等级保护测评服务合同.docx

《等级保护测评服务合同.docx》由会员分享，可在线阅读，更多相关《等级保护测评服务合同.docx（27页珍藏版）》请在三一文库上搜索。

1、技术服务合同合同编号（甲方）：合同编号（乙方）：项目名称：委托方（甲方）：受托方（乙方）：签订时间：签订地点：有效期限： xxx 年 xxx 月至 xxx 年 xxx 月目录1 .技术服务项目概要 -0 -2 .技术服务具体要求 -0 -3 .甲方提供的工作条件及协作事项 -0 -4 .组织与管理-1 -5 .技术服务报酬及支付方式 -2 -6 .技术服务工作成果的验收 -3 -7 .知识产权-3 -8 .保密义务-3 -9 .违约责任 -4 -10 .合同变更和解除 -5 -11 .争议解决-5 -12 .名词和技术术语的定义和解释 -6 -13 .本合同的组成部分 -6 -14 .其他-6

2、 -附件1:技术协议书 -8 -附件2:保密协议 -22 -0 -技术服务合同委托方（甲方）：受托方（乙方）：鉴于本合同为甲方委托乙方就 xxx系统等保测评项目进行的专 项技术服务，并支付相应的技术服务报酬。为明确各自的权利和义务， 双方经过平等协商，根据中华人民共和国合同法等有关法律法规 的规定，订立本合同。1 .技术服务项目概要1.1 技术服务的目标：完成xxx系统等保测评服务。1.2 技术服务的内容：对xxx系统进行等级保护测评，出具xxx 系统等级保护测评报告；详见附件1:技术协议书。1.3 技术服务的方式：甲方所在地现场数据采集、乙方所在地报告 编制 。2 .技术服务具体要求2.1

3、技术服务地点：xxx。2.2 技术服务期限： 合同签订日起3个月。2.3 技术服务进度：第一阶段：商务沟通、合同签订及计划编写；第二阶段：资产调研、方案编写与评审；第三阶段：现场数据采集与 整理；第四阶段：分析与报告编制；第五阶段：项目验收 。2.4 技术服务质量要求：按招标技术规范书要求完成等级测评服 务，并提交符合要求的成果交付物 。3 .甲方提供的工作条件及协作事项3.1 提供的工作条件：（1）为测评小组准备一间容纳 45人的办公室 。(2)提供合适的会议室及办公环境供交流使用(3)提供一部打印机，打印项目过程文档3.2类别对应义档网络拓扑各系统网络拓扑图业务流程图各系统的业务流程图公司

4、规范公司卜发的各类安全管理制度和规范机房管理规范机房的安全管理制度维护手册/制度日常运维的手册和制度部门、人员岗位职责各部门和人员的岗位职责业务事故和网络事故案例发生过的业务和网络安全事故记录和处理结果口令管理办法各类口令的制定和管理方法业务开发设计文档各业务开发设计文档(提供目录)网络设备配置文档各网络设备的配置文件(交换机、防火墙、路由器)系统日志网络设备和主机的日志系统安全配置要求部分业务和系统的安全其他针对不同的网络业务，我方可以查询的其他文档3.3 其他：根据项目组的建议，做好相关数据的备份工作；并安排 信息安全管理人员、系统维护人员等，配合测评小组的现场测评工3.4 甲方提供上述工

5、作条件和协作事项的时间及方式：合同履行期内、现场技术服务。4 .组织与管理4.1 在本合同有效期内，乙方应派出专业技术人员为甲方提供技术 服务。技术服务人员名单见附件技术服务人员表。4.2 本合同双方分别指定项目负责人如下：(1)甲方负责人：,电话：;(2)乙方负责人：,电话：。4.2.1 甲方项目负责人的主要职责为：(1)牵头组织本方技术服务工作；(2)负责组织协调合同的签订、履行；(3)负责跟踪或报告技术服务工作进展和成果；(4)负责与另一方的沟通协调、信息传递等工作，为技术服务工 作提供便利条件。4.2.2 乙方项目负责人的主要职责(1)负责编制整个测评工作计划和测评技术方案，沟通甲方确

