唯一小编 发布时间:2020-12-30
网站信息安全等保测评等级保护是我国信息安全保障的一项基本制度,是国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。《网络安全法》于2017年6月1日正式施行,这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。目前现在很多企业被上级主管部门要求开展等保工作。 一、网站等保测评费用如下; 等级保护测评一般是按照等级保护级别和测评的对象的个数,目前我们现在讨论的测评对象就是网站,因此网站等保费用,就是按照网站个数以及网站定级级别来收费。由于不同地区,对于网站等保收费不一样,具体地区的等级保护测评费用,可以咨询客户了解情况。而对于需要提供整改服务的企业,是需要另外收取等保整改费用的,整改费用需要按照整改内容来收费的,一般分为主机整改、数据库整改、中间件整改、云主机整改、应用系统整改等。对于整改费用不同网站也需费用都不一样,因为采用的服务器和网站后台软件等等往往是不一样的。 二、网站等保测评步骤如下: 等级保护一般分为5步走,分别是定级、备案、测评、整改、监督检查。其中第三、第四步,在实际情况中,顺序会有所调整。一般来说是先测评后整改,但是也有一些公司是先找网络安全服务商帮忙先进行网络安全风险评估,然后进行整改,再进行等保测评。 等级保护分为五个等级,分别为第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。系统的重要程度从1-5级逐级升高。随着等保级别提升,相关的网络安全技术和安全设备的要求也相应提高,因此测评的范围,测评的深度也提升,导致相关的工作量和要求的测评人员的技术要求也相应提高。因此等保费用也会有所不同。 三、网站等保测评注意事项 购买第三方网站系统时,进行验收或者购买前请让对方提供等保备案证明。特别是一些行业规定了该行业网站需要通过等保二级或者三级的公司或者事业单位需要重点关注这一部分,因为等保测评和等保整改费用需要考虑进去。 云等保是唯一网络自主研发的一套融合多种安全组件、云化接入、零成本学习、分钟级部署,适用部署与IDC、阿里云、腾讯云、华为云、AWS等多种计算环境的信息系统,满足企业二级、三级等保合规要求。如需了解可以咨询客服免费获取云等保、网站等保方案。
唯一小编 发布时间:2020-12-30
这几年来对云等保级保护的强调重点和要求,以及出台相关的政策来看,等级保护已不是仅仅属于网络运营者以及关键信息技术设施运营者们的事,而是上升到法律层面受相关律法的制约,其重要性不言而喻。云等保等级保护制度的实施和落地,不仅有助于中国数字化的进一步发展,同时也带来了网络空间安全的新时代。 云等保是唯一网络自主研发的一套融合多种安全组件、云化接入、零成本学习、分钟级部署,适用部署与IDC、阿里云、腾讯云、华为云、AWS等多种计算环境的信息系统,满足企业二级、三级等保合规要求。 云等保定级流程 定级是开展网络安全等级保护工作的 “基本出发点”,虚拟化技术使得传统的网络边界变得模糊,使得使用云计算技术的平台/系统在定级时如何合理进行边界拆分显得困难。 云计算等级保护对象的合理定级对云计算系统/平台责任方在落实等级保护制度时有着决定性的作用。网络安全等级保护2.0基本的定级流程如下图: 网络安全等级保护2.0在定级过程中网络安全运营者自主定级,然后组织安全专家和业务专家对定级结果的合理性进行评审,提供专家评审意见。 大致的专家评审流程如下: 由等级保护对象责任主体(网络安全运营者),阐述定级对象; 向评审专家汇报等级保护对象的定级情况,分别从定级依据、自主定级过程、初步确定等级概述、各信息系统的系统描述、风险着眼点、业务信息安全和系统服务安全等方面进行阐述; 专家听取等级保护对象拟定级情况汇报后,讨论和质询,最终对定级级别形成了意见评审表,现场打印由专家签字,专家评审工作完成。 在开展等级保护对象定级时,网络运营者应基于系统业务情况、服务对象和自身信息系统建设实际情况进行合理的定级。