等级保护测评服务合同.doc

1、技 术 服 务 合 同 协议编号（甲方）： 协议编号（乙方）： 项目名称： 委托方（甲方）： 受托方（乙方）： 签订时间： 签订地点： 有效期限：xxx年xxx月至xxx年xxx月目录1.技术服务项目概要- 1 -2.技术服务具体规定- 1 -3.甲方提供的工作条件及协作事项- 1 -4.组织与管理- 2 -5.技术服务报酬及支付方式- 4 -6.技术服务工作成果的验收- 4 -7.知识产权- 4 -8.保密义务- 5 -9.违约责任- 5 -10.协议变更和解除- 6 -11.争议解决- 7 -12.名词和技术术语的定义和解释- 7 -13.本协议的组成部分- 7 -14.其他- 7 -附件

2、1：技术协议书- 10 -附件2：保密协议- 24 -技术服务协议委托方（甲方）： 受托方（乙方）： 鉴于本协议为甲方委托乙方就xxx系统等保测评项目进行的专项技术服务，并支付相应的技术服务报酬。为明确各自的权利和义务，双方通过平等协商，根据中华人民共和国协议法等有关法律法规的规定，订立本协议。1.技术服务项目概要 1.1技术服务的目的： 完毕xxx系统等保测评服务 。1.2技术服务的内容：对xxx系统进行等级保护测评，出具xxx系统等级保护测评报告；详见附件1：技术协议书 。1.3技术服务的方式： 甲方所在地现场数据采集、乙方所在地报告编制 。2.技术服务具体规定2.1技术服务地点： xxx

3、 。 2.2技术服务期限： 协议签订日起3个月 。 2.3技术服务进度： 第一阶段：商务沟通、协议签订及计划编写；第二阶段：资产调研、方案编写与评审；第三阶段：现场数据采集与整理；第四阶段：分析与报告编制；第五阶段：项目验收 。 2.4技术服务质量规定： 按招标技术规范书规定完毕等级测评服务，并提交符合规定的成果交付物 。3.甲方提供的工作条件及协作事项3.1提供的工作条件：（1）为测评小组准备一间容纳45人的办公室 。 （2）提供合适的会议室及办公环境供交流使用 。（3）提供一部打印机，打印项目过程文档 。3.2提供的技术资料如下：类别相应文档网络拓扑各系统网络拓扑图业务流程图各系统的业务流

4、程图公司规范公司下发的各类安全管理制度和规范机房管理规范机房的安全管理制度维护手册/制度平常运维的手册和制度部门、人员岗位职责各部门和人员的岗位职责业务事故和网络事故案例发生过的业务和网络安全事故记录和解决结果口令管理办法各类口令的制定和管理方法业务开发设计文档各业务开发设计文档（提供目录）网络设备配置文档各网络设备的配置文献（互换机、防火墙、路由器）系统日记网络设备和主机的日记系统安全配置规定部分业务和系统的安全其他针对不同的网络业务，我方可以查询的其他文档 3.3其他：根据项目组的建议，做好相关数据的备份工作；并安排信息安全管理人员、系统维护人员等，配合测评小组的现场测评工作 。3.4甲方

5、提供上述工作条件和协作事项的时间及方式：协议履行期内、现场技术服务。4.组织与管理4.1在本协议有效期内，乙方应派出专业技术人员为甲方提供技术服务。技术服务人员名单见附件技术服务人员表。4.2本协议双方分别指定项目负责人如下：（1）甲方负责人： ，电话： ；（2）乙方负责人： ，电话： 。4.2.1甲方项目负责人的重要职责为：（1）牵头组织本方技术服务工作；（2）负责组织协调协议的签订、履行；（3）负责跟踪或报告技术服务工作进展和成果；（4）负责与另一方的沟通协调、信息传递等工作，为技术服务工作提供便利条件。 4.2.2乙方项目负责人的重要职责 （1）负责编制整个测评工作计划和测评技术方案，沟