6、认 后按计划开展现场服务。(2)由于乙方技术人员操作或其他行为造成甲方信息系统运行设 备、应用功能等软、硬件设备故障时，乙方应立即停止工作，并负责 对上述系统、设备进行恢复消缺。(3)乙方负责人按照相关信息系统安全防护系统规定与甲方签订 保密协议，并确保参与本次系统评估工作的工程技术人员严格遵守保 密协议相关条款。(4)乙方负责按照招标文件要求与甲方签订技术协议，并履行技 术协议中相关职责。(5)乙方按照技术协议要求开展保护等级测评，出具完整的测评 报告、整改建议及安全评估报告，确保系统通过能源局、国网公司等 监管机构及主管部门的检查、评估。4.3人员更换4.3.1 一方变更项目负责人的，应当

7、及时以书面形式通知另一方。4.3.2 乙方更换其项目负责人与其他技术服务人员，须征得甲方书 面同意。4.3.3 甲方认为乙方工作人员不能胜任项目工作或玩忽职守的，有 权要求乙方立即更换。上述被更换的人员无甲方另行批准不得重新参 加本项目技术服务工作。5.技术服务报酬及支付方式5.1 技术服务报酬总额为：人民币(大写)XX炕整(YXX炕)(含 税）。该报酬包含乙方履行本合同所需全部费用，包括但不限于员工 工资、加班费、咨询费、资料费、交通费、食宿费以及税费等。5.2 技术服务报酬由甲方 （一次或分期）支付乙方。具体支付 方式和时间如下：（1） -二（4） -6 .技术服务工作成果的验收6.1 乙

8、方完成技术服务工作的形式：提交xxx系统等级保护测评报告。6.2 技术服务工作成果的验收标准：完成并提交所有成果交付物；项目实施过程未造成安全事件发生 。6.3 技术服务工作成果的验收方法：召开项目评审会，甲乙双方就项目的成果和过程进行正式评审、内容包括：最终成果和输出报告 讲解和汇报；项目工作成果评审意见。6.4 验收的时间和地点：由甲乙双方协商确定。7 .知识产权7.1 在本合同有效期内，甲方利用乙方提交的技术服务工作成果所 完成的新的技术成果，归 双（甲、双）方所有。7.2 在本合同有效期内，乙方利用甲方提供的技术资料和工作条件 所完成的新的技术成果，归 双（乙、双）方所有。8 .保密义

9、务8.1 一方及其工作人员应对技术服务合同签订、履行过程中了解到 的涉及到另一方商业秘密的文件资料以及其他尚未公开的有关信息承 担保密责任，并采取相应的保密措施。双方应承担的保密义务包括但 不限于：8.1.1 未经一方书面同意，另一方不得将上述保密信息披露给任何第三人。8.1.2 不得将上述保密信息用于本合同以外的其他目的。8.1.3 在技术服务项目通过评审后或按合同要求， 及时将上述资料 和信息返还对方或按对方要求作适当处理。8.2 涉密人员范围甲方涉密人员范围：系统运行单位及参与测评人员。乙方涉密人员范围：等级测评项目组。8.3 上述保密义务的期限至保密信息正式向社会公开之日或一方书 面解

10、除另一方此合同项下保密义务之日止。9 .违约责任9.1 乙方不履行本合同义务或履行义务不符合约定的，甲方有权要 求乙方承担继续履行、赔偿损失或支付违约金等违约责任。9.1.1 乙方未按期完成技术服务工作的，每逾期1天，应向甲方支 付相当于技术服务报酬 L%的违约金，逾期超过30日的，甲方有权 单方解除合同。9.1.2 乙方未按合同约定履行合同义务，经甲方催告仍未纠正的， 甲方有权单方解除合同。由于整改纠正造成进度延期交付的视同逾期 交付。9.1.3 乙方提供的技术服务不符合本合同约定的验收标准，未通过 甲方验收的，乙方应退还甲方已支付的全部款项，并向甲方支付相当 于技术服务报酬10 %的违约金

