工业互联网安全测评合同

工业互联网安全测评合同本合同由以下双方于______年______月______日签订：

甲方（委托方）：[甲方全称]，法定代表人：[甲方法定代表人姓名]，注册地址：[甲方注册地址]，统一社会信用代码：[甲方统一社会信用代码]。

乙方（服务方）：[乙方全称]，法定代表人：[乙方法定代表人姓名]，注册地址：[乙方注册地址]，统一社会信用代码：[乙方统一社会信用代码]。

鉴于：

1.甲方拥有或运营着工业互联网相关系统或平台，并希望对其进行安全性测评，以识别潜在的安全风险和漏洞，保障其业务连续性和数据安全；

2.乙方具备专业的工业互联网安全测评能力和资质，能够为甲方提供全面、客观、公正的安全测评服务。

根据《中华人民共和国合同法》及相关法律法规的规定，甲乙双方经友好协商，就乙方为甲方提供工业互联网安全测评服务事宜，达成如下协议，以资共同遵守。

第一条服务内容

1.1乙方同意根据甲方的要求，对其指定的工业互联网系统或平台进行安全测评服务，包括但不限于：

(1)对系统的网络架构、安全防护措施、访问控制策略等进行安全性评估；

(2)对系统的软件代码、配置参数、业务逻辑等进行漏洞扫描和渗透测试；

(3)对系统的数据传输、存储、处理等环节进行安全性分析；

(4)对系统的应急响应机制和灾备恢复能力进行测评；

(5)对系统符合国家相关安全标准和法规的情况进行符合性评估；

(6)甲方要求的其他与工业互联网安全相关的测评服务。

1.2具体的测评范围、测评方法、测评流程等细节，由双方在附件中另行约定。

第二条服务周期

2.1乙方应在收到甲方书面确认的测评需求后[具体天数]个工作日内，完成现场勘查和初步方案设计，并向甲方提交书面报告。

2.2自甲方书面确认测评方案之日起，乙方应在[具体天数]个工作日内完成全部测评工作。

2.3如遇特殊情况导致服务周期延长，双方应友好协商，对服务周期进行相应调整。

第三条服务费用

3.1本合同项下的服务费用总额为人民币[具体金额]元（大写：[大写金额]）。

3.2甲方应在签订本合同后[具体天数]个工作日内，向乙方支付服务费用总额的[百分比]%，即人民币[具体金额]元（大写：[大写金额]），作为预付款。

3.3乙方在完成全部测评工作并提交最终测评报告后[具体天数]个工作日内，向甲方提交完整的服务费用结算清单，甲方应在收到清单后[具体天数]个工作日内，根据清单核对并支付剩余的服务费用。

3.4如甲方对乙方的服务费用结算清单有异议，应在收到清单后[具体天数]个工作日内，以书面形式向乙方提出，双方应友好协商解决。如双方无法达成一致，可申请第三方机构进行仲裁。

第四条双方权利与义务

4.1甲方的权利与义务：

(1)有权要求乙方按照合同约定提供服务，并对服务质量进行监督；

(2)有权要求乙方对测评过程中发现的安全问题提供整改建议；

(3)应向乙方提供与测评相关的必要资料和信息，并保证资料和信息的真实性和完整性；

(4)应配合乙方开展现场勘查、测评测试等工作，并提供必要的工作条件；

(5)应按照合同约定及时支付服务费用。

4.2乙方的权利与义务：

(1)有权要求甲方提供与测评相关的必要资料和信息；

(2)应按照合同约定，在规定的时间内完成测评工作，并提交符合要求的测评报告；

(3)应保证测评工作的独立性和客观性，测评结果应真实、准确；

(4)应对测评过程中获取的甲方信息严格保密，未经甲方同意，不得向任何第三方泄露；

(5)应对测评过程中发现的安全问题及时向甲方报告，并提供可行的整改建议；

(6)应按照合同约定收取服务费用。

第五条测评报告

5.1乙方应在完成全部测评工作后[具体天数]个工作日内，向甲方提交最终的安全测评报告。

5.2测评报告应包括但不限于以下内容：

(1)测评背景、目的和范围；

(2)测评方法和流程；

(3)测评结果，包括发现的安全问题、风险评估、漏洞等级等；

(4)整改建议，包括问题的严重程度、整改措施、优先级等；

(5)其他双方认为需要包含的内容。

第六条保密条款

6.1甲乙双方应对在本合同履行过程中知悉的对方的商业秘密、技术秘密以及其他未公开信息（以下简称“保密信息”）承担保密义务。

6.2未经对方书面同意，任何一方不得向任何第三方泄露保密信息，但法律法规另有规定的除外。

6.3本保密义务在本合同终止后[具体年限]年内仍然有效。

第七条违约责任

7.1甲方未按照合同约定支付服务费用的，每逾期一日，应向乙方支付应付未付服务费用总额的[百分比]%作为违约金，但累计违约金不超过服务费用总额的[百分比]%。

7.2乙方未按照合同约定提供服务，或提供的服务不符合质量要求的，应向甲方支付服务费用总额的[百分比]%作为违约金，并应根据甲方的要求，采取补救措施直至达到合同要求。如甲方要求解除合同的，乙方还应退还甲方已支付的服务费用，并支付服务费用总额的[百分比]%作为违约金。