为保证定级的合理性,系统责任方首先需明确等级保护对象和安全保护级别。 云计算形态 在确定云计算定级对象时,首先需明确定级的等级保护对象的形态为云计算形态,否则不应该当做云计算系统/平台来定级。 根据GB/T 31167—2014《信息安全技术 云计算服务安全指南》对云计算的定义:“以按需自助获取、管理资源的方式,通过网络访问可扩展的、灵活的物理或虚拟共享资源池的模式。”因此,在判断是否为云计算形态时,可根据是否同时满足下列五大特征: 云计算特征 描 述 按需自助 无需人工干预,客户能根据需要获得所需计算资源,如自主确定资源占用时间和数量等。 泛在网络访问 无处不在的网络接入、从任何UF接入,云计算的泛在接入特征使客户可以在不同的环境下访问服务,增加了服务的可用性。 资源池化 集中化的设备,对资源进行集中池化后,这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。 快速弹性 动态的业务性能弹性,客户可以根据需要快速、灵活、方便地获取和释放计算资源,能够在任何时候获得所需资源量。 可度量的服务 云提供商提供控制和监控资源,指导资源配置优化、容量规划和访问控制等任务,同时可以监视、控制、报告资源的使用情况。 此外,需注意云计算的本质是服务,如果不能将计算资源规模化/大范围的进行共享,如果不能真正以服务的形式提供,就根本算不上云计算。 在针对云计算系统/平台作为定级对象时,需注意: 云服务商侧的云计算平台/系统作为定级对象时,首先需满足云计算形态,能够为云服务客户提供云计算服务; 云服务客户侧的等级保护对象作为定级对象时,需使用了云计算平台提供的服务。 注意:云计算涉及多类角色,在等级保护2.0中仅包括云服务商和云服务客户,其中云服务商指提供云计算服务的参与方,云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。 云服务客户,即云服务消费者(云租户),消费云计算平台提供的服务。 云计算架构及安全责任划分 根据定级指南对云计算系统/平台的定级规定,在确定云计算定级对象时,需根据不同服务模式将云计算平台/系统划分为不同的定级对象。因此,如何进行合理的划分,必须明确云服务客户与云服务商的安全责任边界,了解云平台架构,确定云服务商和云服务客户各自需保护的对象。 1) 云计算架构 云计算架构可分为服务类和管理类,其中服务类基于云平台提供的云服务分为基础设施资源层(IaaS服务)、数据和开发平台层(Pass服务)以及应用服务层(SaaS服务),管理类包括云服务运维控制和云服务运营管理。 在服务类方面,PaaS基于IaaS实现,SaaS的服务层次又在PaaS之上,三者分别面对不同的需求。从用户角度而言,这三层服务间的关系相互独立(提供的服务完全不同,且面对的用户也不尽相同)。但从技术角度而言,云服务这三层之间的关系并不是独立的,存在一定依赖关系,比如一个SaaS层的产品和服务不仅需要使用到SaaS层本身的技术,而且还依赖PaaS层所提供的开发和部署平台或者直接部署于IaaS层所提供的计算资源上,还有,PaaS层的产品和服务也很有可能构建于IaaS层服务之上。 云计算总体架构可描述为下图。 2) 云安全责任划分 不同的云计算服务模式(IaaS、PaaS、SaaS)下,云服务商和云服务客户安全责任存在一定差异,云服务商在不同的服务模式下承担的安全责任如下图: 在基础设施即服务(IaaS)模式下,云服务商基础设施包括支撑云服务的物理环境、云服务商自研的软硬件以及运维运营包括计算、存储、数据库以及虚拟机镜像等各项云服务的系统设施,同时云服务商还需负责底层基础设施和虚拟化技术,并与云服务客户共同分担网络访问控制策略的防护; 在平台即服务(PaaS)模式下,云服务商除防护底层基础设施安全外,还需对其提供的虚拟机、云应用开发平台及网络访问控制等进行安全防护,并对其提供的数据库、中间件进行基础的安全加固; 在软件即服务(SaaS)模式下,云服务商需对整个云计算环境提供安全防护责任。 