11、9.1.4 乙方违反合同约定的保密义务，应承担一切法律责任并向甲 方支付相当于技术服务报酬 皿%的违约金。9.1.5 合同因乙方原因解除的，甲方有权停止支付并要求乙方退还 甲方已支付的全部款项，且乙方应向甲方支付相当于技术服务报酬_10 %的违约金。9.1.6乙方因违约需要向甲方支付违约金或赔偿损失的，甲方有权 从任何一期合同应付款项中予以扣除。9.2甲方不履行本合同义务或者履行义务不符合约定的，乙方有权 要求甲方承担继续履行、支付违约金等违约责任。9.2.1 甲方不提供工作条件或提供的工作条件不符合约定，影响工 作进度和质量，承担由此造成的项目延期、费用增加的责任。9.2.2 甲方逾期支付

12、技术服务报酬的，应就逾期部分向乙方支付按 照中国人民银行规定的同期贷款基准利率计算的逾期付款违约金。9.2.3 甲方无正当理由不接受工作成果的，已支付的报酬不得追回， 未支付的报酬应当支付，并向乙方支付相当于技术服务报酬10 %勺违 约金；甲方无正当理由逾期接受工作成果的，每逾期 1天，应向乙方 支付相当于技术服务报酬多的违约金，逾期超过 理 日的，乙方有 权单方解除合同。9.2.4 甲方违反合同约定的保密义务，应承担一切法律责任并向乙 方支付相当于技术服务报酬10 %的违约金。10 .合同变更和解除10.1 双方经协商一致可变更或解除合同，并以书面形式确定。10.2 有下列情形之一的，一方可

13、以向另一方提出变更或解除合同的 书面请求，另一方应当在10日内予以书面答复；逾期未予书面答复的， 视为同意：(1)因对方违约使合同不能继续履行或没有必要继续履行。匚10.3 法律规定的合同解除情形出现时，一方主张解除合同的，应当 书面通知对方。合同自通知到达对方时解除。10.4 本合同中约定可单方解除合同的，单方解除合同的条件成就 时，享有解除权的一方可单方解除合同，但应书面通知对方。合同自 通知到达对方时解除。11 .争议解决11.1 因合同及合同有关事项发生的争议，双方应本着诚实信用原 则，通过友好协商解决，经协商仍无法达成一致的，按以下第2种方式处理：（1）仲裁：提交（仲裁，按照申请仲裁

14、时该仲裁机构有效的仲裁规 则进行仲裁。仲裁裁决是终局的，对双方均有约束力。（2）诉讼：向 甲方 所在地人民法院提起诉讼。11.2 在争议解决期间，合同中未涉及争议部分的条款仍须履行。12 .名词和技术术语的定义和解释12.1 等级测评：指测评机构依据国家信息安全等级保护制度规 定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统安 全等级保护状况进行检测评估的活动。13 .本合同的组成部分与履行本合同有关的下列技术文件， 经双方约定，作为本合同的组 成部分。13.1 技术标准和规范： 技术协议书；13.2 其他：保密协议。14 .其他14.1 本合同经双方法定代表人（负责人）或其授权代表

15、签署并加盖 双方公章或合同专用章之日起生效。合同签订日期以双方中最后一方 签署并加盖公章或合同专用章的日期为准。14.2 本合同一式 皿份，甲方执建份，乙方执 工份，具有同等法 律效力。14.3 特别约定本特别约定是合同各方经协商后对合同其他条款的修改或补充，如有不一致，以特别约定为准。无。（以下无正文）签署页甲方：乙方：（盖章）（盖章）法定代表人（负责人）或法定代表人（负责人）或授权代表（签字）：授权代表（签字）：签订日期： 年 月日签订日期：年 月日地址：地址：邮编：邮编：联系人：联系人：电话：电话：传真：传真：Email:Email:开户银行：开户银行：税号：税号：1 ：技术协议书1 .