6、通甲方确认后按计划开展现场服务。 （2）由于乙方技术人员操作或其他行为导致甲方信息系统运营设备、应用功能等软、硬件设备故障时，乙方应立即停止工作，并负责对上述系统、设备进行恢复消缺。 （3）乙方负责人按照相关信息系统安全防护系统规定与甲方签订保密协议，并保证参与本次系统评估工作的工程技术人员严格遵守保密协议相关条款。 （4）乙方负责按照招标文献规定与甲方签订技术协议，并履行技术协议中相关职责。 （5）乙方按照技术协议规定开展保护等级测评，出具完整的测评报告、整改建议及安全评估报告，保证系统通过能源局、国网公司等监管机构及主管部门的检查、评估。4.3人员更换4.3.1一方变更项目负责人的，应当及

7、时以书面形式告知另一方。4.3.2乙方更换其项目负责人与其他技术服务人员，须征得甲方书面批准。4.3.3甲方认为乙方工作人员不能胜任项目工作或玩忽职守的，有权规定乙方立即更换。上述被更换的人员无甲方另行批准不得重新参与本项目技术服务工作。5.技术服务报酬及支付方式5.1技术服务报酬总额为：人民币（大写）XXX元整 （￥XXX元）（含税）。该报酬包含乙方履行本协议所需所有费用，涉及但不限于员工工资、加班费、征询费、资料费、交通费、食宿费以及税费等。5.2技术服务报酬由甲方 （一次或分期）支付乙方。具体支付方式和时间如下：（1） 。（2） 。（3） 。（4） 。6.技术服务工作成果的验收6.1乙方

8、完毕技术服务工作的形式： 提交xxx系统等级保护测评报告。6.2技术服务工作成果的验收标准： 完毕并提交所有成果交付物；项目实行过程未导致安全事件发生 。6.3技术服务工作成果的验收方法： 召开项目评审会，甲乙双方就项目的成果和过程进行正式评审，内容涉及：最终成果和输出报告讲解和报告；项目工作成果评审意见 。 6.4验收的时间和地点：由甲乙双方协商拟定 。7.知识产权7.1在本协议有效期内，甲方运用乙方提交的技术服务工作成果所完毕的新的技术成果，归双（甲、双）方所有。7.2在本协议有效期内，乙方运用甲方提供的技术资料和工作条件所完毕的新的技术成果，归双（乙、双）方所有。8.保密义务8.1一方及

9、其工作人员应对技术服务协议签订、履行过程中了解到的涉及到另一方商业秘密的文献资料以及其他尚未公开的有关信息承担保密责任，并采用相应的保密措施。双方应承担的保密义务涉及但不限于：8.1.1未经一方书面批准，另一方不得将上述保密信息披露给任何第三人。8.1.2 不得将上述保密信息用于本协议以外的其他目的。 8.1.3 在技术服务项目通过评审后或按协议规定，及时将上述资料和信息返还对方或按对方规定作适当解决。8.2 涉密人员范围甲方涉密人员范围：系统运营单位及参与测评人员。乙方涉密人员范围：等级测评项目组。8.3上述保密义务的期限至保密信息正式向社会公开之日或一方书面解除另一方此协议项下保密义务之日

10、止。9.违约责任9.1 乙方不履行本协议义务或履行义务不符合约定的，甲方有权规定乙方承担继续履行、补偿损失或支付违约金等违约责任。9.1.1 乙方未按期完毕技术服务工作的，每逾期1天，应向甲方支付相称于技术服务报酬 1 % 的违约金，逾期超过 30 日的，甲方有权单方解除协议。9.1.2 乙方未按协议约定履行协议义务，经甲方催告仍未纠正的，甲方有权单方解除协议。由于整改纠正导致进度延期交付的视同逾期交付。9.1.3乙方提供的技术服务不符合本协议约定的验收标准，未通过甲方验收的，乙方应退还甲方已支付的所有款项，并向甲方支付相称于技术服务报酬 10 %的违约金。9.1.4乙方违反协议约定的保密义务