云计算定级对象 在云计算环境下,基于云计算形态、云安全责任边界以及云计算的架构,云计算等级保护对象有: 1) 云计算平台 ,即云服务商提供的云基础设施及其上的服务层软件的组合; 考虑到云计算的本质是服务,不同的云平台为云服务客户提供不同的云服务,所以云服务商可根据不同的云计算服务模式将云计算平台划分为不同的定级对象。有云计算基础服务平台(IaaS平台)、 云计算数据和开发平台(PaaS平台)以及云计算应用服务平台(SaaS平台)。 2) 云服务客户业务应用系统 云服务客户侧的等级保护对象,利用云计算平台提供的云计算服务,根据其部署的云计算平台模式,确定定级对象边界。通常情况云服务客户业务应用系统包括云服务客户部署在云计算平台上的业务应用和云服务商为云服务客户通过网络提供的应用服务。 3)云计算技术构建的业务应用系统 存在一类系统为云计算形态,但无租户概念,对于此类系统应将业务应用和为此业务应用独立提供底层云计算服务、硬件资源的组合打包定级。 此外,对于大型的云平台(公有云)可将辅助服务系统(如CDN系统、运维、运营系统)进行单独的定级,该类系统可能为传统信息系统,也可能为云服务客户业务应用系统。 综上,在云计算环境中,对云计算系统/平台的定级大致可以分为下列几类: 表中A、D类系统,大致情形如下: 假设某云服务商L的云平台为云服务客户提供基础设施服务(或数据和开发服务),此时可确定其定级对象为云计算基础服务平台(IaaS)服务平台,T单位将业务系统部署在云服务商L提供的基础设施服务上,T单位的业务应用系统为A类云客户应用系统; 假设某云服务商L的云平台为云服务客户提供数据和开发服务,此时可确定其定级对象为云计算数据和开发平台(PaaS平台),T单位利用云服务商L提供的数据和开发服务,部署其业务系统,此时T单位的业务应用系统为A类云客户应用系统; 假设某云服务商L的云平台为云服务客户提供应用服务,此时可确定其定级对象为云计算应用服务平台(SaaS平台),T单位使用云服务商L提供的应用,拥有业务和数据管理权限,此时T单位的业务应用系统为D类云客户应用系统; 表中的B、C、D三类系统,大致情形如下: 假设某云服务商L的云平台为云服务客户提供基础设施服务,此时可确定其定级对象为云计算基础服务平台(IaaS)服务平台,X单位和G单位分别利用云服务商L提供的基础设施,搭建云平台,并为客户M提供PaaS、SaaS服务。 注意该情形中: ① 对于云服务商L来讲,X单位和G单位为其云服务客户; ② 对于客户M来讲,此时X单位和G单位的角色变为云服务商。 X单位的系统定级类型为表中的B类系统,而G单位的系统定级类型为表中的C类系统。 客户M的系统可能为表中的A类系统或D类系统。D类系统是客户N直接使用云服务商云平台提供的SaaS服务,该类系统是否作为定级对象,需根据使用场景进行判定,若客户N仅使用该SaaS服务,无管理权限、未对数据进行处理,则无需定级,该类系统定级情形可参见邮件系统。 表中云计算技术构建的业务应用系统,情形如下: P单位自建或购买第三方云计算技术,自行搭建云计算平台,单独为其业务系统提供服务,此时P单位的定级对象为云计算技术构建的业务应用系统。 典型案列 常见的云计算定级场景:A云服务商为云服务客户B提供基础设施服务(计算/网络/存储),常见的A为阿里云、华为云、电信云等公有云厂商。 集团或大型企业为B,在购买了公有云服务商A的基础资源后,利用A提供的IaaS服务为客户C提供SaaS服务。SaaS化应用系统的安全责任主体为B。 C可能为个人用户,也可能为B的分支机构或服务个体。 此场景中: A类:云服务商的IaaS平台为定级对象; B类:面向用户提供SaaS服务,定级为云服务客户业务系统B; C类:根据用户场景进行定级。若C为B的分支机构或其他企业用户,数据安全责任主体为C,此时,C需对业务应用进行定级,且级别不得高于B对业务系统确定的安全等级,否则C无需定级。 注意:在实际关于云计算平台/系统的定级时,要合理区分SaaS云计算平台和SaaS云服务客户系统。
唯一小编 发布时间:2020-12-24