16、概述为了落实公安部、能源局和国家电网公司电力信息系统安全等级保护要求，进一步增强电力信息系统安全防护能力，确保电力信息系统安全稳定运行，依据信息系统安全等级保护基本要求 ( GB/T 22239-2008 )和电力行业信息系统等级保护定级工作指导意见 (电监信息200744 号)等标准规范，进行本次电力信息系统等级保护。1.1. 目的及范围落实信息系统安全等级保护要求，健全电力信息系统安全防护体系，统一信息安全防护标准和策略，按照电力信息系统不同安全等级，通过合理分配资源，规范电力信息系统安全建设与防护，对电力信息系统分等级实施全面保护，以提高 xxx 系统信息安全的整体防护水平。通过等级保护

17、测评工作，全面、完整地了解xxx 系统的现有安全状况，通过测评其与信息系统安全等级保护基本要求 ( GB/T 22239-2008 ) 、 电力信息系统安全等级保护要求 (试行) 对应级别的差距， 达到以检查促安全的目的， 实现重要信息系统的分等级保护与监管、信息安全事件分等级响应的要求。经甲乙双方协商，本项目的工作范围包括：1、对 xxx 系统等级保护测评，出具等级保护测评报告。1.2. 要求本次项目实施方案设计以及在具体的项目实施过程中，我方将严格遵守以下的标准和原则开展工作：客观性和公正性原则虽然测评工作不能完全摆脱个人主张或判断，但测评人员应当没有偏见，在- 8 -最小主观判断情形下，

18、按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。规范性原则安全测评过程有统一的流程， 测评过程中使用的方法及使用的文档，需要具有很好的规范性，便于测评工作的质量保证，并测评保证结果的一致性。标准性原则测评方案的设计与实施应依据国家及行业等级保护的相关标准进行。可控性原则安全测评所使用的工具、 方法和过程要在双方认可的范围之内， 安全测评的 进度要符合进度表的安排，保证双方对测评工作的可控性。整体性原则安全测评的范围和内容应当全面覆盖xxx 系统所涉及的各个层面，并考虑各个层面的相互关系。最小影响原则测评工作应尽可能小地影响网络和系统的正常运行， 不能对系统的业务产生

19、显著影响。 例如： 避免造成被测评系统的性能明显下降、 网络拥塞、 服务中断等。保密性原则对在测评过程中所接触到的被测评单位的所有敏感信息， 测评人员应遵循相关的保密承诺，不利用它们进行任何侵害被测评单位安全利益的行为。2 .项目内容依照 GB/T22239-2008 信息安全技术信息安全等级保护基本要求和电力行业信息系统安全等级保护基本要求 （征求意见稿） 对 xxx 系统进行等级保护测评，确定不同等级业务系统当前安全防护现状，以及与国家和行业等级保护要求间的差距；分析其所面临的威胁及其存在的脆弱性，提出有针对性的抵御威胁的防护策略和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水

20、平，最大限度地防止由于电力信息系统安全事件引发电力安全事故，全面提高电力信息系统安全防护水平提供科学依据。等级测评将覆盖物理环境、网络安全、主机安全、应用安全、数据安全及信息安全管理等方面的内容，内容包括但不限于以下内容：1. 总体要求测评：包括总体技术要求、总体管理要求；2. 安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和 数据安全等五个方面的安全测评；3. 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建 设管理和系统运维管理等五个方面的安全控制测评；4. 最终版报告需加盖电力行业等级保护测评中心的印章。3.等级保护测评方案3.1. 主要依据? GB/T 18

21、336-2001信息技术安全性评估准则? GB/T 19715-2005信息技术安全管理指南? GB/T 19716-2005信息安全管理实用规则? GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求? GB 50174-2008电子信息系统机房设计规范? GB/T 22239-2009信息安全技术信息系统安全等级保护基本要求? 公通字 2007 43 号信息安全等级保护管理办法2007 44 号电力行业信息系统安全等级保护定级工作指导意3.2.技术思路本项目主要技术思路是依据上述标准，对 xxx 系统进行等级测评，依据测评以及核查的结果综合分析给出等级测评的结果和改进建议

