甲方： 湖南省商务厅

统一社会信用代码：(略)(略)F

地址：长沙市芙蓉区五一大道98号

联系人：李玖久

电话：(略)

乙方：广东南方信息安全研究院

统一社会信用代码：(略)(略)8R

地址：广州市南沙区庆慧中路1号、3号、创智三街1号A2栋902室

联系人：宋国琴

电话：(略)

为了保护甲、乙双方合法权益，根据《中华人民共和国民法典》及其他有关法律、法规、规章，双方签订本合同。

一、项目信息

（一）项目名称：2025年湖南省商务厅政务信息系统网络安全等级保护测评及商用密码应用安全性评估服务 （以下称“本项目”）

（二）采购代理编号：HNHX-(略)

（三）采购方式：竞争性磋商

二、服务的范围、内容及要求

根据《中华人民共和国网络安全法》《信息安全等级保护管理办法》《互联网政务应用安全管理规定》《中华人民共和国密码法》《商用密码管理条例》《商用密码应用安全性评估管理办法》等有关法律法规，按照信息系统网络安全等级保护测评及商用密码应用安全性评估相关国家标准、行业标准要求和规范，乙方组织专业团队对甲方已部署的有关信息系统进行网络安全等级保护测评及商用密码应用安全性评估。

（一）测评对象

对11个网络安全等级保护第三级（简称“等保三级”）的政务信息系统进行网络安全等级保护测评（简称“等保测评”）及其中6个政务信息系统进行商用密码应用安全性评估（简称“密评”），并在10月底前出具相应的测评报告。

（二）网络安全等级保护测评服务标准、规范（包括但不限于）

1. GB/T (略) 《信息安全技术 网络安全等级保护基本要求》；

2. GB/T (略) 《信息安全技术 网络安全等级保护测评要求》；

3. GB/T (略) 《信息安全技术 信息安全风险评估方法》；

4. GB (略) 《计算机信息系统 安全保护等级划分准则》；

5. GB/T (略) 《信息安全技术 网络安全等级保护测评过程指南》；

6. GB/T (略) 《信息安全技术 网络安全等级保护实施指南》。

（三）网络安全等级保护测评服务要求

乙方需对测评范围内的系统进行全面细致测评，完成测评后进行风险分析和评价，针对测评中存在的风险项出具整改意见和建议，协助完成整改加固工作。整改完成后，乙方需对系统进行复测，直到测评结果达到相关标准。复测完成后，乙方对各被测评系统分别作出测评结论，出具网络等级保护测评报告，并完成公安部门线上、线下备案流程及报告提交工作。测评内容需包含但不限于：

1.安全测评通用要求

按照等级保护2.0的要求，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等方面进行等级测评。

（1）安全物理环境：包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、湿温度控制、电力供应、电磁防护等方面的安全保护能力。

（2）安全通信网络：包括网络架构、通信传输、可信验证等方面安全保护能力。

（3）安全区域边界：包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等方面的安全保护能力。

（4）安全计算环境：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的安全保护能力。

（5）安全管理中心：包括系统管理、审计管理、安全管理、集中管控等方面的安全保护能力。

（6）安全管理制度：包括安全策略、管理制度、制定和发布、评审和修订等方面的安全保护能力。

（7）安全管理机构：包括岗位设置、人员配备、授权和审批、沟通和合作、 审核和检查等方面的安全保护能力。

（8）安全管理人员：包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等方面的安全保护能力。

（9）安全建设管理：包括定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、乙方选择等方面的安全保护能力。

（10）安全运维管理：包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等方面的安全保护能力。

2. 云计算安全测评扩展要求

按照等级保护2.0的要求，对在云平台上运行的系统进行云计算的安全测评扩展的内容进行测评，内容如下：

物理位置选择、结构安全、访问控制、入侵防范、身份鉴别、访问控制、安全审计、资源控制、数据完整性、数据备份恢复、剩余信息保护、个人信息保护、云服务商选择、供应链管理、环境管理管理等。