关于广东云服务器租用多少钱,其实租用价格并不是固定的。需要根据不同的情况,进行确定,由于不同服务商,不同机房,不同配置、带宽等等原因,价格将会不同,广东云服务器配置的机房选择很多,像是电信机房、移动机房、三线bgp机房等,单线路服务器价格便宜些,年付大概几百几千左右,bgp价格要稍微贵些,年付几千到万元不等。影响云服务器租用价格的因素有很多,企业或个人在云服务器租用的时候,一定要根据自己网站的需求选择配置。一般以机房带宽配置不同 价格也不一样。 影响广东云服务器价格因素主要有以下几点: 1,不同机房 国内机房分为电信单线,联通单线机房,电信联通双线双ip机房以及BGP双线或BGP多线机房。由于国内不同地区,不同机房的带宽费用,机柜费用,托管费用等价格不同,所以造成不同地区不同线路的机房所架设的云服务器运行成本差别很大,电信带宽和优质的BGP多线带宽每年带宽费用差别巨大,所以导致了云服务器租用价格的不同。 2,云服务器配置不同 购买使用云服务器,根据自己业务情况不同,需要租用云服务器的配置也不同,以CPU为例,最低配置的单核跟四核甚至八核的CPU配置的云服务器价格相差比较大,价格的差别源自于服务商成本的差别。普通硬盘和SSD固态硬盘成本也差别非常大,其他的例如内存、IP数等大小不同,价格也不同。 3,带宽不同 在带宽上,分有共享带宽和独享带宽,共享带宽即大家一起享用一样的带宽资源,这种情况下带宽价格低廉,稳定差些,独享带宽是带宽只供你一台机器使用,价格贵一些,稳定性较好,另外,由于线路不同,电信、联通单线,电信联通双线、BGP多线等带宽费用都不同。 唯一 网络在广东部署有自己的数据中心,提供高速稳定的广东云服务器/服务器租用/服务器托管/云专线/云等保业务,价格实惠,具体配置报价方案、活动优惠可以咨询关注我们哦。
唯一小编 发布时间:2020-11-17
云等保标准三级如何确定呢根据公安部等保有关规定如下: 参照等级保护定级指南,从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度,取两个方面较高的等级。当确定系统级别后,可开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据,可直接参照采纳行业定级标准定级。 等保二级:适用于用户量和敏感数据较少,如发生安全问题,不会对企业自身及用户造成特别严重影响的。如普通企业的门户网站,企业内部用的OA系统,不涉及用户敏感数据系统等。 等保三级:适用于存有用户敏感信息,信息外泄会造成特别严重影响,甚至会社会秩序和公共利益造成损失的。如政务、教育、医疗、物流、金融等等核心相关业务。 以上由唯一网络南兴装备股份有限公司002757全资子公司小编整理关于云等保 标准 三级内容,等保流程具体更多问题可以关注留言我们哦。 唯一网络提供免费获取评估云等保合规解决方案,后期 1对1专家指导,30天 过审, 100% 通过率,低于业界 60% 的费用。点击咨询客服
唯一小编 发布时间:2020-11-17
云等保测评简述?首先等级保护实施的基本流程包括,系统定级、建设整改、等级测评、系统备案和监督检查等五项工作。 唯一网络可提供云等保、等保备案证明、测评报告结论页和客户等级保护测评说明等材料,协助租户云上系统通过等保测评。 联合唯一网络合作伙伴咨询机构、各地测评机构和公安机关,向唯一网络客户提供一站式、全流程等保合规解决方案。 云等保测评简述如下: 1 定义 1.1 “项目”是指乙方按照《等保合规咨询与测评服务说明书》中的约定,向甲方提供服务的具体项目。 1.2 “关联公司” 是指控制、受控于本协议一方或同本协议一方共同受某一公司控制的实体。 1.3 “本协议” 是指本《技术服务协议》及其所有附件。 1.4 “技术服务”或“服务”是指乙方技术服务人员按本协议及其所有附件的约定,为甲方所做的工作。 1.5 “可交付成果物”是指本协议实施过程中产出的工作成果。 1.6 “技术服务人员” 是指乙方雇用或指定的代理人、雇员或分包商。 1.7 “保密信息”是指双方在讨论、订立及履行本协议过程中向另一方提供的全部技术和商业信息,以及本协议及其所有附件的内容及可交付成果物(如有)。 