22、具体思路如下：（ 1） 、使用问卷调查表，对xxx 系统调研，掌握xxx 系统的主要功能和业务流程。调阅定级报告，详细了解测评范围内的 xxx 系统及其包含的信息资产，为下一步测评指标的选取做好准备。（ 2） 、在用户许可的情况下，对xxx 系统的关键设备和关键系统进行手工配置检查，对网络拓扑结构进行合理性分析，对应用系统进行安全性分析，发现 和分析系统安全技术方面与国家及行业要求之间的差距。（ 3） 、采用安全核查表的形式从管理层面和技术规范层面，对xxx 系统进行现场的安全管理核查，了解包括人的因素在内的系统运行状况。通过对核查结 果的分析，发现和分析管理层面与国家及行业要求之间的差距。

23、 4） 、在安全技术测试和安全管理核查的基础上，根据xxx 系统的特点，发现和分析安全控制间、层面间以及区域间的相互关联关系，以及安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及xxx 系统整体结构安全性、不同信息系统之间整体安全性等。3.3. 工作流程xxx 系统等级测评工作可以分为四个项目活动阶段具体实施，分别是：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。主要工作流程如下图所示：- 11 -沟通与洽谈方案编制活动动测评准备 活工具和表单准备测评对象确定测评指标确定现场测评活动分析与报告编制活 动修 订综合测评结论形成测评报告编制图等级测评基本工作

24、流程1）测评准备阶段测评准备阶段主要完成启动测评项目，组建测评项目组；通过收集和分析被测系统的相关资料信息，掌握被测系统的大体情况；通过调阅定级报告，掌握各系统所确定的安全重要程度；并通过编制测评方案以及准备测评工具和文档等任务，为顺利实施现场测评工作打下良好的基础。测评准备阶段实施的主要活动包括: 项目启动、 信息收集和分析、 编制测评方案及工具和文档准备。2) 方案编制阶段本阶段是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是开发与被测信息系统相适应的测评内容、测评实施手册等，形成测评方案。3) 现场测评阶段本阶段是开展等级测评工作的核心活动。本活动的

25、主要任务是按照测评方案的总体要求，严格执行测评实施手册，分步实施所有测评项目，包括单项测评和系统整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。现场测评阶段通过与被测单位进行沟通和协调，为现场测评的顺利开展打下良好基础，然后依据测评方案实施现场测评工作，将测评方案和测评工具等具体落实到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。4) 报告编制阶段本阶段是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和信息系统安全等级保护测评过程指南的有关要求，通过单项测评结果判定和

26、系统整体测评分析等方法，分析整个系统的安全保护现状与相应等级的保护要求之间的差距，综合评价被测信息系统保护状况，并形成测评报告文本。测评人员在初步判定单项测评结果后，还需进行系统整体测评，经过系统整体测评后，有的单项测评结果可能会有所变化，需进一步修订单项测评结果，而后形成等级测评结论。最终组织专家对测评结论进行评审。3.4. 测评方法等级测评的主要方式有：访谈、检查和测试。? 访谈访谈是指测评人员通过与xxx 系统有关人员（个人/ 群体）进行交流、讨论等活动，获取相关证据表明 xxx 系统安全保护措施是否落实的一种方法。在访谈的范围上，应基本覆盖所有的安全相关人员类型，在数量上可以抽样。?

27、检查检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明国 xxx 系统安全等级保护措施是否得以有效实施的一种方法。在检查范围上，应基本覆盖所有的对象种类（设备、文档、机制等） ，数量上可以抽样。? 测试测试是指测评人员通过对测评对象按照预定的方法/ 工具使其产生特定的响应等活动，查看、分析响应输出结果，获取证据以证明 xxx安全等级保护措施是否得以有效实施的一种方法。在测试范围上，应基本覆盖不同类型的机制，在数量上可以抽样。3.5. 测评原则对于各种类型测评对象数量的选择采取抽样的方式，其数量应能够满足各级系统整体测评分析的需要。本项中涉及的设备、设施、人员和文档的抽样结