11、，应承担一切法律责任并向甲方支付相称于技术服务报酬 10 %的违约金。9.1.5协议因乙方因素解除的，甲方有权停止支付并规定乙方退还甲方已支付的所有款项，且乙方应向甲方支付相称于技术服务报酬 10 %的违约金。9.1.6乙方因违约需要向甲方支付违约金或补偿损失的，甲方有权从任何一期协议应付款项中予以扣除。9.2甲方不履行本协议义务或者履行义务不符合约定的，乙方有权规定甲方承担继续履行、支付违约金等违约责任。9.2.1甲方不提供工作条件或提供的工作条件不符合约定，影响工作进度和质量，承担由此导致的项目延期、费用增长的责任。9.2.2甲方逾期支付技术服务报酬的，应就逾期部分向乙方支付按照中国人民银

12、行规定的同期贷款基准利率计算的逾期付款违约金。9.2.3甲方无合法理由不接受工作成果的，已支付的报酬不得追回，未支付的报酬应当支付，并向乙方支付相称于技术服务报酬 10 %的违约金；甲方无合法理由逾期接受工作成果的，每逾期1天， 应向乙方支付相称于技术服务报酬 1 %的违约金，逾期超过 30 日的，乙方有权单方解除协议。9.2.4甲方违反协议约定的保密义务，应承担一切法律责任并向乙方支付相称于技术服务报酬 10 %的违约金。10.协议变更和解除10.1双方经协商一致可变更或解除协议，并以书面形式拟定。10.2有下列情形之一的，一方可以向另一方提出变更或解除协议的书面请求，另一方应当在10日内予

13、以书面答复；逾期未予书面答复的，视为批准：（1）因对方违约使协议不能继续履行或没有必要继续履行。 （2） 无 。10.3法律规定的协议解除情形出现时，一方主张解除协议的，应当书面告知对方。协议自告知到达对方时解除。10.4本协议中约定可单方解除协议的，单方解除协议的条件成就时，享有解除权的一方可单方解除协议，但应书面告知对方。协议自告知到达对方时解除。11.争议解决11.1因协议及协议有关事项发生的争议，双方应本着诚实信用原则，通过和谐协商解决，经协商仍无法达成一致的，按以下第 2 种方式解决：（1）仲裁：提交/仲裁，按照申请仲裁时该仲裁机构有效的仲裁规则进行仲裁。仲裁裁决是终局的，对双方均有

14、约束力。（2）诉讼：向 甲方 所在地人民法院提起诉讼。11.2在争议解决期间，协议中未涉及争议部分的条款仍须履行。 12.名词和技术术语的定义和解释 12.1 等级测评：指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。 13.本协议的组成部分与履行本协议有关的下列技术文献，经双方约定，作为本协议的组成部分。13.1技术标准和规范： 技术协议书 ；13.2其他： 保密协议 。14.其他 14.1本协议经双方法定代表人（负责人）或其授权代表签署并加盖双方公章或协议专用章之日起生效。协议签订日期以双方中最后一方签署

15、并加盖公章或协议专用章的日期为准。14.2本协议一式 捌 份，甲方执肆份，乙方执 肆 份，具有同等法律效力。14.3特别约定本特别约定是协议各方经协商后对协议其他条款的修改或补充，如有不一致，以特别约定为准。 无 。 （以下无正文）签 署 页甲方：（盖章） 乙方：（盖章）法定代表人(负责人)或授权代表（签字）：法定代表人（负责人）或授权代表（签字）：签订日期： 年 月 日签订日期： 年 月 日地址： 地址： 邮编：邮编： 联系人： 联系人： 电话：电话：传真：传真：Email：Email： 开户银行： 开户银行：账号： 账号：税号： 税号：附件1：技术协议书1.概述为了贯彻公安部、能源局和国家

16、电网公司电力信息系统安全等级保护规定，进一步增强电力信息系统安全防护能力，保证电力信息系统安全稳定运营，依据信息系统安全等级保护基本规定（GB/T 22239-2023）和电力行业信息系统等级保护定级工作指导意见（电监信息202344号）等标准规范，进行本次电力信息系统等级保护。1.1.目的及范围贯彻信息系统安全等级保护规定，健全电力信息系统安全防护体系，统一信息安全防护标准和策略，按照电力信息系统不同安全等级，通过合理分派资源，规范电力信息系统安全建设与防护，对电力信息系统分等级实行全面保护，以提高xxx系统信息安全的整体防护水平。通过等级保护测评工作，全面、完整地了解xxx系统的现有安全状

