口腔医院信息安全管理体系认证合同.docx

《口腔医院信息安全管理体系认证合同》

甲方（委托方）：

名称：[口腔医院名称]

法定代表人：[姓名]

地址：[详细地址]

联系电话：[电话号码]

乙方（受托方）：

名称：[认证机构名称]

法定代表人：[姓名]

地址：[详细地址]

联系电话：[电话号码]

鉴于甲方希望建立并通过信息安全管理体系认证，以提升口腔医院信息安全管理水平，乙方是经合法授权、具备专业资质的认证机构，能够为甲方提供信息安全管理体系认证服务。经双方友好协商，依据《中华人民共和国民法典》及相关法律法规的规定，就乙方为甲方提供口腔医院信息安全管理体系认证服务事宜达成如下合同：

一、服务内容

1.**认证咨询服务（可选，根据双方约定）**

（1）如果甲方需要，乙方将为甲方提供信息安全管理体系的咨询服务，包括但不限于对甲方口腔医院现有的信息安全管理状况进行评估，依据相关标准（如ISO/IEC27001等）提出改进建议，协助甲方制定信息安全管理方针、目标、策略以及管理制度等文件。

（2）乙方将对甲方的信息安全管理体系文件进行审核，确保其符合认证标准要求，并提供相关培训，培训内容涵盖信息安全管理体系的理念、标准条款解读、文件编写要求、内部审核技巧等方面，以帮助甲方相关人员理解和掌握信息安全管理体系的要求。

2.**认证审核服务**

（1）乙方将按照双方约定的认证标准（如ISO/IEC27001信息安全管理体系标准）对甲方口腔医院的信息安全管理体系进行审核。审核包括第一阶段审核和第二阶段审核。

-第一阶段审核：乙方将对甲方的信息安全管理体系文件进行详细审查，初步评估甲方信息安全管理体系的运行情况，确定第二阶段审核的范围和重点，并向甲方出具第一阶段审核报告。

-第二阶段审核：在第一阶段审核的基础上，乙方将对甲方信息安全管理体系的实际运行效果进行全面审核，包括对医院的信息安全政策执行情况、风险管理措施、信息资产保护、人员安全意识、业务连续性管理等方面进行审查。乙方将通过现场检查、文件审查、人员访谈等方式收集审核证据，以确定甲方的信息安全管理体系是否符合认证标准要求。

（2）在完成第二阶段审核后，乙方将根据审核结果在[X]个工作日内向甲方出具正式的审核报告。如果甲方的信息安全管理体系符合认证标准要求，乙方将向甲方颁发信息安全管理体系认证证书；如果不符合要求，乙方将在审核报告中明确指出不符合项，并提出整改建议。

3.**监督审核服务**

（1）在认证证书有效期内，乙方将按照相关规定对甲方的信息安全管理体系进行定期监督审核。监督审核的周期为每[X]个月/年进行一次（具体周期根据认证标准和双方约定确定）。

（2）监督审核将重点检查甲方信息安全管理体系的持续有效性、合规性以及是否保持了认证时的水平。乙方将根据监督审核结果决定是否继续保持甲方的认证资格，如果发现严重不符合项，乙方有权暂停或撤销甲方的认证证书。

4.**再认证服务（在认证证书到期时）**

（1）在甲方的信息安全管理体系认证证书即将到期前，乙方将为甲方提供再认证服务。再认证服务的流程与初次认证审核类似，包括对甲方信息安全管理体系的重新评估和审核。

（2）如果甲方的信息安全管理体系在再认证审核中仍然符合认证标准要求，乙方将为甲方重新颁发信息安全管理体系认证证书；如果不符合要求，乙方将按照相关规定处理。

二、服务期限

1.本合同的服务期限自[开始日期]起至[结束日期]止。其中，初次认证审核服务应在合同签订后的[X]个工作日内启动，并在[X]个月内完成（具体时间可根据实际情况协商确定）；监督审核服务将在认证证书有效期内按照约定的周期进行；再认证服务将在认证证书到期前[X]个月启动。

三、服务费用及支付方式

1.**服务费用**

甲方应向乙方支付的信息安全管理体系认证服务费用总计为人民币[X]元（大写：[大写金额]）。此费用包括但不限于认证审核费用、证书制作费用、咨询服务费用（如果包含）、监督审核费用以及再认证服务费用（按照本合同约定的服务期限内预计的监督审核次数和再认证次数计算）等。

2.**支付方式**

（1）预付款：甲方在本合同签订后的[X]个工作日内，向乙方支付服务费用的[X]%作为预付款，即人民币[X]元（大写：[大写金额]）。

（2）初次认证审核通过后付款：在乙方完成初次认证审核并向甲方颁发信息安全管理体系认证证书后的[X]个工作日内，甲方支付服务费用的[X]%，即人民币[X]元（大写：[X]金额）。

（3）监督审核费用支付：每次监督审核完成后的[X]个工作日内，甲方按照每次监督审核费用为服务费用的[X]%的标准向乙方支付监督审核费用，即每次支付人民币[X]元（大写：[大写金额]）。

（4）再认证费用支付：在乙方完成再认证审核并向甲方重新颁发信息安全管理体系认证证书后的[X]个