工业互联网安全评估协议

工业互联网安全评估协议甲方（委托方）：[甲方全称]地址：[甲方地址]统一社会信用代码：[甲方统一社会信用代码]乙方（评估方）：[乙方全称]地址：[乙方地址]统一社会信用代码：[乙方统一社会信用代码]鉴于甲方拥有或运营工业互联网系统，并希望聘请乙方对所述系统进行安全评估；乙方具备相应的专业资质和技术能力，愿意承接甲方的委托，双方根据《中华人民共和国民法典》及相关法律法规的规定，本着平等自愿、协商一致的原则，达成如下协议：第一条定义与解释除非本协议上下文另有明确约定，下列词语具有以下含义：（一）工业互联网系统：指由甲方拥有或运营，包含工业控制系统、网络基础设施、数据处理平台及应用软件等要素，用于支撑生产、经营、管理活动的信息与物理系统结合的集成化体系。（二）关键信息基础设施：指在工业互联网系统中，对工业生产、经济运行、社会秩序和公众利益具有重大影响的网络、服务器、存储设备、工业控制设备等。（三）网络攻击：指通过非法手段对工业互联网系统进行侵入、干扰、破坏、窃取信息等行为。（四）安全漏洞：指工业互联网系统中存在的、可被网络攻击利用的缺陷或弱点。（五）风险评估：指识别工业互联网系统安全风险，分析风险发生的可能性和影响程度，并确定风险等级的过程。（六）服务水平：指乙方按照本协议约定，完成工业互联网安全评估工作的质量、效率和效果标准。（七）保密信息：指一方（披露方）以口头、书面、电子或其他形式向另一方（接收方）披露的，未公开且与披露方业务、技术、运营相关的，接收方知悉或应知悉的非公开信息，包括但不限于商业计划、技术方案、客户信息、财务数据、运营数据、安全漏洞信息、评估报告等。（八）知识产权：指在工业互联网安全评估工作中产生的所有专利权、商标权、著作权、商业秘密及其他任何形式的知识成果。第二条合作目的与范围（一）合作目的1.评估甲方工业互联网系统的整体安全状况，识别存在的安全风险和脆弱性。2.分析甲方工业互联网系统抵御已知及潜在网络攻击的能力。3.对照国家及行业相关安全标准与要求（包括但不限于《网络安全法》、《数据安全法》、《个人信息保护法》、等级保护相关标准、特定工业行业安全规范等），对甲方工业互联网系统的合规性进行评估。4.基于评估结果，为甲方提供具有针对性和可行性的安全改进建议，协助甲方提升工业互联网系统的整体安全防护水平。（二）评估范围本次安全评估的范围涵盖但不限于以下方面：1.网络层面：甲方工业互联网系统的网络拓扑结构，包括生产网络（如OT网络）与企业管理网络（如IT网络）的边界防护措施，网络设备（路由器、交换机、防火墙等）的配置与策略，以及连接生产网络与管理网络的接入点安全状况。2.设备层面：关键工业控制设备（如PLC、DCS、传感器、执行器、变频器等）的操作系统及应用程序的版本、配置和安全性，服务器、存储设备、终端设备等的信息安全防护措施。3.系统层面：运行在甲方工业互联网系统上的操作系统（包括工业操作系统、Linux、Windows等）、数据库（如MySQL、Oracle、SQLServer等）、中间件（如MQ、Web服务器等）及工业应用软件（如SCADA、MES、ERP、监控系统等）的安全配置、补丁更新情况及存在漏洞。4.应用层面：评估工业应用软件的功能安全性、访问控制机制、数据传输与存储加密措施、日志记录与审计功能的有效性。5.数据层面：评估工业生产数据、工艺参数、设备状态数据、供应链数据等关键数据的敏感性，以及相应的数据安全保护措施（如访问控制、加密、脱敏、备份恢复等）。6.身份与访问管理：评估用户账号管理、权限分配、身份认证机制（如多因素认证）的健全性。7.安全运维与应急响应：评估甲方日常安全监控、漏洞管理、安全事件应急处置的能力和流程。8.物理环境：对存放关键网络设备、服务器、工业控制核心设备的机房或控制室的物理访问控制、环境监控等安全措施的评估（根据甲方需要和实际情况确定）。具体评估范围内的资产清单、系统配置信息及相关文档，由甲乙双方在评估准备阶段进一步确认。第三条双方权利与义务（一）甲方的权利与义务1.有权要求乙方按照本协议约定的目的、范围、方法和标准，在约定的期限内完成工业互联网安全评估工作。2.有权要求乙方提供评估过程中涉及的技术问题咨询和解释说明。3.有权获得乙方提交的符合约定的正式安全评估报告。4.