附件 10：关于北京市市级政务云服务协议的有关建议 本文件旨在为北京市市级政务云平台用户单位签订《政务云服务协议》 （以下简称“服务协议”）的工作提供支持和帮助。在签订“服务协议”时，可根据 实际情况具体拟定协议条款。 一、服务协议中需要关注的要素 1. 项目角色定义 2. 服务内容 3. 甲方权利义务 4. 乙方权利义务 5. 安全责任边界 6. 政务云基础环境质量要求 7. 知识产权及保密 8. 支付条款 9. 违约责任及协议解除 10. 退出 二、建议条款（共性） 以下为“服务协议”中的基础服务和共性服务条款，个性化服务和增值 服务由甲乙双方另议。 1. 项目角色定义 （1）甲方：指签署“服务协议”的北京市委、办、局、事业单位等，也称 政务云使用单位； （2）乙方：指北京市市级政务云平台的云资源提供商，也称云服务商； （3）业务系统服务商：指为甲方提供应用系统、系统软件建设或维护的 服务商。 （4）云安全监管服务商：指政务云平台的安全监管服务商，即北京安信 天行科技有限公司。 2. 服务内容 分为基础服务、增值服务和个性化服务，由甲乙双方协商确定。 3. 甲方权利义务 （1）甲方指派一名代表作为本项目负责人，负责确定项目计划，监督项 目执行，协调项目资源，确认项目成果。甲方项目负责人及联系方式： （2）甲方有权对乙方提供各项服务的情况进行监督、检查和评价。 （3）甲方有权提出有关管理、技术需求和要求，协调云服务商、业务系 统服务商的关系，协调业务系统服务商配合调研、迁移、运维、安全和 应急演练等过程的工作。 （4）甲方负责本单位业务系统的应用软件和系统软件的日常维护、管理、 安全和应急保障。 4. 乙方权利义务 （1）制度建设 1) 乙方应协助甲方建立健全配套制度标准，包括：运维制度、应急预案、 安全保障制度、运行监管办法等。 （2）云迁移 1) 乙方应在规定期限内，完成甲方指定业务系统的测试和迁移。 2) 所有业务系统在迁移、部署到云平台之前，乙方应进行系统测试，并 由安全监管服务商出具安全测评报告。对于未通过系统测试和安全测 评的应用系统，乙方有权暂缓为其开通资源服务，直到业务系统具备 入云条件，避免因个别系统不稳定或不安全造成整个云平台的安全可 靠性降低。 3) 乙方应免费配合甲方完成云迁移，搭建应用上云的测试环境，并在测 试期内免费配合迁移测试（用户端产生的相关费用不在此列）。 4) 乙方应为甲方提供在线申请云资源、远程监控和管理自身采购云资源 的使用情况等功能。 5) （如不存在双活需求，该条款删除）如甲方存在“双活”需求，且同时 购买两家云服务商的服务，乙方应与另一家云服务商共同实现双活。 （3）运维服务 1) 乙方负责管理甲方申请的 IP 地址，为甲方提供 IP 地址分配和管理服 务。 2) 乙方负责所建设政务云平台的具体管理、监控、安全防护等工作，按 甲方需求定期向甲方提供监控报告。 3) 服务期满后，如乙方不再提供云服务，乙方应无条件免费配合各方完 成迁移和切换工作，切换期一般延续 6 个月。 4) 重大活动期间，乙方应配合甲方制定预案并提供云平台的现场值守等 服务。 5. 甲乙方安全责任边界 （1） 甲方安全责任 1) 甲方承担系统软件、应用系统、数据等方面的安全责任。 2) 甲方负责组织应用系统级别的应急演练，如有需要，甲方有权要求乙 方配合应急演练。 （2） 乙方安全责任 1) 乙方承担云平台层面（主要包括物理资源、计算资源、存储资源、网 络资源）以及数据防篡改、防丢失的安全责任。 