2025年工业信息安全评估协议

2025年工业信息安全评估协议甲方（被评估方）：[甲方全称]地址：[甲方地址]法定代表人/授权代表：[姓名]联系电话：[电话]电子邮箱：[邮箱]乙方（评估方）：[乙方全称]地址：[乙方地址]法定代表人/授权代表：[姓名]联系电话：[电话]电子邮箱：[邮箱]鉴于甲方拥有或运营工业信息系统，并希望委托乙方进行专业的工业信息安全评估，以识别风险、提升安全防护能力；乙方拥有相应的专业资质、技术能力和经验，愿意承接甲方的评估委托。双方根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规的规定，经友好协商，达成协议如下：第一条评估范围与目标1.1评估对象：甲方位于[具体地点，如工厂名称或地址]的工业信息系统，具体包括但不限于：生产网络区域、办公网络区域、服务器[列出IP或名称]、数据库[列出类型或名称]、应用程序[列出名称，如SCADA系统、MES系统等]、网络设备[列出类型，如防火墙、交换机等]、终端设备[列出类型，如工控机、操作员站等]以及相关的安全管理制度和流程。1.2评估内容：本次评估将覆盖网络架构与边界安全、设备安全（包括硬件和固件）、应用程序安全、数据安全（传输、存储、备份策略与措施）、访问控制与身份认证机制、安全运维与监控体系、应急响应能力与预案、以及与国家及行业相关安全标准（如等级保护2.0工业控制系统相关要求、国标GB/T22239-2019等）的符合性。1.3评估目标：通过本次评估，识别甲方工业信息系统中存在的安全风险和薄弱环节，验证现有安全措施的有效性，评估满足相关法律法规及标准要求的程度，并为甲方提供具有针对性和可操作性的安全改进建议，从而提升整体安全防护水平，保障生产运营安全。第二条评估方法与流程2.1评估依据：本次评估将主要依据国家及行业相关法律法规、标准规范，包括但不限于《网络安全法》、《数据安全法》、《个人信息保护法》、《网络安全等级保护管理办法》及实施细则、工业控制系统信息安全相关标准（如GB/T30976.1-2014等）、ISO/IEC27001信息安全管理体系标准以及双方约定的具体评估方法论。2.2评估阶段：本次评估主要包括以下阶段：(1)准备阶段：双方确认协议条款，乙方组建评估团队并制定详细评估计划，甲方提供必要的信息清单和配合要求。(2)信息收集与资产识别：乙方在甲方网络环境下，通过访谈、文档查阅、技术探测等方式，收集被评估对象的相关信息，识别关键信息资产。(3)风险分析与漏洞扫描：乙方运用专业的扫描工具和手动测试方法，对网络、主机、应用等进行漏洞扫描和风险评估，识别潜在的安全威胁和脆弱点。(4)深入评估（可选，根据约定）：在甲方授权下，对特定高风险系统或漏洞进行更深入的技术测试，模拟攻击行为以验证其可利用性。(5)访谈与文档审查：与甲方相关部门人员（如IT、生产、安全部门）进行访谈，审查安全策略、操作规程、应急预案等文档。(6)报告编写：乙方汇总评估过程和结果，分析风险等级，编写详细的评估报告。2.3评估人员：乙方指派的评估人员应具备相应的专业资质（如国家注册信息安全工程师、CISSP、CISP、GCIH等，需有工控安全评估经验），并确保其行为符合职业道德规范和法律法规要求。2.4评估时间与地点：本次评估工作预计于[起始日期]开始，至[结束日期]完成，总时长约为[天数]个工作日。评估活动主要在甲方位于[具体地点]的厂区或指定场所进行。第三条甲方的权利与义务3.1甲方的权利：(1)有权要求乙方按照协议约定及评估计划，在规定时间内完成评估工作。(2)有权在评估过程中对乙方的工作进行必要的监督，但不得干扰乙方正常的评估活动。(3)有权获得乙方提交的最终评估报告以及相关的技术资料副本。(4)有权要求乙方对在评估过程中知悉的甲方的商业秘密、技术秘密和未公开的经营信息承担保密义务。(5)对评估报告的内容和结论有疑问时，有权要求乙方进行解释、说明或补充说明。3.2甲方的义务：(1)应向乙方提供真实、准确、完整的被评估系统相关信息，包括但不限于网络拓扑图、设备清单及配置、系统版本、安全策略、相关文档等。(2)应按照协议约定和评估计划要求，为乙方提供必要的场地、设施、设备（包括必要的账号、密码、权限）和网络连通性，确保乙方能够顺利开展评估工作。(3)应指定并授权一名或多名接口人，负责与乙方就评估事宜进行日常沟通协调。