17、况，通过测评其与信息系统安全等级保护基本规定（GB/T 22239-2023）、电力信息系统安全等级保护规定（试行）相应级别的差距，达成以检查促安全的目的，实现重要信息系统的分等级保护与监管、信息安全事件分等级响应的规定。经甲乙双方协商，本项目的工作范围涉及：1、对xxx系统等级保护测评，出具等级保护测评报告。1.2.规定本次项目实行方案设计以及在具体的项目实行过程中，我方将严格遵守以下的标准和原则开展工作：u 客观性和公正性原则虽然测评工作不能完全摆脱个人主张或判断，但测评人员应当没有偏见，在最小主观判断情形下，按照测评双方互相认可的测评方案，基于明拟定义的测评方式和解释，实行测评活动。u

18、规范性原则安全测评过程有统一的流程，测评过程中使用的方法及使用的文档，需要具有很好的规范性，便于测评工作的质量保证，并测评保证结果的一致性。u 标准性原则测评方案的设计与实行应依据国家及行业等级保护的相关标准进行。u 可控性原则安全测评所使用的工具、方法和过程要在双方认可的范围之内，安全测评的进度要符合进度表的安排，保证双方对测评工作的可控性。u 整体性原则安全测评的范围和内容应当全面覆盖xxx系统所涉及的各个层面，并考虑各个层面的互相关系。u 最小影响原则测评工作应尽也许小地影响网络和系统的正常运营，不能对系统的业务产生显著影响。例如：避免导致被测评系统的性能明显下降、网络拥塞、服务中断等。

19、u 保密性原则对在测评过程中所接触到的被测评单位的所有敏感信息，测评人员应遵循相关的保密承诺，不运用它们进行任何侵害被测评单位安全利益的行为。2.项目内容依照 GB/T22239-2023信息安全技术信息安全等级保护基本规定和电力行业信息系统安全等级保护基本规定（征求意见稿）对xxx系统进行等级保护测评，拟定不同等级业务系统当前安全防护现状，以及与国家和行业等级保护规定间的差距；分析其所面临的威胁及其存在的脆弱性，提出有针对性的抵御威胁的防护策略和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地防止由于电力信息系统安全事件引发电力安全事故，全面提高电力信息系统安全防护水

20、平提供科学依据。等级测评将覆盖物理环境、网络安全、主机安全、应用安全、数据安全及信息安全管理等方面的内容，内容涉及但不限于以下内容：1. 总体规定测评：涉及总体技术规定、总体管理规定；2. 安全技术测评：涉及物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；3. 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评；4. 最终版报告需加盖电力行业等级保护测评中心的印章。3.等级保护测评方案3.1.重要依据 GB/T 18336-2023信息技术安全性评估准则 GB/T 19715-2023信息技术安全管理指南 GB/

21、T 19716-2023信息安全管理实用规则 GB/T 22239-2023 信息安全技术信息系统安全等级保护基本规定 GB 50174-2023 电子信息系统机房设计规范 GB/T 22239-2023信息安全技术信息系统安全等级保护基本规定 公通字202343号信息安全等级保护管理办法 电监信息202344号电力行业信息系统安全等级保护定级工作指导意见3.2.技术思绪本项目重要技术思绪是依据上述标准，对xxx系统进行等级测评，依据测评以及核查的结果综合分析给出等级测评的结果和改善建议。具体思绪如下：（1）、使用问卷调查表，对xxx系统调研，掌握xxx系统的重要功能和业务流程。调阅定级报告，