28、果需在系统完整调查之后最终确定，并与用户单位沟通确认。三级及以上系统重点抽查“主要”的设备、设施、人员和文档，其中必查的测评对象主要包 括：主机房和部分辅机房（包括其环境、设备和设施等） ，必查的辅机房中放置了服务于xxx 系统的局部（包括整体）或对xxx 系统的局部（包括整体）安全性起重要作用的设备、设施；重要介质的存放环境，存储被测系统重要数据的介质的存放环境。整个系统的网络拓扑结构；安全设备，包括防火墙、IDS和防病毒网关等；边界网络设备（可能会包含安全设备） ，包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等。主要网络互联设备， 对整个 xxx 系统或其局部的安全性起作用的

29、网络互联设备，如核心交换机、汇聚层交换机等；服务器中的主要服务器（包括其操作系统和数据库） ，指承载被测系统主要业务或数据的服务器；终端中的主要终端， 包括管理终端和主要业务应用系统的终端， 抽查其中的一部分；应用系统中的主要应用系统， 指能够完成被测系统不同业务使命的业务应用系统；硬件冗余设备（重要网络、服务器和通信线路） ；业务备份系统；安全主管人员、 各方面的负责人员、 具体负责安全管理的当事人、 业务负责人、所有管理制度和记录；4.项目质量管理与控制4.1. 项目质量承诺为了保证本次项目的品质和质量，我方承诺：根据标准性、规范性、可控性、整体性、最小影响性及保密性原则，做到守时、保质；

30、指派工作经验丰富、 技术实力雄厚的安全顾问结合技术领先、 结论可靠的测评工具为xxx 系统作全面的等级保护符合性测评。承诺咨询过程按照国际标准进行，并保证对客户的资料严格保密；确保选派高级专家参与整个项目保证项目质量，并在收到中标通知后，立即召集参与项目的专家准备项目实施；在指定的地点进行测评工作和等级保护符合性测评报告的编写， 在测评 期间和测评结束后，不带走测评中的重要资料和结果。4.2. 项目管理方法在项目的实施过程中，根据项目的具体要求，整个项目的管理参考美国项目管理协会PMI提出的项目管理方法学，以及一些安全专业领域的专家、顾问对项 目的实施进行规范管理实施。同时通过规范化的项目管理

31、保证项目进程中的过程的质量。4.3. 项目变更管理不受控制的项目变更，包括目标变更、范围变更、人员变更、环境变更、文档修改等等是对项目质量的重大威胁。但是，期望实施过程中不出现变更也是不现实的。客观上，项目可能需要随时修改自己的计划、调整资源分配等以适应项目的最新情况。变更控制的关键在于使得变更的出现和接受被置于项目双方的严格管理中。本项目中由专门的质量保证工程师负责全程监管项目中随时可能出现的变更情况，保证不同层次的变更能够得到相应的、适当的处理，所有重要的修改都经过项目双方的认真讨论和确认。在确认接受变更的情况下，项目双方可能需要重新审定工期、资源、目标、甚至商务等相关条文，并且通过配置

32、管理保证所有人员和基线相关条目都得到了更新。对于项目变更管理流程如下图：- 16 -4.4. 风险与控制4.4.1. 可能存在的风险1 .验证测试对运行系统可能会造成影响在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试内容 需要上机查看一些信息，这就可能对系统的运行造成一定的影响，甚至存在误操 作的可能。2 .敏感信息泄漏泄漏被检测单位xxx 系统状态信息，如网络拓扑、 IP 地址、业务流程、安 全机制、安全隐患和有关文档信息。3 . 对测评结果的争议测评方和被测评单位对测评结果可能存在争议。4.4.2. 风险的规避1. 签署委托测评协议在测评工作正式开始之前，测评方和被测评单位

33、需要以委托协议的方式明确测评工作的目标、范围、人员组成、计划安排、执行步骤和要求、以及双方的责任和义务等。使得测评双方对测评过程中的基本问题达成共识，后续的工作以此为基础，避免以后的工做出现大的分歧。2. 签署保密协议测评双方应签署完善的、合乎法律规范的保密协议，以约束测评双方现在及将来的行为。保密协议规定了测评双方保密方面的权利与义务。测评工作的成果属被测评单位所有，测评方对其的引用与公开应得到被测评单位的授权，否则被测评单位将按照保密协议的要求追究测评单位的法律责任。3. 现场测评工作风险的规避进行验证测试时，测评方需要与被测评单位充分的协调，安排好测试时间，尽量避开业务高峰期，在系统资源