有权要求乙方及其参与评估项目的工作人员对在合作过程中获知的甲方的保密信息承担保密义务。5.有权根据乙方提交的评估计划，对乙方的工作安排提出合理建议。6.应向乙方提供履行本协议所需的、真实、准确、完整的工业互联网系统信息、配置文档、架构图、操作手册等必要资料。7.应及时向乙方提供或授权乙方获取评估所需的网络访问权限、设备访问权限、系统账号权限（包括必要的测试权限），并确保所提供的账号和权限符合评估工作的需要。8.应指定一名或多名项目联系人，负责与乙方就评估事宜进行沟通、协调，并确保乙方评估团队成员能够顺利开展现场或远程工作。9.应保证乙方及其工作人员在评估过程中能够进入必要的办公或工作区域，并提供必要的工作条件（如网络连接、电源等）。10.应按照本协议第五条的约定，按时足额支付评估服务费用。11.应确保其提供的所有信息、资料的真实性、准确性和完整性，并对其因提供虚假或不完整信息而导致乙方或第三方遭受的损失承担赔偿责任。12.应遵守国家及地方有关网络安全、数据保护、个人信息保护的法律、法规和标准，确保评估活动本身不违反相关法律法规。13.应在评估期间及评估完成后，按照本协议第八条的约定，对乙方在评估过程中获悉的甲方保密信息承担保密义务。（二）乙方的权利与义务1.有权要求甲方按照本协议第二条约定的范围和第三条约定的义务，提供必要的信息、资源和配合，以顺利完成评估工作。2.有权按照本协议第四条的约定，制定详细的评估计划，并提交甲方确认后执行。3.应组建具备相应国家相关资质（如等级保护测评资质、安全评估资质等）和丰富工业互联网安全评估经验的专业评估团队执行评估工作。4.应在评估开始前，向甲方提交详细的评估计划，内容包括评估方法、具体步骤、涉及人员、时间安排、所需资源等，经甲方确认后按计划执行。5.应采用合法、合规、科学、严谨的评估方法和技术手段（如但不限于访谈、文档查阅、配置核查、漏洞扫描、渗透测试、安全基线检查、风险分析等）对甲方工业互联网系统进行评估。6.在评估过程中，应确保评估活动不会对甲方的工业互联网系统稳定运行、业务连续性造成非预期的负面影响。如需进行可能产生风险的测试（如模拟攻击），必须事先与甲方进行充分沟通，获得甲方书面同意，并采取严格的风险控制措施。7.应基于客观事实，对评估中发现的安全问题、存在的风险进行深入分析，并依据相关标准提出具有针对性、可操作性的安全改进建议。8.应在评估工作完成后[]个工作日内，向甲方提交正式的《工业互联网安全评估报告》。报告内容应包括但不限于评估背景、评估范围、评估方法、评估过程、发现的主要安全问题与风险、风险评估结果、安全建议措施等。9.应对在评估过程中获知的甲方的保密信息承担保密义务，未经甲方书面同意，不得向任何第三方披露、泄露或用于本协议约定目的之外的其他用途。保密义务在本协议终止后[]年内持续有效。10.应指定项目负责人作为与甲方的主要联系人，负责评估工作的日常沟通、协调，并解答甲方提出的问题。11.应配合甲方对评估报告内容进行必要的解释说明。12.应遵守国家及地方有关网络安全、数据保护、个人信息保护的法律、法规和标准，以及工业互联网行业的最佳实践，确保评估过程的专业性和合规性。13.应在评估期间及评估完成后，按照本协议第八条的约定，对乙方在评估过程中获悉的甲方保密信息承担保密义务。第四条评估方法与过程（一）评估阶段1.准备阶段：双方就协议细节进行确认，乙方组建团队，制定详细评估计划，甲方提供必要信息和资源。2.信息收集与分析阶段：乙方通过访谈、文档查阅、技术检测等方式，全面了解甲方工业互联网系统现状，收集相关信息并进行分析。3.现场评估/远程评估阶段：乙方依据评估计划，在甲方指定地点或通过远程方式，对网络、设备、系统、应用等进行安全测试和评估。4.报告撰写阶段：乙方根据评估结果，撰写《工业互联网安全评估报告》，并与甲方进行沟通确认。（二）评估方法乙方将综合运用访谈、文档审查、配置核查、资产识别、漏洞扫描、渗透测试、风险分析等方法进行评估。（三）沟通机制乙方应在评估过程中与甲方保持定期沟通，及时汇报进展，讨论遇到的问题，并根据甲方意见调整工作。重要沟通事项应采用书面形式（邮件等）记录。（四）报告提交乙方应在评估工作全部完成后[]个工作日内，将《工业互联网安全评估报告》提交给甲方。报告形式为电子版和/或纸质版[]份。