22、具体了解测评范围内的xxx系统及其包含的信息资产，为下一步测评指标的选取做好准备。（2）、在用户许可的情况下，对xxx系统的关键设备和关键系统进行手工配置检查，对网络拓扑结构进行合理性分析，相应用系统进行安全性分析，发现和分析系统安全技术方面与国家及行业规定之间的差距。（3）、采用安全核查表的形式从管理层面和技术规范层面，对xxx系统进行现场的安全管理核查，了解涉及人的因素在内的系统运营状况。通过对核查结果的分析，发现和分析管理层面与国家及行业规定之间的差距。（4）、在安全技术测试和安全管理核查的基础上，根据xxx系统的特点，发现和分析安全控制间、层面间以及区域间的互相关联关系，以及安全控制间

23、、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及xxx系统整体结构安全性、不同信息系统之间整体安全性等。3.3.工作流程xxx系统等级测评工作可以分为四个项目活动阶段具体实行，分别是：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。重要工作流程如下图所示：图 等级测评基本工作流程等级测评项目启动信息收集与分析工具和表单准备测评准备活动测评对象拟定测评指标拟定测评工具接入点拟定测评方案编制测评内容拟定测评实行手册开发方案编制活动测评实行准备现场测评和结果记录结果确认和资料归还单项测评结果鉴定单项测评结果汇总分析系统整体测评分析综合测评结论形成测评报告编制现场测评活动修订

24、分析与报告编制活动动沟通与洽谈1) 测评准备阶段测评准备阶段重要完毕启动测评项目，组建测评项目组；通过收集和分析被测系统的相关资料信息，掌握被测系统的大体情况；通过调阅定级报告，掌握各系统所拟定的安全重要限度；并通过编制测评方案以及准备测评工具和文档等任务，为顺利实行现场测评工作打下良好的基础。测评准备阶段实行的重要活动涉及:项目启动、信息收集和分析、编制测评方案及工具和文档准备。2) 方案编制阶段本阶段是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的重要任务是开发与被测信息系统相适应的测评内容、测评实行手册等，形成测评方案。3) 现场测评阶段本阶段是开展等级测评工

25、作的核心活动。本活动的重要任务是按照测评方案的总体规定，严格执行测评实行手册，分步实行所有测评项目，涉及单项测评和系统整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。现场测评阶段通过与被测单位进行沟通和协调，为现场测评的顺利开展打下良好基础，然后依据测评方案实行现场测评工作，将测评方案和测评工具等具体贯彻到现场测评活动中。现场测评工作应取得分析与报告编制活动所需的、足够的证据和资料。4) 报告编制阶段本阶段是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的重要任务是根据现场测评结果和信息系统安全等级保护测评过程指南的有关规定，

26、通过单项测评结果鉴定和系统整体测评分析等方法，分析整个系统的安全保护现状与相应等级的保护规定之间的差距，综合评价被测信息系统保护状况，并形成测评报告文本。测评人员在初步鉴定单项测评结果后，还需进行系统整体测评，通过系统整体测评后，有的单项测评结果也许会有所变化，需进一步修订单项测评结果，而后形成等级测评结论。最终组织专家对测评结论进行评审。3.4.测评方法等级测评的重要方式有：访谈、检查和测试。 访谈访谈是指测评人员通过与xxx系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据表白xxx系统安全保护措施是否贯彻的一种方法。在访谈的范围上，应基本覆盖所有的安全相关人员类型，在数量上可以

27、抽样。 检查检查是指测评人员通过对测评对象进行观测、查验、分析等活动，获取证据以证明国xxx系统安全等级保护措施是否得以有效实行的一种方法。在检查范围上，应基本覆盖所有的对象种类（设备、文档、机制等），数量上可以抽样。 测试测试是指测评人员通过对测评对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析响应输出结果，获取证据以证明xxx安全等级保护措施是否得以有效实行的一种方法。在测试范围上，应基本覆盖不同类型的机制，在数量上可以抽样。3.5.测评原则对于各种类型测评对象数量的选择采用抽样的方式，其数量应可以满足各级系统整体测评分析的需要。本项中涉及的设备、设施、人员和文档的抽样结果需在

