工业互联网安全漏洞信息检测合同

工业互联网安全漏洞信息检测合同工业互联网安全漏洞信息检测合同甲方（委托方）：统一社会信用代码：_________________________法定代表人：_____________________职务：________地址：_________________________联系方式：________乙方（服务方）：统一社会信用代码：_________________________资质证书编号：_____________________（网络安全等级保护测评机构资质/工业互联网安全服务能力认证等）法定代表人：_____________________职务：________地址：_________________________联系方式：________鉴于1.甲方为工业企业，需对其工业互联网系统开展安全漏洞检测，以符合《网络安全法》《数据安全法》《工业互联网安全防护指南（试行）》等法规要求；2.乙方具备工业互联网安全漏洞检测的专业资质、技术能力及合规经验，可提供符合国家相关标准的检测服务；3.双方经平等协商，就甲方委托乙方开展工业互联网安全漏洞信息检测事宜达成一致，签订本合同。第一条服务内容与范围1.1检测对象（甲方确认清单见附件1）包括但不限于：-工业控制设备：PLC、DCS、SCADA服务器、现场总线（PROFINET、Modbus等）终端；-工业互联网平台：云化MES、工业APP、边缘计算网关、数据采集与监控系统；-网络架构：工业控制网络（OT层）、信息网络（IT层）、跨层交互链路；-数据传输：工业数据加密通道、远程运维链路、第三方接入接口。1.2检测方法与标准-方法：漏洞扫描（自动化工具+人工验证）、渗透测试（模拟攻击者入侵）、配置审计（设备/系统安全配置核查）、协议分析（工业控制协议漏洞排查）；-标准：GB/T20281-2022《信息安全技术网络安全漏洞管理规范》、GB/T36333-2018《工业控制系统安全防护能力评估指标体系》、《工业互联网安全检测技术要求》（工信部相关规范）。1.3检测深度-高危漏洞：100%覆盖检测对象，优先验证；-中危漏洞：抽样检测（抽样比例≥80%）；-低危/一般漏洞：全量扫描+关键设备验证。1.4交付成果乙方应在服务期限内交付《工业互联网安全漏洞检测报告》（以下简称“检测报告”），内容包括：-检测对象清单、检测过程记录；-漏洞清单（含漏洞ID、位置、风险等级、影响范围、验证方法）；-漏洞成因分析、处置建议（含临时防护、修复方案、验证步骤）；-合规性评估（是否符合等保2.0、工业互联网安全相关要求）。第二条服务期限1.启动时间：本合同生效后5个工作日内，甲方完成检测环境隔离及权限授权后，乙方启动检测；2.检测周期：自启动之日起20个工作日内完成现场检测及报告初稿编制；3.报告交付：初稿交付后，甲方3个工作日内反馈修改意见，乙方2个工作日内完成定稿交付；4.复评期限：甲方完成漏洞处置后，书面通知乙方，乙方10个工作日内完成复评并交付《漏洞处置验证报告》。第三条费用及支付3.1总费用人民币______元（大写：_____________________），含检测费、复评费、报告编制费，不含甲方配合产生的设备调试、网络隔离等成本。3.2支付方式-第一期：合同生效后5个工作日内，甲方支付总费用的30%，即______元；-第二期：检测报告定稿交付后5个工作日内，甲方支付总费用的60%，即______元；-第三期：复评报告交付后5个工作日内，甲方支付总费用的10%，即______元。3.3发票要求乙方应在每期付款前，向甲方开具对应金额的增值税专用发票（税率______%），甲方凭发票付款。第四条双方权利义务4.1甲方权利义务权利：-要求乙方按本合同约定标准、期限完成检测；-对检测报告提出修改意见，要求乙方补充验证；-要求乙方对检测过程中发现的高危漏洞立即预警。义务：-提供准确的检测对象清单、网络拓扑图、设备配置说明（见附件1）；-配合乙方完成检测环境隔离（确保测试环境与生产环境物理/逻辑隔离），提供非生产时段测试权限（不得直接操作生产设备控制端口）；-按时支付合同费用；-对检测报告及乙方提供的技术资料保密。4.2乙方权利义务权利：-要求甲方提供必要的检测配合（含权限、环境、资料）；-按约定收取服务费用；-对甲方未配合导致的检测延误，有权顺延服务期限。义务：-确保具备本合同约定的检测资质，检测人员持有相关从业资格；-检测过程中不得破坏甲方生产系统、泄露生产数据，测试结束后删除所有测试数据；-发现高危漏洞（CVSS评分≥7.0），应在24小时内书面通知甲方；中危漏洞（4.0≤CVSS评分<7.0）48小时内通知；-复评时验证甲方漏洞处置的有效性，出具明确结论；-对甲方的检测对象、数据、报告等信息严格保密。第五条漏洞处置与合规1.甲方应在收到漏洞通知后：-高危漏洞：72小时内完成临时防护（如隔离漏洞设备、限制访问权限），15个工作日内完成修复；-中危漏洞：7个工作日内启动修复，30个工作日内完成；-低危漏洞：15个工作日内启动修复，60个工作日内完成。2.若漏洞涉及国家规定的“高危通用漏洞”，甲方应按《网络安全漏洞管理办法》要求，在48小时内向属地网信部门及工业和信息化主管部门上报，乙方协助提供漏洞验证材料。第六条保密条款1.保密信息范围：甲方的网络拓扑、设备配置、生产数据、检测报告；乙方的检测技术方法、工具参数等。2.保密期限：本合同有效期内及合同终止后3年。3.禁止行为：任何一方不得向第三方泄露、复制、转让保密信息，除非法律规定或经对方书面同意。第七条违约责任1.甲方违约：-逾期支付费用：每逾期1日，按应付未付金额的万分之五支付违约金；逾期超过15日，乙方有权暂停复评服务，甲方需承担由此产生的损失。2.乙方违约：-逾期交付报告/复评：每逾期1日，按总费用的万分之五支付违约金；逾期超过15日，甲方有权解除合同，乙方退还已收费用并按总费用的20%支付违约金。-漏报/误报高危漏洞：若导致甲方发生安全事件（如生产中断、数据泄露），乙方应承担甲方直接损失的30%（以实际损失凭证为准）。-破坏生产系统/泄露数据：乙方应赔偿甲方全部损失（含生产中断损失、设备损坏、行政处罚、商誉损失等）。3.保密违约：任何一方泄露保密信息，应向对方支付50万元违约金（若实际损失超过50万元，按实际损失赔偿）。第八条争议解决因本合同产生的争议，双方应协商解决；协商不成的，提交甲方所在地有管辖权的人民法院诉讼解决。第九条其他条款1.本合同自双方签字盖章之日起生效；2.本合同附件（检测对象清单、乙方资质复印件）为本合同组成部分，与本合同具有同等法律效力；3.本合同一式两份，甲乙双方各执一份。甲方（盖章）：_____________________法定代表人/授权代表（签字）：________日期：______年____月____日乙方（盖章）：_____________________法定代表人/授权代表（签字）：________日期：______年____月____日附件1：工业互联网安全漏洞检测对象清单（甲方盖章确认后作为附件）|序号|设备/系统名称|型号/版本|所在位置