xiàng)目啟動(dòng)會(huì)議項(xiàng)目啟動(dòng)會(huì)議是項(xiàng)目正式啟動(dòng)和開始的標(biāo)志，項(xiàng)目啟動(dòng)會(huì)議之后，項(xiàng)目正式開始，項(xiàng)目組從此進(jìn)入了項(xiàng)目狀態(tài)。此會(huì)議的主要工作是宣告項(xiàng)目正式開始，各方的領(lǐng)導(dǎo)闡明對項(xiàng)目的期望和支持，各方就項(xiàng)目組的組織架構(gòu)和工作計(jì)劃進(jìn)行溝通和確認(rèn)，此會(huì)議對項(xiàng)目的后期發(fā)展方向非常重要。項(xiàng)目正式開始時(shí)舉行，時(shí)間一到兩小時(shí)。 周例會(huì)

37、為確保項(xiàng)目正常進(jìn)行，項(xiàng)目管理小組、項(xiàng)目協(xié)調(diào)小組和各實(shí)施組組長每周舉行一次項(xiàng)目例會(huì)，匯報(bào)項(xiàng)目進(jìn)展?fàn)顩r、出現(xiàn)的問題和安排下周的工作計(jì)劃。參加人員主要是項(xiàng)目管理小組成員、項(xiàng)目協(xié)調(diào)小組成員及各實(shí)施組組長，可以根據(jù)情況邀請其他項(xiàng)目成員參加。會(huì)議可以是正式的面對面會(huì)議，也可以是電話會(huì)議、網(wǎng)絡(luò)會(huì)議等形式。此例會(huì)每周召開一次，主要內(nèi)容：n 項(xiàng)目完成情況匯報(bào)，每日主要工作成果匯報(bào)n 存在的問題及解決辦法分析n 本周的工作計(jì)劃n 對可能的配置管理和變更控制簽署相應(yīng)的文件 項(xiàng)目階段工作會(huì)議在每個(gè)項(xiàng)目階段結(jié)束時(shí)，都會(huì)召開一個(gè)正式的項(xiàng)目階段工作會(huì)議。該會(huì)議對前一個(gè)階段進(jìn)行總結(jié)，對下一個(gè)階段進(jìn)行計(jì)劃確認(rèn)和溝通。加人員主要

38、是各方的項(xiàng)目經(jīng)理，可以根據(jù)情況邀請其他項(xiàng)目成員參加。會(huì)議是正式的面對面會(huì)議。主要內(nèi)容：n 項(xiàng)目完成情況匯報(bào)n 階段工作成果評(píng)審n 存在的問題及解決辦法分析n 對可能的配置管理和變更控制簽署相應(yīng)的文件n 下階段的工作計(jì)劃確認(rèn)和溝通 項(xiàng)目評(píng)審會(huì)議在項(xiàng)目的具體工作全部結(jié)束后，項(xiàng)目管理組完成內(nèi)部評(píng)審，達(dá)成一致，會(huì)安排項(xiàng)目的相關(guān)各方參加對整個(gè)項(xiàng)目的成果和過程的正式評(píng)審工作。參加人員主要是各方的項(xiàng)目經(jīng)理、相關(guān)領(lǐng)導(dǎo)、項(xiàng)目組主要成員，會(huì)議是正式的面對面會(huì)議。主要內(nèi)容：n 最終成果和輸出報(bào)告講解和匯報(bào)n 項(xiàng)目工作成果評(píng)審意見附件2：保密協(xié)議甲方： 乙方：根據(jù)中華人民共和國保密法和國家、地方有關(guān)規(guī)定，雙方當(dāng)事人就乙方在為甲方服務(wù)期間及服務(wù)結(jié)束以后保守甲方商業(yè)秘密、技術(shù)秘密和其它保密事項(xiàng)達(dá)成如下協(xié)議，供雙方共同遵守：(一)保密內(nèi)容和范圍1、雙方確認(rèn)，乙方在為甲方提供服務(wù)期間，主要是利用甲方的物質(zhì)技術(shù)條件、業(yè)務(wù)信息等產(chǎn)生的發(fā)明創(chuàng)造、作品、計(jì)算機(jī)軟件、技術(shù)秘密或其他商業(yè)秘密信息，有關(guān)的知識(shí)產(chǎn)權(quán)均屬于甲方享有。乙方主張由其獨(dú)自享有或共同享有知識(shí)產(chǎn)權(quán)的，應(yīng)當(dāng)及時(shí)向甲方申明。乙方應(yīng)當(dāng)依甲方的要求，提供一切必要的信息和采取一切必要的行動(dòng)，包括申