第五条费用与支付（一）服务费用本次工业互联网安全评估服务的总费用为人民币[]元（大写：[]），费用包含但不限于评估人员成本、技术工具使用费、差旅费（如需现场评估）、报告撰写费等。（二）支付方式甲方应按照以下方式向乙方支付服务费用：1.预付款：本协议签订后[]个工作日内，甲方向乙方支付总费用的[]%，即人民币[]元（大写：[]）。2.进度款：乙方完成评估报告初稿，并提交甲方审核后[]个工作日内，甲方向乙方支付总费用的[]%，即人民币[]元（大写：[]）。3.尾款：乙方提交最终版《工业互联网安全评估报告》，甲方审核通过并确认付款后[]个工作日内，甲方向乙方支付剩余的[]%，即人民币[]元（大写：[]）。（三）发票开具乙方应在收到甲方每次付款后[]个工作日内，向甲方开具等额、合法的增值税[普通/专用]发票。（四）税费本协议约定的服务费用为含税价格。如遇国家税收政策调整，税费承担方式将根据调整后的规定执行。第六条知识产权（一）乙方在履行本协议过程中，利用甲方提供的信息和资料，以及乙方自身的专业知识和技术，产生的所有评估结果、分析数据、评估报告、建议方案等知识产权，归乙方所有。（二）甲方在评估过程中提供的专有技术、商业秘密、数据等信息，其知识产权归甲方所有。乙方应对甲方提供的上述信息承担保密义务。（三）双方均不得侵犯对方的知识产权。任何一方未经对方书面许可，不得将对方的知识产权用于本协议约定目的之外的其他任何用途，不得向任何第三方披露或许可使用。第七条保密条款（一）甲乙双方确认，在履行本协议过程中，双方均会接触并获悉对方的保密信息。（二）双方同意，对于从对方获取的保密信息，无论以何种形式（书面、口头、电子等）披露，均应视为保密信息，并承担以下保密义务：1.仅为履行本协议之目的使用保密信息；2.采取不低于保护自身同等重要性保密信息的合理谨慎措施，防止泄露、使用或披露给任何第三方（包括关联公司，除非为履行本协议所必需）；3.仅为履行本协议之目的，允许被授权的雇员、顾问或分包商接触和使用保密信息，并确保其遵守不低于本协议约定的保密义务；4.不得向任何政府部门或监管机构主动披露保密信息，除非法律、法规或监管机构强制要求，此时应尽力提前通知对方或寻求法律建议以保护对方的保密权益。（三）本保密义务不因本协议的终止而失效，对于已披露的保密信息，双方应继续履行保密义务，保密期限为本协议终止后[]年。但若保密信息已进入公共领域或因接收方从非披露方处合法获得而不知晓其保密性，则该保密义务自动终止。（四）任何一方违反本保密条款，应向对方支付人民币[]万元（大写：[]）的违约金，若违约金不足以弥补守约方因此遭受的实际损失，违约方还应承担赔偿责任。第八条违约责任（一）若甲方未按本协议约定按时支付服务费用，每逾期一日，应按逾期支付金额的[]‰向乙方支付违约金。逾期超过[]日，乙方有权暂停评估工作或单方解除本协议，并要求甲方支付已完成工作的费用及违约金。（二）若乙方未按本协议约定的时间提交最终评估报告，每逾期一日，应按本协议约定服务总费用的[]‰向甲方支付违约金。逾期超过[]日，甲方有权单方解除本协议，并要求乙方退还已支付部分费用及违约金。（三）若任何一方违反本协议项下的保密义务，给对方造成损失的，违约方应承担赔偿责任，赔偿金额不低于违约方从对方处获得的利益，且赔偿总额不超过本协议总服务费用的[]倍。（四）若因甲方原因（如提供虚假信息、拒绝配合、未能提供必要访问权限等）导致乙方无法按时完成评估或评估结果失真，乙方不承担违约责任，但甲方应承担因此给乙方造成的额外成本和损失。（五）若因乙方原因（如评估工作严重失误、泄露甲方核心商业秘密等）给甲方造成重大损失的，甲方有权要求乙方承担赔偿责任，并可根据情况解除本协议。第九条法律适用与争议解决本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决；协商不成的，任何一方均有权将争议提交[]仲裁委员会，按照申请仲裁时该会现行有效的仲裁规则进行仲裁。仲裁裁决是终局的，对双方均有约束力。仲裁地点为[]。仲裁语言为中文。第十条协议的生效、变更与终止（一）本协议自甲乙双方法定代表人或授权代表签字并加盖公章（或合同专用章）之日起生效。（二）对本协议的任何修改或补充，均须经双方协商一致，并以书面形式作出，作为本协议不可