3. 漏洞扫描渗透性测试要求

乙方应确保使用国产化漏洞扫描工具对各系统进行漏洞扫描，采用人工验证的渗透性测试方式尽可能发现各系统存在的安全漏洞。渗透测试内容有：SQL 注入类、跨站脚本类、文件上传类、弱口令类、目录浏览类 未授权访问类、信息未加密类、认证会话管理类、文件包含类、不安全的 URL 访问类、溢出漏洞类、信息泄露类等。

（四）商用密码应用安全性评估服务标准、规范（包括但不限于）

1. GB/T(略) 《信息安全技术 信息系统密码应用基本要求》；

2. GB/T(略) 《信息安全技术 信息系统密码应用测评要求》；

3. GM/T0116-2021 《信息系统密码应用测评过程指南》；

4.《信息系统密码应用高风险判定指引》；

5.《商用密码应用安全性评估量化评估规则》。

（五）商用密码应用安全性评估服务要求

乙方需根据国家有关密码合规应用的要求以及被测系统的建设内容，提供密码应用方案协助编制咨询服务，对被评估系统进行商用密码应用安全性评估。按评估计划时间安排，组织评估业务需求分析、编写评估方案计划，并组织按计划实施评估，根据评估结果，编写并提交评估报告，保证评估内容与评估方案一致。完成评估后进行风险分析和评价，针对评估中存在的风险项出具整改意见和建议，协助完成整改加固工作。整改完成后，乙方需对系统进行复评估，直到评估结果达到相关标准。评估完成后，需出具符合国家密码管理局要求的《密码应用安全性评估报告》，在报告中明确做出总结性的评估结论。商用密码应用安全性评估需包含但不限于：

1. 密码技术应用测评要求，包括但不限于：

（1）物理和环境测评内容：身份鉴别、电子门禁记录数据的完整性、视频记录数据完整性、密码模块实现。

（2）网络和通信测评内容：身份鉴别、内部网络安全接入(如有的话)、访问控制信息完整性、通信数据完整性、通信数据保密性、远程管理通道安全、密码模块实现。

（3）设备和计算测评内容：身份鉴别、远程管理鉴别信息保密性、访问控制信息完整性、敏感标记完整性、重要程序或文件完整性、日志记录完整性、密码模块实现。

（4）应用和数据测评内容：身份鉴别、访问控制信息和敏感标记完整性、数据传输保密性、数据存储保密性、数据传输完整性、数据存储完整性、日志记录完整性、重要应用程序的加载和卸载、抗抵赖。

测评验证不同安全等级信息系统的商用密码应用是否达到具有相应安全等级的安全保护能力，是否满足相应安全等级的保护要求。

2. 密钥管理测评要求

检测信息系统密钥管理各环节，理清密钥流转的关系，对信息系统内的密钥(尤其是进出密码产品和密码模块的密钥)进行全生命周期的安全检查，包括密钥的生成、存储、分发、导入与导出、使用、备份与恢复、归档、销毁，确认所有密钥管理操作都是由符合GM/T 0005《随机性检测规范》和GM/T 0028《密码模块安全技术要求》规定的密码产品或密码模块实现，以及密钥管理和策略制定的全过程是否符合要求。

3. 安全管理测评要求

对制度、人员、实施和应急等四个方面安全管理的测评，并协助完善商用密码应用安全性管理制度，协助完善密码相关系统运维管理制度。

（六）项目服务要求

1. 乙方须组建不少于7人的测评团队，并指定1名项目经理，项目经理须同时具备网络安全等级测评师中级及以上资质和商用密码应用安全性评估从业人员考核合格证书，全程负责本次测评工作。等保测评人员不少于4人，且均具备网络安全等级测评师初级及以上资质；密评人员不少于3人，且均具备商用密码应用安全性评估从业人员考核合格证书，其中至少有1名评估人员的考核分数不低于80分。上述测评人员均须具有相应测评专业知识，熟悉测评工作，具备丰富的测评工作经验。