28、系统完整调查之后最终拟定，并与用户单位沟通确认。u 三级及以上系统重点抽查“重要”的设备、设施、人员和文档，其中必查的测评对象重要涉及：l 主机房和部分辅机房（涉及其环境、设备和设施等），必查的辅机房中放置了服务于xxx系统的局部（涉及整体）或对xxx系统的局部（涉及整体）安全性起重要作用的设备、设施；l 重要介质的存放环境，存储被测系统重要数据的介质的存放环境。l 整个系统的网络拓扑结构；l 安全设备，涉及防火墙、IDS和防病毒网关等；l 边界网络设备（也许会包含安全设备），涉及路由器、防火墙、认证网关和边界接入设备（如楼层互换机）等。l 重要网络互联设备，对整个xxx系统或其局部的安全性起

29、作用的网络互联设备，如核心互换机、汇聚层互换机等； l 服务器中的重要服务器（涉及其操作系统和数据库），指承载被测系统重要业务或数据的服务器；l 终端中的重要终端，涉及管理终端和重要业务应用系统的终端，抽查其中的一部分；l 应用系统中的重要应用系统，指可以完毕被测系统不同业务使命的业务应用系统；l 硬件冗余设备（重要网络、服务器和通信线路）；l 业务备份系统；l 安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人、所有管理制度和记录；4.项目质量管理与控制4.1.项目质量承诺为了保证本次项目的品质和质量，我方承诺：l 根据标准性、规范性、可控性、整体性、最小影响性及保密性原则

30、，做到守时、保质；l 指派工作经验丰富、技术实力雄厚的安全顾问结合技术领先、结论可靠的测评工具为xxx系统作全面的等级保护符合性测评。承诺征询过程按照国际标准进行，并保证对客户的资料严格保密；l 保证选派高级专家参与整个项目保证项目质量，并在收到中标告知后，立即召集参与项目的专家准备项目实行；l 在指定的地点进行测评工作和等级保护符合性测评报告的编写，在测评期间和测评结束后，不带走测评中的重要资料和结果。4.2.项目管理方法在项目的实行过程中，根据项目的具体规定，整个项目的管理参考美国项目管理协会PMI提出的项目管理方法学，以及一些安全专业领域的专家、顾问对项目的实行进行规范管理实行。同时通过

31、规范化的项目管理，保证项目进程中的过程的质量。4.3.项目变更管理不受控制的项目变更，涉及目的变更、范围变更、人员变更、环境变更、文档修改等等是对项目质量的重大威胁。但是，盼望实行过程中不出现变更也是不现实的。客观上，项目也许需要随时修改自己的计划、调整资源分派等以适应项目的最新情况。变更控制的关键在于使得变更的出现和接受被置于项目双方的严格管理中。本项目中由专门的质量保证工程师负责全程监管项目中随时也许出现的变更情况，保证不同层次的变更可以得到相应的、适当的解决，所有重要的修改都通过项目双方的认真讨论和确认。在确认接受变更的情况下，项目双方也许需要重新审定工期、资源、目的、甚至商务等相关条文

32、，并且通过配置管理保证所有人员和基线相关条目都得到了更新。对于项目变更管理流程如下图：4.4.风险与控制4.4.1.也许存在的风险1. 验证测试对运营系统也许会导致影响在现场测评时，需要对设备和系统进行一定的验证测试工作，部分测试内容需要上机查看一些信息，这就也许对系统的运营导致一定的影响，甚至存在误操作的也许。2. 敏感信息泄漏泄漏被检测单位xxx系统状态信息，如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。3. 对测评结果的争议测评方和被测评单位对测评结果也许存在争议。4.4.2.风险的规避1. 签署委托测评协议在测评工作正式开始之前，测评方和被测评单位需要以委托协议的方

33、式明确测评工作的目的、范围、人员组成、计划安排、执行环节和规定、以及双方的责任和义务等。使得测评双方对测评过程中的基本问题达成共识，后续的工作以此为基础，避免以后的工做出现大的分歧。 2. 签署保密协议测评双方应签署完善的、合乎法律规范的保密协议，以约束测评双方现在及将来的行为。保密协议规定了测评双方保密方面的权利与义务。测评工作的成果属被测评单位所有，测评方对其的引用与公开应得到被测评单位的授权，否则被测评单位将按照保密协议的规定追究测评单位的法律责任。3. 现场测评工作风险的规避进行验证测试时，测评方需要与被测评单位充足的协调，安排好测试时间，尽量避开业务高峰期，在系统资源处在空闲状态时进