(4)应确保评估活动期间，甲方的相关员工了解评估目的和范围，并按要求配合乙方的工作安排，如提供必要的信息、配合访谈等。(5)应对乙方在评估过程中接触到的所有甲方保密信息承担并履行严格的保密义务。(6)应自行承担因配合乙方评估工作而产生的直接费用，如乙方人员因公出差产生的合理交通、住宿费用（若乙方未另行收费），或因评估需要甲方临时配置、调整而产生的费用（此类费用需事先与乙方书面确认）。(7)应尽可能减少评估活动对甲方正常生产运营的影响，或提前告知可能存在的短暂中断及其原因。第四条乙方的权利与义务4.1乙方的权利：(1)有权要求甲方按照协议约定提供必要的评估环境、信息和配合。(2)有权在获得甲方明确授权和必要的安全保障措施（如物理隔离、网络隔离、操作限制等）的前提下，按照约定范围和方法对甲方指定的工业信息系统进行评估。(3)有权在协议约定的期限内提交最终评估报告。(4)有权对在评估过程中获知的甲方的商业秘密、技术秘密和未公开的经营信息承担保密义务。(5)对于在评估过程中发现可能对生产系统造成严重后果的操作，有权要求甲方先采取措施或暂停操作，并有权拒绝执行违反法律法规或可能造成不可接受风险的操作。4.2乙方的义务：(1)应按照协议约定的评估范围、内容和计划，独立、客观、公正地开展评估工作。(2)应组建具备相应资质和丰富经验的评估团队，并在评估开始前向甲方明确团队成员及其主要职责。(3)应制定详细的评估计划，并提前[具体天数]天与甲方沟通确认。(4)应在评估过程中，采取一切合理措施，尽量减少对甲方正常生产运营的影响，对于可能造成的短暂中断应提前通知甲方，并与甲方协商确定最佳执行时间。(5)应严格遵守《网络安全法》、《数据安全法》、《个人信息保护法》等相关法律法规，以及工业控制系统安全评估的相关规定，确保评估活动合法合规，不得进行任何非法侵入、干扰、破坏等行为。(6)应在评估工作完成后[具体天数]天内，向甲方提交结构清晰、内容详实、结论明确的评估报告。报告内容应包括评估依据、范围、方法、过程、发现的主要问题（包括风险等级、漏洞详情）、风险分析（结合业务影响）、以及分阶段的改进建议（短期、中期、长期）。(7)应对在评估过程中获知的甲方的保密信息承担严格的保密义务，未经甲方书面同意，不得以任何形式向任何第三方（包括关联公司非直接相关人员，除非法律法规要求或获得甲方事先书面许可）泄露、使用或允许他人使用。保密期限为本协议有效期内及协议终止后[具体年限，如三]年。(8)应积极配合甲方的疑问解答，对评估报告内容进行必要的解释说明。第五条评估报告5.1报告内容：最终评估报告应全面反映评估过程、发现的问题、分析的依据、风险等级评估、以及具有可操作性的改进建议。报告应语言清晰、逻辑严谨、数据准确。5.2报告形式与提交：最终评估报告应提供[纸质版/电子版]各一份。乙方应于[完成评估工作的日期]前，将评估报告提交至甲方指定联系人[姓名]处。5.3报告解读：乙方应在提交最终报告后[具体天数]天内，安排时间向甲方相关负责人（如CIO、安全负责人等）对评估报告的核心内容、主要发现和建议进行现场或远程的解读和讲解。第六条费用与支付6.1费用构成：本次工业信息安全评估服务的总费用为人民币[金额]元（大写：[大写金额]）。该费用包含乙方为完成本次评估工作所投入的所有成本，包括但不限于评估人员成本、差旅费、专业工具使用费、报告编写费等。6.2支付方式：甲方应按照以下方式向乙方支付评估费用：(1)预付款：本协议签订后[具体天数]日内，甲方向乙方支付总费用的[百分比]%，即人民币[金额]元（大写：[大写金额]）。(2)尾款：乙方提交最终评估报告，甲方审核确认无误后[具体天数]日内，甲方向乙方支付剩余的[百分比]%，即人民币[金额]元（大写：[大写金额]）。6.3发票：乙方应在收到甲方每期付款后[具体天数]天内，向甲方开具等额、合法的增值税[普通/专用]发票。第七条保密条款7.1保密信息：本协议所称保密信息是指一方（“披露方”）以书面、口头、电子或其他形式向另一方（“接收方”）披露的，标明为“保密”、“机密”或根据其性质应被合理理解为保密的所有技术信息、经营信息、财务信息、客户信息、供应商信息、工业信息安全评估过程中发现的问题、评估方法、报告内容、甲方网络和系统配置、安全策略等，以及披露方未公开的信息。7.2保密义务：接收方同意并对披露方承担如下保密义务：(1)接收方仅能将保密信息用于本协议约定的目的，不得以任何方式披露、泄露、使用或允许他人使用披露方的保密信息。