2. 乙方进场前需对被测对象进行调研、信息收集，并编制项目实施方案。技术人员进场后需按照信息系统网络安全等级保护测评和商用密码应用安全性评估的相关要求和标准对被测对象进行现场测评及评估，及时发现被测对象存在的风险。

3. 乙方对测评和评估结果进行汇总统计，针对测评和评估中发现的风险项出具问题清单及整改建议，并协助完成问题整改和安全加固工作。整改加固完成后，乙方需对系统进行复测和复评，直到测评和评估结果达到合格标准为止。

4. 测评完成后按本合同第二条第（三）款、第二条第（五）款的要求完成成果交付。

（七）安全性要求

甲方应在服务工作开展前做好各项数据、设备和系统的备份工作和应急响应工作。乙方不承担因甲方人为、非乙方原因因素导致的网络故障、数据丢失、系统异常的责任。在测试之前，乙方应及时与甲方技术人员充分沟通，乙方应熟悉甲方信息化建设基本情况，并对各被测系统的架构和运行状况有深入了解。在相关数据已经备份，不影响甲方正常业务开展并得到甲方技术人员认可的前提下开展服务工作。测评和评估服务工作应尽可能小地影响系统和网络的正常运行，不能对现网络运行和业务运转产生显著影响（影响包括：系统性能明显下降、网络拥塞、服务中断等）。

（八）保密及知识产权要求

1. 保密要求：乙方参与项目的所有人员应严格遵守采购方的保密要求，并签订甲乙双方保密协议。对于采购方提供的资料，不得以任何形式向第三方传播。项目进行过程中产生的任何数据归属于采购方。保密期限不受本项目期限的限制，在本项目履行完毕后，乙方仍应承担保密义务。

2. 知识产权要求：甲方对项目实施过程中所产生的所有成果（包括发明、发现及相关代码、技术资料、文档等）享有所有权（永久使用权、复制权和修改权等）。除本项目工作所需外，未经甲方书面同意，乙方不得擅自使用、复制采购方的商标、标志、数据信息、文档及其他资料。

（九）其他要求

1. 乙方从未受到国家网络安全等级保护工作协调小组办公室警告、处罚、整改通知。

2. 乙方在测评和评估过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位，未经被测评单位允许，不得擅自复制、保留。

3. 乙方自备办公设备：如电脑、软件、打印机、复印机等。

4. 本项目服务期限为1年，乙方需要在服务期限内为甲方提供技术咨询及支撑服务（包括但不限于：协助甲方完成新系统定级备案流程、协助甲方开展网络安全自查）。

5. 以下情形甲方确认知悉并充分理解：

（1）甲方保证乙方技术人员进场前已确认单位内部近期无针对信息系统的大版本迭代、云迁移、物理机房迁移等计划性动作。

（2）甲方对系统进行整改期间，如甲方资产发生较大变更或机房发生迁移，导致此前报告结论发生变化，需重新具报告，甲方应新增服务所增加的成本。

（十）成果交付

11份《网络安全等级保护测评报告》、6份《商用密码应用安全性评估方案》、6份《商用密码应用安全性评估报告》。

三、合同金额

合同金额（含税）：小写：￥(略).00元，大写：人民币陆拾万零捌佰元整。

四、履行合同的时间、地点及方式

1. 起始日期：自合同签订之日起至2026年10月13日。

2. 地点：按甲方指定地点提供现场服务。

3. 方式：按照甲方采购需求中的要求实施。

五、付款方式

1. 付款人：湖南省商务厅。

2. 付款方式：乙方提交合同要求的相关成果报告且项目测评服务完成，由甲方对乙方服务进行验收，验收合格且双方对本合同无任何争议，甲方收到乙方开具的合法等额发票后30个工作日内，向乙方支付合同总额的100%，共计人民币（大写）：陆拾万零捌佰元整。乙方开票时间延迟，甲方有权顺延付款且不承担延迟付款的违约责任，乙方仍应按本合同的约定履行相应义务。