34、行，并需要被测评单位对整个测试过程进行监督；在进行验证测试前，需要对关键数据做好备份工作，并对也许出现的影响制定相应的解决方案；上机验证测试原则上由被测评单位提供相应的技术人员进行操作，测评人员根据情况提出需要操作的内容，并进行查看和验证。避免由于测评人员对某些专用设备不熟悉导致误操作。4. 规范化的实行过程为保证按计划、高质量地完毕测评工作，应当明确测评记录和测评报告规定，明确测评过程中每一阶段需要产生的相关文档，使测评有章可循。在委托协议和测评方案中，需要明确双方的人员职责、测评对象、时间计划、测评内容规定等。5. 沟通与交流为避免测评工作中也许出现的争议，在测评开始前与测评过程中，双方需

35、要进行积极有效的沟通和交流，及时解决测评中出现的问题，这对保证测评的过程质量和结果质量有重要的作用。6. 现场行为规范不伪造测评记录；不泄露xxx系统信息；不暗示被测评单位，假如提供某种利益就可以修改测评结果；测评人员进入现场佩戴工作牌；在不违反测评工作原则的基础上，遵从被测评单位的机房管理制度；使用测评专用的笔记本电脑，并由有资格的测评人员使用；不得将测评结果复制给非测评人员；不擅自评价测评结果。4.4.3.项目沟通管理在本项目中，将采用一些正规的项目沟通程序，保证参与项目的各方可以保持对项目的了解和支持。这些管理和沟通措施将对项目过程的质量和结果的质量具有重要的作用。4.4.4.平常沟通、

36、记录和备忘录鼓励项目参与各方在项目进行过程中随时对相关问题进行沟通。所有重要的、有主题的平常沟通活动都应留下记录或形成备忘录。平常沟通的重要渠道涉及：n 非正式会议n 电话n 电子邮件n 传真等4.4.5.会议会议是项目管理活动的重要形式，是项目各方进行正式沟通的渠道。 项目启动会议项目启动会议是项目正式启动和开始的标志，项目启动会议之后，项目正式开始，项目组从此进入了项目状态。此会议的重要工作是宣告项目正式开始，各方的领导阐明对项目的盼望和支持，各方就项目组的组织架构和工作计划进行沟通和确认，此会议对项目的后期发展方向非常重要。项目正式开始时举行，时间一到两小时。 周例会为保证项目正常进行，

37、项目管理小组、项目协调小组和各实行组组长每周举行一次项目例会，报告项目进展状况、出现的问题和安排下周的工作计划。参与人员重要是项目管理小组成员、项目协调小组成员及各实行组组长，可以根据情况邀请其他项目成员参与。会议可以是正式的面对面会议，也可以是电话会议、网络会议等形式。此例会每周召开一次，重要内容：n 项目完毕情况报告，每日重要工作成果报告n 存在的问题及解决办法分析n 本周的工作计划n 对也许的配置管理和变更控制签署相应的文献 项目阶段工作会议在每个项目阶段结束时，都会召开一个正式的项目阶段工作会议。该会议对前一个阶段进行总结，对下一个阶段进行计划确认和沟通。加人员重要是各方的项目经理，可

38、以根据情况邀请其他项目成员参与。会议是正式的面对面会议。重要内容：n 项目完毕情况报告n 阶段工作成果评审n 存在的问题及解决办法分析n 对也许的配置管理和变更控制签署相应的文献n 下阶段的工作计划确认和沟通 项目评审会议在项目的具体工作所有结束后，项目管理组完毕内部评审，达成一致，会安排项目的相关各方参与对整个项目的成果和过程的正式评审工作。参与人员重要是各方的项目经理、相关领导、项目组重要成员，会议是正式的面对面会议。重要内容：n 最终成果和输出报告讲解和报告n 项目工作成果评审意见附件2：保密协议甲方： 乙方：根据中华人民共和国保密法和国家、地方有关规定，双方当事人就乙方在为甲方服务期间