34、处于空闲状态时进行，并需要被测评单位对整个测试过程进行监督；在进行验证测试前，需要对关键数据做好备份工作，并对可能出现的影响制定相应的处理方案；上机验证测试原则上由被测评单位提供相应的技术人员进行操作，测评人员根据情况提出需要操作的内容，并进行查看和验证。避免由于测评人员对某些专用设备不熟悉造成误操作。4. 规范化的实施过程为保证按计划、 高质量地完成测评工作， 应当明确测评记录和测评报告要求，明确测评过程中每一阶段需要产生的相关文档，使测评有章可循。在委托协议和测评方案中， 需要明确双方的人员职责、 测评对象、 时间计划、 测评内容要求等。5. 沟通与交流为避免测评工作中可能出现的争议，在测

35、评开始前与测评过程中，双方需要进行积极有效的沟通和交流，及时解决测评中出现的问题，这对保证测评的过程质量和结果质量有重要的作用。6. 现场行为规范不伪造测评记录；不泄露xxx 系统信息；不暗示被测评单位，如果提供某种利益就可以修改测评结果；测评人员进入现场佩戴工作牌；在不违反测评工作原则的基础上，遵从被测评单位的机房管理制度；使用测评专用的笔记本电脑，并由有资格的测评人员使用；不得将测评结果复制给非测评人员；不擅自评价测评结果。4.4.3. 项目沟通管理在本项目中，将采用一些正规的项目沟通程序，保证参与项目的各方能够保持对项目的了解和支持。这些管理和沟通措施将对项目过程的质量和结果的质量具有重

36、要的作用。4.4.4. 日常沟通、记录和备忘录鼓励项目参加各方在项目进行过程中随时对相关问题进行沟通。 所有重要的、有主题的日常沟通活动都应留下记录或形成备忘录。日常沟通的主要渠道包括：非正式会议电话电子邮件传真等4.4.5. 会议会议是项目管理活动的重要形式，是项目各方进行正式沟通的渠道。? 项目启动会议项目启动会议是项目正式启动和开始的标志，项目启动会议之后，项目正式开始，项目组从此进入了项目状态。此会议的主要工作是宣告项目正式开始，各方的领导阐明对项目的期望和支持，各方就项目组的组织架构和工作计划进行沟通和确认，此会议对项目的后期发展方向非常重要。项目正式开始时举行，时间一到两小时。?

37、周例会为确保项目正常进行，项目管理小组、项目协调小组和各实施组组长每周举行一次项目例会，汇报项目进展状况、出现的问题和安排下周的工作计划。参加人员主要是项目管理小组成员、项目协调小组成员及各实施组组长，可以根据情况邀请其他项目成员参加。会议可以是正式的面对面会议，也可以是电话会议、网络会议等形式。此例会每周召开一次，主要内容：项目完成情况汇报，每日主要工作成果汇报存在的问题及解决办法分析本周的工作计划对可能的配置管理和变更控制签署相应的文件? 项目阶段工作会议在每个项目阶段结束时，都会召开一个正式的项目阶段工作会议。该会议对前一个阶段进行总结，对下一个阶段进行计划确认和沟通。加人员主要是各方的

38、项目经理，可以根据情况邀请其他项目成员参加。会议是正式的面对面会议。主要内容：项目完成情况汇报 阶段工作成果评审存在的问题及解决办法分析对可能的配置管理和变更控制签署相应的文件下阶段的工作计划确认和沟通? 项目评审会议在项目的具体工作全部结束后，项目管理组完成内部评审，达成一致，会安排项目的相关各方参加对整个项目的成果和过程的正式评审工作。参加人员主要是各方的项目经理、相关领导、项目组主要成员，会议是正式的面对面会议。主要内容：最终成果和输出报告讲解和汇报项目工作成果评审意见- 24 -附件 2 ：保密协议甲方：乙方：根据中华人民共和国保密法和国家、地方有关规定，双方当事人就乙方在为甲方服务期