3.乙方指定收款账户信息如下：

账户名：略

开户行：略

账号：略

4. 因财政审批及支付安排计划等原因导致甲方付款周期调整或延迟，甲方无需承担逾期付款的违约责任，乙方亦承诺放弃对该违约责任的主张，同时乙方不得因此暂停履行合同义务。

5. 审计机关对本项目作出的审计结果对项目结算具有约束力，如审计结果为审减，审减部分金额不予支付，并按审减金额比例支付审计费，由乙方承担。如审计结果与本合同金额一致的，则按照最终审计结果据实结算。

六、双方权利义务

（一）甲方权利义务

1. 甲方有权对乙方工作提出建议及意见，并对乙方的工作进行督导，同时经双方协商一致，甲方有权根据自身需求、项目进展的实际情况对乙方工作内容进行适当地合理调整，有权审核整体工作计划、总体方案并要求乙方修改直至甲方确认；

2. 甲方负责提供本项目所需的一切必要且合理的政府相关部门批准文件；

3. 甲方在乙方承担保密义务的前提下，允许乙方工作人员查阅与本项目相关的文件和资料；

4. 甲乙双方应指定联系人，对本项目实施过程中遇到的问题及时协作解决；

5. 甲方应向乙方准确提供甲方参与本项目的相关责任部门的职责分工和联系方式，便于乙方开展本项目项下工作及办理必要的工作手续；

6. 甲方应审核乙方各阶段服务成果，以书面形式提出意见，对于合同约定范围以外的工作在双方协商一致的情况下进行修改；

7. 甲方有权对乙方的服务情况进行监督。对于甲方的合理要求，乙方应当接受并执行；对于乙方认为不合理的意见，乙方应提出相应理由并与甲方友好协商解决。

（二）乙方权利义务

1. 乙方应组织有丰富经验和专业知识的人员成立工作团队，工作团队人数不少于7人，甲方有权要求乙方调整工作人员；乙方应保证指定联系人的联系方式畅通，甲方能与指定联系人随时取得联系。在本项目实施期间，乙方保证甲方提出的需求能够在1小时内得到回应；

2. 乙方应按照本合同约定完成服务工作；乙方应按照甲方要求的期限向甲方提供本项目工作安排及任务执行表，列明每项任务的执行时间，执行标准等，确保每项任务的执行有专人负责并按时执行，乙方的工作安排及任务执行表需经过甲方确认；

3. 本项目实施过程中，因乙方原因产生的一切侵权责任及任何纠纷均由乙方负责；

4. 乙方在本项目实施过程中，对获得的甲方任何资料、信息负有保密义务，否则乙方应当赔偿由乙方泄密给甲方带来的一切损失；

5. 乙方不得侵犯甲方及第三方知识产权，由侵权行为造成的一切损失由乙方承担；

6. 乙方不得以任何形式将本合同项下权利及义务向任何第三方转移。

七、合同的变更、补充和解除

1. 本合同生效后，除法律法规和其他规范性文件另有规定或本合同另有约定外，未经甲、乙双方书面协商一致，任何一方不得擅自变更、中止或解除本合同，否则应承担违约责任。

2. 任何一方需要变更、中止或解除本合同的，应提前先向对方发出书面通知，然后进行协商。

3. 一方出现下列情形之一，致使本合同的履行成为不必要或不可能的，守约方可选择解除本合同，但应当提前五日书面通知对方：

（1）不可抗力；

（2）与本项目直接相关的国家政策、上级指示等发生重大变更，双方同意解除合同的；

（3）一方严重违约，致使本合同目的无法实现的。

4. 因乙方自身原因无法如约完成其在本合同项下的义务或乙方将本合同项下权利与义务转移给任何第三方，或出现重大服务质量问题的，甲方均有权解除本合同并要求乙方对甲方损失承担赔偿责任。