2) 乙方在取得甲方许可后，负责云平台应急演练；乙方有义务配合甲方 完成业务系统的应急演练。 3) 乙方须按照《关于加强党政部门云计算服务网络安全管理的意见》 （中网办发文[2015]14 号）的要求和有关网络安全标准，落实并通 过所建设的云平台的第三方网络安全审查。 6. 服务质量及验收要求 （1） 乙方为甲方提供的服务质量应符合国家或相关行业的标准。 （2） 乙方自协议签署之日起 日内完成系统入云检测和迁移等工作，并 （3） （4） （5） （6） 投入试运行。 乙方提供的云平台整体可用性应不低于 99.99%，数据可靠性应不 低于 99.9999%。 在运维期间内，保证云平台层面的安全性。 乙方应为甲方提供咨询服务，配合、协助甲方修订原有管理办法， 并严格执行。 乙方完成服务后应及时通知甲方进行验收。验收合格的，甲方在验 收合格单上签字，并对乙方服务质量进行评价；验收不合格的，乙 方应当在 日内进行返工或调整，并重新提交甲方验收。 7. 知识产权及保密 （1） 知识产权 1) 乙方保证向甲方提供的服务成果是其独立实施完成，不存在任何侵犯 第三方专利权、商标权、著作权等合法权益。如因乙方提供的服务成 果侵犯任何第三方的合法权益，导致该第三方追究甲方责任的，乙方 应负责解决并赔偿因此给甲方造成的全部损失。 2) 双方在对外宣传（如在各自官网、市场营销活动）时，如有涉及对方 的内容，应提前通知对方，在取得对方同意后方可发布信息 。 （2） 保密 1) 乙方应保证在向其工作人员披露甲方的保密信息前，认真做好员工的 保密教育工作，明确告知其将知悉的为甲方的保密信息，并明确告知 其需承担的保密义务及泄密所应承担的法律责任，并要求全体参与该 项目的人员签署书面《保密协议》。 2) 任何时间内，一经甲方提出要求，乙方应按照甲方指示在收到甲方书 面通知后 5 日内将含有保密信息的所有文件或其他资料归还甲方， 且不得擅自复制留存。 3) 非经甲方特别授权，甲方向乙方提供的任何保密信息并不包括授予乙 方该保密信息包含的任何专利权、商标权、著作权、商业秘密或其它 类型的知识产权。 4) 乙方承担上述保密义务的期限为协议有效期间及协议终止后 1 年。 5) 如乙方或乙方工作人员违反了上述保密义务，给甲方造成损失的，乙 方应向甲方承担全部责任，并赔偿因此给甲方造成的全部损失。 8. 支付条款及履约保函（履约保证金） （1）甲方自本协议签署且收到乙方提供的履约保函之日起 个工作日内， 向乙方支付服务费的 70 %，即人民币￥ 元，大写： ；乙方 提供本协议项下的全部服务并经甲方验收合格之日起 个工作日内，甲方 向乙方支付服务费的 30 %，即人民币￥ 元，大写： 。（上 述支付比例为建议比例，甲乙双方可根据实际情况协商确定） （2）乙方应于协议签订之日起 个工作日内向甲方提交协议总额的 10 ％，即（大写） （￥ 元）的履约保函，保函有效期为 年，用于 保证乙方全面、彻底履行本协议项下的各项义务。（保函有效期应不低于 协议的服务期） （3）如乙方在协议履行过程中存在违约情形的，甲方有权从履约保函中 直接扣除相应的款项。 （4）本项目最终验收合格，且甲乙双方签署最终验收合格报告之日起_ _ 个工作日内，甲方向乙方退还履约保函原件。 9. 违约责任及协议解除 （1）在运营期间，如发生附件 1 中所列 A 级事件 1 次，甲方有权解除本 协议，并要求乙方赔偿甲方相应的经济损失。 （2）在运营期间，如 1 年内发生附件 1 所列 B 级事件 3 次，甲方有权解 除本协议，并要求乙方赔偿甲方相应的经济损失。 （3）乙方提供服务过程中可能发生的违约行为及相应应承担的违约金详 见附件 2、3，违约金的支付由甲乙双方协商，从履约保证金和尾款中抵 扣。系同一事件或原因导致的事故，甲方不可就同一事件重复要求乙方承 担违约责任，经甲乙双方协商，择其重者确定乙方支付违约金的办法。 （4）在运营期间出现下列情况，甲方向乙方提出整改要求和期限，且乙 方在规定期限内未能履行甲方正当要求的，甲方有权与乙方终止协议：  多次在云安全监管服务商已发出整改通知后未正确处置，出现问 题并造成 B 级及以上事故；  重大活动期间所承诺的骨干人员和管理人员未到场；  连续 2 个月所承诺的运维服务人员人数未达到协议要求；  另一家云服务商提出“双活”需求，不给予配合（可选）。 10. 退出 （1）服务期内，如乙方提出退出要求，需至少提前 6 个月向甲方提出退 出申请，并获得甲方的许可后方可退出，对于由此给甲方带来的经济损 失，由甲乙双方协商解决。 （2）服务期满或者甲方提前协议解除的，乙方应无条件免费配合各方完 成迁移和切换工作，切换期一般延续 6 个月。 附件 1 重大事件—退出 退出触发条件 重大安全事故 （云服务商主 服务中断 范围 云平台整体 责） 影响 因非不可抗力造成超过 30%以上业务系统中断、影响人 数 50 万以上、导致 500 万元以上经济损失。 影响时间 2 小时以上 在重大或特别重大保障期间，因云服务商的安全隐患原因 造成的系统被恶意篡改事件。事件发生后云服务商未按照 30 分钟以 重大篡改事件 应急预案进行处置，造成信息安全事件处置延误。且该事 上 件被国家级机构或媒体通报、市级领导批示或关注的。 等保三级或重要业 数据丢失 务系统的核心业务 数据 恶意入侵攻击 因非不可抗力造成的云平台超过 3 个业务系统，丢失超过 1 个月以上的数据，且确认无法恢复。 等保三级或重要业 被第三方安全机构通报云平台存在安全隐患，云服务商未 务系统 在 24 小时内做有效处置或应急防护措施，造成业务系统 在重大或特别重大保障期间被恶意篡改或敏感信息泄露事 件。 —— —— 事件级 别 A级 次数 1次 退出触发条件 服务中断 范围 云平台整体 影响 因非不可抗力造成超过 10%至 30%业务系统中断、影响 人数 10 万以上、导致 100 万元以上经济损失。 影响时间 事件级 别 次数 2 小时以上 因云服务商的安全隐患原因造成的系统被恶意篡改事件， 事件发生后云服务商未按照应急预案进行处置，造成信息 30 分钟以 重大篡改事件 安全事件处置延误，且该事件被市级机构或媒体通报、市 上 级领导批示或关注的。 数据丢失 业务系统核心业务 因非不可抗力造成 1 个业务系统丢失超过 1 个月以上的数 数据 据，且确认无法恢复。 B级 —— 被第三方安全机构通报云平台存在安全隐患，云服务商未 恶意入侵攻击 业务系统 在 24 小时内做有效处置或应急防护措施，造成业务系统 被恶意篡改或敏感信息泄露事件。 —— 一年内 3 次 以上 附件 2 违约责任——重大违约行为 序号 问题描述 违约金 （取费基数：服务协议总金额/服 务月数） 1 所提供的云服务可用性低于 99.99%，或数据可用性低于 99.9999%，出现问题并造成重大损失的 100% 因未做好系统和数据互备，由于另一家云服务商服务中断，而导致系统和数据无法正常应用的，但影响未达 2 50% 到 B 级