39、及服务结束以后保守甲方商业秘密、技术秘密和其它保密事项达成如下协议，供双方共同遵守：(一)保密内容和范围1、双方确认，乙方在为甲方提供服务期间，重要是运用甲方的物质技术条件、业务信息等产生的发明发明、作品、计算机软件、技术秘密或其他商业秘密信息，有关的知识产权均属于甲方享有。乙方主张由其独自享有或共同享有知识产权的，应当及时向甲方申明。乙方应当依甲方的规定，提供一切必要的信息和采用一切必要的行动，涉及申请、注册、登记等，协助取得和行使有关的知识产权。2、乙方在为甲方提供服务期间，必须遵守甲方规定的任何成文或不成文的保密规章、制度，履行相应的保密职责。甲方的保密规章、制度没有规定或规定不明确之处

40、，乙方也应本着谨慎、诚实的态度，采用任何须要、合理的措施，维护其于服务期间知悉或持有的任何属于甲方或虽属于第三方但甲方承诺有保密义务的技术秘密或其他商业秘密信息，以保持其机密性。3、乙方承诺，未经甲方批准，不得以泄露、告知、公布、出版、发布、传授、转让或者其他任何方式使任何第三方(涉及按照保密制度的规定不得知悉该项秘密的乙方其他职工)知悉属于甲方或者虽属于别人但甲方承诺有保密义务的技术秘密或其他商业秘密信息，也不得在履行服务之外使用这些秘密信息。未经甲方授权，乙方及其相关人员不得使用甲方保密内容的技术，也不得出售或赠与这些保密内容给任何其它第三方从事生产或经营行为。凡以直接、间接、口头或书面等

41、形式提供涉及保密内容的行为均属泄密。4、双方批准，乙方服务期满之后仍对其在为甲方服务期间接触、知悉的属于甲方或者虽属于第三方但甲方承诺有保密义务的技术秘密和其他商业秘密信息，承担如同服务期间同样的保密义务和不擅自使用有关秘密信息的义务。5、乙方承诺，在为甲方履行服务时，不得擅自使用或泄漏任何属于别人的技术秘密或者其他商业秘密信息，也不得擅自实行也许侵犯别人知识产权的行为。6、乙方由于甲方服务上的需要所持有或保管的一牢记录着甲方秘密信息的文献、资料、图表、笔记、报告、信件、传真、及其它任何形式的载体，均归甲方所有，而无论这些秘密信息有无商业上的价值，乙方应当于服务期结束时，或者于甲方提出请求时，

42、返还所有属于甲方的财物，涉及记载着甲方秘密信息的一切载体。7、甲方及其相关人员有权制止一切泄露甲方保密信息的行为。8、本协议提及的商业秘密，涉及但不限于甲方或第三方的以下信息。技术信息：完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术数据，针对技术问题的技术诀窍，操作流程、技术指标、计算机软件、数据库、研究开发记录、技术报告、检测报告、图纸；经营信息：经营策略、管理诀窍、客户资料、货源情报、投标标底、营销计划、市场调查资料、定价政策、财务资料、经济协议、经济指标、货源情况相关的函电等信息。(二)协议期限乙方承诺，其在甲方服务结束后承担保密义务的期限为无限期保密，直至甲方宣布解密或者秘密信息事实上已经公开；(三)保密费的约定乙方认可，甲方在支付乙方的费用中，已考虑了乙方需要承担的保密义务的费用，故而甲方无须在服务结束期满后此外支付保密费。(四)违约责任1、乙方违反此协议，甲方有权无条件解除协议。 2、乙方部分违反此协议，导致甲方经济损失，乙方应视情节轻重进行补偿。导致甲方重大经济损失，应补偿甲方所有损失。3、若乙方违反协议导致甲方遭受第三方指控时，乙方应当承担甲方为应诉而支付的一切费用和甲方因此承担补偿责任。（五）纠纷解决途径因本协议而引起的纠纷，双方应先进行和谐协商，假如协商解决不成，任何一方均有权提起诉讼,选择甲方住所地人民法院作为第一审管辖法院。