39、间及服务结束以后保守甲方商业秘密、技术秘密和其它保密事项达成如下协议，供双方共同遵守：（一）保密内容和范围1、双方确认，乙方在为甲方提供服务期间，主要是利用甲方的物质技术条件、业务信息等产生的发明创造、作品、计算机软件、技术秘密或其他商业秘密信息，有关的知识产权均属于甲方享有。乙方主张由其独自享有或共同享有知识产权的，应当及时向甲方申明。乙方应当依甲方的要求，提供一切必要的信息和采取一切必要的行动，包括申请、注册、登记等，协助取得和行使有关的知识产权。2、乙方在为甲方提供服务期间，必须遵守甲方规定的任何成文或不成文的保密规章、制度，履行相应的保密职责。甲方的保密规章、制度没有规定或规定不明确之

40、处，乙方也应本着谨慎、诚实的态度，采取任何必要、合理的措施，维护其于服务期间知悉或持有的任何属于甲方或虽属于第三方但甲方承诺有保密义务的技术秘密或其他商业秘密信息，以保持其机密性。3、乙方承诺，未经甲方同意，不得以泄露、告知、公布、出版、发布、 传授、 转让或者其他任何方式使任何第三方 （ 包括按照保密制度的规定不得知悉该项秘密的乙方其他职员 ）知悉属于甲方或者虽属于他人但甲方承诺有保密义务的技术秘密或其他商业秘密信息，也不得在履行服务之外使用这些秘密信息。未经甲方授权，乙方及其相关人员不得使用甲方保密内容的技术，也不得出售或赠与这些保密内容给任何其它第三方从事生产或经营行为。凡以直接、间接、

41、口头或书面等形式提供涉及保密内容的行为均属泄密。4、双方同意，乙方服务期满之后仍对其在为甲方服务期间接触、知悉的属于甲方或者虽属于第三方但甲方承诺有保密义务的技术秘密和其他商业秘密信息，承担如同服务期间一样的保密义务和不擅自使用有关秘密信息的义务。5、乙方承诺，在为甲方履行服务时，不得擅自使用或泄漏任何属于他人的技术秘密或者其他商业秘密信息，也不得擅自实施可能侵犯他人知识产权的行为。4.5. 乙方因为甲方服务上的需要所持有或保管的一切记录着甲方秘密信息的文件、资料、图表、笔记、报告、信件、传真、及其它任何形式的载体， 均归甲方所有， 而无论这些秘密信息有无商业上的价值，乙方应当于服务期结束时，

42、或者于甲方提出请求时，返还全部属于甲方的财物，包括记载着甲方秘密信息的一切载体。7、甲方及其相关人员有权制止一切泄露甲方保密信息的行为。8、本协议提及的商业秘密，包括但不限于甲方或第三方的以下信息。技术信息：完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术数据，针对技术问题的技术诀窍，操作流程、技术指标、计算机软件、数据库、研究开发记录、技术报告、检测报告、图纸；经营信息：经营策略、管理诀窍、客户资料、货源情报、投标标底、营销计划、市场调查资料、定价政策、财务资料、经济合同、经济指标、货源情况相关的函电等信息。（二）协议期限乙方承诺，其在甲方服务结束后承担保密义务的期限为无限期

43、保密，直至甲方宣布解密或者秘密信息实际上已经公开；（三）保密费的约定乙方认可，甲方在支付乙方的费用中，已考虑了乙方需要承担的保密义务的费用，故而甲方无须在服务结束期满后另外支付保密费。（四）违约责任1、乙方违反此协议，甲方有权无条件解除合同。2、乙方部分违反此协议，造成甲方经济损失，乙方应视情节轻重进行赔偿。造成甲方重大经济损失，应赔偿甲方全部损失。3、若乙方违反协议导致甲方遭受第三方指控时，乙方应当承担甲方为应诉而支付的一切费用和甲方因此承担赔偿责任。（五）纠纷解决途径因本协议而引起的纠纷，双方应先进行友好协商，如果协商解决不成， 任何一方均有权提起诉讼, 选择甲方住所地人民法院作为第一审管辖法院。