1.8 “服务费用”是指依照本协议中约定的服务费用,已包括乙方应缴纳的税款。 1.9 “税款”是指根据中华人民共和国法律规定对可交付成果物和/或服务应征收的税款。 2 项目的实施 2.1 乙方应按本协议及《等保合规咨询与测评服务说明书》中的相关约定,向甲方提供相应的技术服务和/或可交付成果物。 2.2 项目的内容以《等保合规咨询与测评服务说明书》中的约定为准。 2.3 服务周期以《等保合规咨询与测评服务说明书》中的约定为准。 2.4 验收标准和验收方式以《等保合规咨询与测评服务说明书》中的约定为准。 3 双方权利义务 3.1 甲方权利义务 3.1.1 按照约定如期全额支付服务费用。 3.1.2 甲方应依照《等保合规咨询与测评服务说明书》中的约定,向乙方提供技术服务所必须的信息、数据、资料、系统/设备权限、系统/软件,并负责为乙方提供必要的设备、工作场地、后勤设施等。 3.1.3 甲方充分知晓并认可,甲方的支持与配合是乙方如期完成服务内容的必要条件。甲方承诺在制度上、人力上、系统环境上以及乙方人员的工作条件方面给予乙方充分的配合和支持,确保项目的顺利实施。 3.1.4 甲方应在项目小组指派一名甲方人员作为项目负责人,负责对乙方服务进行协调、监督,项目负责人应定期向甲方汇报,与乙方项目负责人沟通,并对服务和/或可交付成果物进行验收。 3.1.5 本协议及《等保合规咨询与测评服务说明书》中规定的其他义务。 3.2 乙方权利义务 3.2.1 乙方应尽勤勉义务,严格执行项目服务计划,依照《等保合规咨询与测评服务说明书》的约定交付服务和/或可交付成果。 3.2.2 未经双方项目负责人书面确认或者甲方书面同意,乙方不得延迟或进行内容上的变更。如果乙方在提供技术服务的过程中发现影响计划执行的不利因素的,乙方应及时通报给甲方。 3.2.3 鉴于该项服务的特殊性,甲方同意并认可乙方可将本项目的全部或部分服务内容委托给其合作伙伴完成。 3.2.4 乙方负责对其合作伙伴的能力和资质进行把控,确保合作伙伴提供的服务符合监管部门的要求。 3.2.5 本协议及《等保合规咨询与测评服务说明书》中规定的其他义务。 4 服务费用的支付 4.1 乙方将向甲方提供本协议及《等保合规咨询与测评服务说明书》约定的专业服务费用。该服务费用不含阿里云云服务产品的费用,就项目所需的云服务产品,甲乙双方另行签署协议确定。 4.2 本合同签订7日后,甲方应向乙方支付全部服务费用,乙方在收到款项后10日内向甲方开具等额发票。 4.3 甲方将上述服务费通过在阿里云官网线上购买的方式支付至乙方账户。 5 保密信息 5.1 未经披露方允许,接收方不得将属于披露方的任何资料用于本协议之外的目的。 5.2 接收方应妥善保管披露方提供的各种资料、信息和数据。 5.3 接收方对披露方所提供的技术资料承担保密义务。本协议履行完毕后,除双方另有约定外,接收方应按披露方要求退还披露方所提供的技术资料。 5.4 除为履行本协议需要,乙方有权将提供服务所必要的保密信息提供给其合作伙伴外,一方必须对所接触到的对方的保密信息进行严格保密,未经对方书面许可不得向任何第三方以任何形式进行披露。乙方应确保合作伙伴按照本协议规定条款承担保密责任。但是,如下信息不受此限: a) 已成为公知信息,而接收方对此并无过错; b) 披露时接收方已经知晓的信息; c) 接收方从第三方合法获得的信息,且未附加保密的义务; d) 接收方并未使用保密信息,而自行研发获得的信息; e) 披露方事先书面同意披露或使用的信息; 5.5 一方发现“保密信息”发生泄露等事故时,应立即告知对方,经双方协商后采取合理的对策。另外,由于一方的故意或过失造成“保密信息”泄露时,该方须承担由此给另一方造成的直接经济损失,且须及时采取必要的措施将对方损失控制在最小限度内,并自行承担因此发生的费用和责任。如果一方未及时采取必要措施而使损失扩大,则该方对对方扩大的损失亦承担赔偿责任。 5.6 本条规定于本协议有效期内及终止后两(2)年内有效。 