(2)接收方应采取不低于保护自身同类保密信息的合理安全措施来保护披露方的保密信息，防止其被未经授权的人员访问、复制、修改或泄露。(3)接收方不得向任何第三方披露披露方的保密信息，但以下情况除外：a.接收方获得披露方事先书面同意；b.接收方根据法律法规或有权司法/行政机关的要求披露，但应提前通知披露方（如法律允许），并尽力协助披露方履行相应的保密义务或限制披露范围；c.接收方能够证明该信息在披露给接收方之前已为公众所知，或接收方非因违反保密义务而从无保密义务的第三方合法获得该信息。(4)本保密义务不因本协议的终止而失效，接收方对其在本协议有效期内以任何方式获取的披露方的保密信息，应继续承担保密义务，保密期限为本协议有效期内及协议终止后[具体年限，如三]年。7.3人员责任：接收方应对其员工、代理人、顾问等接触保密信息的人员进行保密培训，并确保其遵守本协议的保密义务。如因接收方员工或其代表的违约行为导致披露方泄密，接收方应承担全部责任。第八条违约责任8.1若甲方未能按照本协议约定按时支付款项，每逾期一日，应按逾期支付金额的[千分之几]向乙方支付违约金。逾期超过[具体天数]日，乙方有权暂停评估工作或单方解除协议，并要求甲方支付已完成工作的相应费用及违约金。8.2若甲方未能按照本协议约定提供必要的配合，导致乙方无法按时完成评估工作或评估结果失真，甲方应承担相应责任，并可能需要承担乙方因此产生的额外费用。若延误超过[具体天数]日，乙方有权单方解除协议，并要求甲方支付已完成工作的相应费用及违约金。8.3若乙方未能按照本协议约定按时提交合格的评估报告，每逾期一日，应按本协议总费用的[千分之几]向甲方支付违约金。逾期超过[具体天数]日，甲方有权单方解除协议，并要求乙方退还已支付的部分或全部费用（具体退还比例根据实际情况协商或按约定执行）。8.4若乙方在评估过程中违反保密义务，泄露甲方保密信息，应立即停止违约行为，并赔偿披露方因此遭受的直接经济损失（包括但不限于商业机会损失、修复成本等），违约金不低于直接经济损失的[倍数，如一倍或两倍]。8.5若乙方在评估过程中违反法律法规或本协议约定，对甲方造成损失（包括但不限于系统瘫痪、数据泄露、生产中断等），乙方应承担全部赔偿责任。8.6任何一方违反本协议约定，给对方造成损失的，还可能承担相应的精神损害赔偿等其他法律责任。第九条法律适用与争议解决9.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。9.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权向[乙方/甲方]所在地有管辖权的人民法院提起诉讼。（或：因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权将争议提交[具体仲裁委员会名称]按照其届时有效的仲裁规则进行仲裁。仲裁裁决是终局的，对双方均有约束力。）第十条不可抗力10.1若任何一方在本协议履行过程中遇到不能预见、不能避免并不能克服的客观情况，包括但不限于地震、台风、洪水、战争、罢工、政府行为、法律政策重大调整、严重的流行病疫情及其防控措施等（以下简称“不可抗力”），该方不应视为违约。10.2遭遇不可抗力的一方应在不可抗力发生后[具体天数]日内书面通知对方发生不可抗力及其影响，并提供相关证明文件。双方应根据不可抗力的影响，协商决定是否暂停履行、部分履行或终止本协议。10.3因不可抗力导致本协议任何条款无法履行或延迟履行，受影响方不承担违约责任。不可抗力消除后，受影响方应尽快恢复正常履行。第十一条协议的变更、解除与终止11.1对本协议的任何修改或补充，均需由双方协商一致，并签署书面文件方能生效。11.2除本协议另有约定外，在协议有效期内，任何一方非因不可抗力或对方违约，不得单方解除本协议。11.3出现以下情况之一，守约方有权书面通知违约方解除本协议：(1)一方严重违反本协议约定，经守约方书面催告后[具体天数]日内仍未纠正的；(2)一方进入破产、清算或解散程序的；(3)一方丧失履约能力的。11.4协议的解除不影响解除前双方已产生的权利和义务。协议解除后，双方应妥善处理善后事宜，包括保密信息的返还或销毁、已产生费用的结算等。第十二条通知12.1双方之间的所有通知、请求、要求或其他通信，均应以书面形式（包括但不限于信函、传真、