5. 因甲方原因导致本合同不能按时履行，甲方应在知道或应当知道之日起一周内以书面形式告知乙方，并就合同是否继续履行、履行方式等与乙方协商。

6. 本合同解除或终止的，乙方应当在合同解除或终止之日起一个月内按照甲方要求办理完毕工作交接手续。

八、违约责任

1. 任何一方不履行本合同约定的义务或履行义务不符合本合同约定的，视为违约，违约方应立即停止违约行为，并承担继续履行、采取补救措施或赔偿损失等违约责任。

2. 任何一方在履行本合同过程中由于自身原因给对方和/或第三方造成损失的，应负责处理并承担赔偿责任。

3. 任何一方违反本合同约定的保密义务，给守约方造成损失的，应向守约方支付相当于本合同金额的百分之三十作为违约金，违约金不足以弥补守约方损失的，还应当承担相应的损失。

4. 任何一方因本项目筹办工作损害对方声誉并给对方造成损失的，应当按照本合同金额的百分之三十作为违约金；违约金不足以弥补对方损失的，还应当承担相应的损失。

5. 本合同所称“损失”包括直接经济损失、合同履行后可以获得的利益和诉讼费、仲裁费、合理的调查费、律师费、差旅费等有关法律费用。

九、不可抗力

1. “不可抗力”是指本合同双方不能控制、不可预见、无法避免的事件，该事件妨碍、影响或延误甲方或乙方根据合同履行其全部或部分义务。该事件包括但不限于政府行为、自然灾害、战争、疫情及防控或任何其他类似事件（包括新冠疫情的发展情况及其防控措施）。

2. 出现不可抗力事件后，遭受不可抗力影响的一方应及时通知对方，书面说明不可抗力和受阻碍的详细情况，并提供有关证明；在不可抗力事由消除后，双方应协商是否继续履行合同。不可抗力发生后，双方均应采取措施尽量避免和减少损失的扩大，任何一方没有采取有效措施导致损失扩大的，应对扩大的损失承担责任。

十、通知和送达

1. 双方一致同意，本协议项下任一方向对方发出的通知、信件、函件、要求、数据电文等，或就协议发生纠纷时送达相关文件和法律文书，应当发送至本协议首部载明的地址、联系人和通信终端。

2. 任一方变更名称、地址、联系人或通信终端的，应当在变更后立即书面通知对方，在收到书面变更信息之前，未变更方按本协议约定发出的通知和送达均视为有效通知、送达，电子送达与书面送达具有同等法律效力。

3. 通过电子邮箱及其他电子方式送达时，发出之日即视为有效送达。通过快递等方式送达时，对方签收之日视为有效送达；对方拒收或退回的，视为签收。

4. 本合同首部确认的地址、联系人和通信终端作为诉讼文书（包括一审、二审、执行、再审等程序）送达的有效方式。

十一、解决合同纠纷方式

首先通过双方协商解决，协商解决不成，双方均有权向甲方所在地有管辖权的人民法院提起诉讼。

十二、组成合同的文件

本协议书与下列文件一起构成合同文件，如下述文件之间有任何抵触、矛盾或歧义，应按以下顺序解释：

1. 在采购或合同履行过程中乙方作出的承诺以及双方协商达成的变更或补充协议；

2. 成交通知书；

3. 响应文件；

4. 采购合同格式条款及其附件；

5. 专用合同条款；

6. 通用合同条款（如果有）；

7. 标准、规范及有关技术文件，图纸，已标价工程量清单或预算书（如果有）；

8. 其他合同文件。

十三、附则

1. 本合同自甲、乙双方签字盖章之日起生效。

2. 本合同一式陆份，甲方执肆份，乙方执贰份，均具有同等法律效力。

3. 合同订立时间：2025年 10 月 14 日

4. 合同订立地点：湖南省长沙市芙蓉区

5. 本合同附件为本合同不可分割的组成部分，与本合同具有同等法律效力。