6 违约责任与免责条款 6.1 除非双方一致同意或本协议另有约定或法律规定,任何一方不得提前终止本协议。 6.2 因甲方未向乙方提供项目服务所需的信息、数据、资料、系统/设备权限、设备、工作场地、后勤设施等,致使乙方提供服务迟延或不符合约定的,乙方应予免责。 6.3 甲方未按约定支付服务费用的,乙方有权随时解除协议,并要求甲方支付服务费用20%的违约金。 6.4 甲方充分知晓并认可,乙方尽勤勉义务向甲方提供服务,但是乙方所提供的技术服务受项目实施当时的技术条件、网络状态、甲方的系统状况、服务周期等因素的影响和约束,乙方所提供的技术服务和/或可交付成果物仅仅是当时情况下给出的技术建议,乙方不对技术服务和/或可交付成果物的准确性、有效性、可持续性承担任何的保证责任。 6.5 如因乙方主观原因造成乙方未能够按 《等保合规咨询与测评服务说明书》 的约定交付服务成果的,乙方应向甲方出具电子邮件说明延误原因,并承诺加大投入以追赶项目进度。如乙方延误两周以上未能够按《等保合规咨询与测评服务说明书》的约定交付服务成果的,乙方应向甲方出具追赶进度计划,并加大投入以追赶项目进度。如乙方延误一个月以上未能够按《等保合规咨询与测评服务说明书》的约定交付服务成果的,甲方有权解除协议,并要求乙方返还所有已经支付的款项。 6.6 任何一方就本协议承担的违约金总额均不超过本协议总金额的20%。 7 协议的生效、变更和终止 7.1 本协议自双方加盖公章或合同专用章之日起生效。 7.2 甲、乙双方任何一方有正当理由要求变更本协议的,须提前15天以书面形式通知对方并协商解决,双方应签署变更协议。 7.3 如果发生以下情况,可以视为合同解除或终止,有关责任方承担相应的责任: 7.3.1 一方进入解散或清算阶段; 7.3.2 一方被判为破产或其它原因致使资不抵债; 7.3.3 本协议已有效、适当、全面得到履行; 7.3.4 双方共同同意以书面文件提前解除协议; 7.3.5 根据仲裁机构的生效裁决或司法机关的生效判决,本协议解除。 8 争议与解决 8.1 因执行本协议所发生的和本协议有关的一切争议,双方应首先友好协商解决。如果经协商不能达成协议,任一方均可向杭州市西湖区人民法院提起诉讼。 9 不可抗力 9.1 不可抗力必须是指一方不可控制的、不可预见的、不可克服的事件,包括但不限于:自然灾害:地震、洪水、火灾等;战争或准战争状态、恐怖活动、戒严、骚乱、大规模爆发的流行性传染病等。 9.2 协议生效后,由上述不可抗力因素造成的乙方服务期延误,则此类延误将被视为不可抗力,乙方不承担违约责任,但必须及时通知甲方。 9.3 不可抗力因素致使甲方无法继续履行本协议或不能及时提供相应支援而致使项目延误,甲方不承担违约责任,但必须及时通知乙方。 9.4 在不可抗力事件结束后十个工作日内,受不可抗力影响一方应以挂号或传真的方式将有关部门出具的证明送达至对方,否则对方可不予承认其遭受不可抗力影响,并要求其承担违约责任。 9.5 如不可抗力事故连续60天以上时,双方应通过友好协商解决本协议履行的问题。 10 附则 10.1 本协议所载任何内容不应被解释为在甲乙双方间创设合资、合伙、代理或任何其它本协议目的以外的关系。 10.2 本协议的所有附件均构成本协议的有效组成部分。本协议反映了双方对本协议所述主题的全部协定,并代替所有之前关于本协议所述主题的任何协议及以往惯例。 10.3 任何一方未能或延迟行使其在本项下的权利,不能解释为对该权利的放弃。 10.4 如有未尽事宜,甲乙双方可以签订补充协议进行说明。 10.5 若本协议中任何条款因任何原因而被认定无效,此种无效条款并不影响其他条款的有效性,且此种无效条款应自始视为不存在。 10.6 本协议及附件壹式贰份,甲乙双方各执壹份,每份具有同等的法律效力。 10.7 本协议附件为本协议不可分割之部分,具有同等法律效力。 附件一:《等保合规咨询与测评服务说明书》 1 技术服务的内容和范围 乙方根据甲方需求,委托具有等保测评资质的合作伙伴测评机构,按本说明书第四条所列明的信息系统安全等级保护测评项目清单的范围,提供以下内容的技术服务: 1、基于国家标准《GB/T22239-2008信息系统安全等级保护基本要求》,完成XX系统的Y级保护测评服务,包括物理安全、网络安全、主机系统安全、应用安全和数据安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等十个方面的安全测评,并按照等级保护主管部门指定的报告模版要求,为每个测评系统编制信息系统安全等级保护测评报告。 2、为满足等级保护相关技术和管理要求,提供系统安全加固咨询、安全管理体系咨询、Web安全扫描和网站恶意代码检测等技术咨询服务。 2 技术服务标准和原则 1、测评机构依据国家等级保护相关标准和制度规范开展测评等工作,遵循的标准和规范包括但不限于如下所列: GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》 GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》 GB/T 25058-2010《信息安全技术 信息系统安全等级保护实施指南》 GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》 GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》 行业标准。 2、本次信息系统等级保护测评服务的实施应遵循以下原则: 1) 保密性原则:乙方及合作测评机构对测评服务中的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害被测评单位和被测评系统的行为,否则甲方有权追究乙方的责任。 2) 标准性原则:合作测评机构实施的第三方测评应依据国家等级保护制度公布的相关标准及行业规范进行,不得采用未经正式公布的私有规定。 3) 规范性原则:工作过程和相关文档应具有良好的规范性和一致性,可以便于项目的跟踪和控制管理。 4) 整体性原则:每个系统测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面,不能因疏漏而导致结果的不可用。 5) 最小影响原则:采取的测评方法应尽可能小的影响被测系统和网络的正常运行,控制且减少风险,避免对现有网络和业务的正常运行产生显著影响或导致不可恢复的损失。 3 服务质量保证 1、为了保证本次项目的服务质量,乙方承诺并保证: 1) 乙方要求合作测评机构指派经国家认可的测评工程师参与项目的全过程,以保证工作质量达到预期要求; 2) 乙方和合作测评机构以职业审慎的态度处理可能存在的风险性,特别是在关键测评内容实施前(如扫描或工具测试),应和被测评单位充分沟通和协商,使得双方都清楚地认识到风险的可能性和可控性,并制定慎密的实施方案,采取必要的防范措施,确保在项目实施过程中对被测评信息系统正常运行不造成危害性影响。 2、 甲方应为乙方和合作测评机构履行协议的要求提供所需要的便利条件: 1) 予以项目便利的配合,包括及时提供准确完整的相关资料、协调相关配合人员、提供必要的现场实施办公工作环境等。 2) 甲方应按照双方商定的工作要求(包括进度、人员、质量等)完成本协议服务内容所要求甲方配合的工作。 4 服务清单和价格 本协议列明所有的信息系统安全等级保护测评项目清单和价格如下: 服务属性 服务名称 服务说明 价格 测评服务 信息系统安全等级保护测评 根据国家和相关行业等级保护相关标准,选取测评指标开展等级测评,出具等级测评报告 根据各省测评指导价计算 测评服务 信息系统等级保护定级和备案辅导 协助开展信息系统定级和备案辅导,包括定级报告、备案表的填写指导 根据各省测评指导价计算 5 服务交付物 本服务的交付物为以下形式的技术资料输出或成果: 1) 信息系统等级保护测评方案 2) 信息系统等级保护测评报告(每系统一份) 3) 信息系统等级保护测评过程文档(甲方保存归档) 以上由唯一网络南兴装备股份有限公司002757全资子公司小编整理关于云等保测评简述,等保流程具体更多问题可以关注留言我们哦。