7.3任何一方违反保密义务，给对方造成损失的，应承担赔偿责任。

第八条争议解决

8.1本合同的签订、履行、解释及争议解决均适用中华人民共和国法律。

8.2因本合同引起的或与本合同有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权向[具体仲裁委员会名称]申请仲裁，或向[具体法院名称]提起诉讼。

第九条合同的生效、变更和解除

9.1本合同自双方签字盖章之日起生效。

9.2本合同的任何变更或解除，均须由双方协商一致，并签订书面协议。

9.3本合同解除后，双方应妥善处理善后事宜，包括资料的返还、保密信息的保护等。

第十条其他

10.1本合同附件是本合同不可分割的组成部分，与本合同具有同等法律效力。

10.2本合同一式[具体份数]份，甲方执[具体份数]份，乙方执[具体份数]份，具有同等法律效力。

甲方（盖章）：____________________

法定代表人（签字）：____________________

日期：______年______月______日

乙方（盖章）：____________________

法定代表人（签字）：____________________

日期：______年______月______日

**一、附件列表**

该合同可能需要以下附件来进一步明确服务内容和责任：

1.**附件一：测评范围及对象详细清单**

*详细列出需要测评的工业互联网系统、平台、设备、网络架构等的具体信息。

2.**附件二：测评方法及流程**

*详细说明乙方将采用的具体测评方法，例如漏洞扫描工具、渗透测试技术、代码审计方法等，以及详细的测评流程和时间安排。

3.**附件三：测评报告模板**

*提前确定测评报告的具体格式和内容，包括需要包含的章节、数据指标、图表等。

4.**附件四：保密信息清单**

*明确界定双方在本合同履行过程中需要承担保密义务的信息范围。

5.**附件五：验收标准**

*明确乙方提供的服务需要达到的具体验收标准，例如漏洞修复率、安全防护等级等。

6.**附件六：费用明细及支付方式**

*详细列出服务费用的构成，以及具体的支付方式和时间节点。

7.**附件七：双方认为需要约定的其他事项**

**二、违约行为及认定**

**违约行为：**

1.**甲方违约行为：**

***未按时支付服务费用：**任何未按照合同约定时间支付服务费用的行为，包括预付款和尾款。

***未提供必要的资料和信息：**未能按照合同约定向乙方提供开展测评工作所需的资料和信息，或提供的资料和信息不真实、不完整，影响测评工作的顺利进行。

***未配合乙方开展工作：**未能按照合同约定配合乙方开展现场勘查、测评测试等工作，或拒绝提供必要的工作条件。

***违反保密义务：**泄露或试图泄露在合同履行过程中知悉的乙方的保密信息。

2.**乙方违约行为：**

***未按时完成测评工作：**未能按照合同约定的时间完成全部测评工作，并提交测评报告。

***提供的服务不符合质量要求：**测评结果不准确、不客观，或测评报告不符合合同约定的格式和内容要求。

***违反保密义务：**泄露或试图泄露在合同履行过程中知悉的甲方的保密信息。

***将测评工作转包给第三方：**未经过甲方书面同意，将部分或全部测评工作转包给其他第三方机构。

**违约行为认定：**

***根据合同条款：**合同中明确规定了双方的权利和义务，以及相应的违约责任。任何一方违反合同条款，均构成违约行为。

***根据实际情况：**根据实际情况判断违约行为的严重程度，例如违约行为是否导致甲方重大损失、是否严重影响合同的履行等。

***根据相关法律法规：**参考相关法律法规，例如《中华人民共和国合同法》等，对违约行为进行认定。

**三、法律名词解释**

1.**委托方（甲方）：**指委托乙方提供服务的一方，在本合同中为拥有或运营工业互联网系统或平台的单位。

2.**服务方（乙方）：**指接受甲方委托，为其提供工业互联网安全测评服务的单位。

3.**工业互联网系统或平台：**指由传感器、控制器、执行器、应用软件、数据分析平台等组成的，用于工业生产、运营、管理的网络化、智能化系统或平台。

4.**安全测评：**指对工业互联网系统或平台的安全性进行评估，包括识别潜在的安全风险和漏洞，评估安全防护措施的有效性等。

5.**漏洞扫描：**指使用专门的工具对系统或网络进行扫描，以发现其中的安全漏洞。

6.**渗透测试：**指模拟黑客攻击的方式，对系统或网络进行测试，以评估其安全性。

7.**代码审计：**指对系统或应用的源代码进行审查，以发现其中的安全漏洞和缺陷。

8.**商业秘密：**指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。

9.**技术秘密：**指不为公众所知悉、具有实用性并经权利人采取保密措施的技术信息。

10.**仲裁：**指由仲裁机构对当事人提交的争议进行审理和裁决的一种方式。

11.**诉讼：**指由人民法院对当事人提交的争议进行审理和判决的一种方式。

**四、实际执行过程中可能遇到的问题及解决办法**

**可能遇到的问题：**

1.**测评范围不明确：**甲方对需要测评的范围和对象描述不清，导致乙方难以开展工作。

***解决办法：**在合同签订前，双方应充分沟通，明确测评范围和对象，并形成书面文件作为附件。

2.**测评工作量不匹配：**乙方低估了测评工作量，导致无法按时完成工作。

***解决办法：**乙方在进行报价和承诺服务周期时，应充分考虑各种因素，并留有一定的余地。

3.**甲方配合度不高：**甲方未能及时提供必要的资料和信息，或拒绝配合乙方开展工作。

***解决办法：**在合同中明确约定甲方的配合义务，并建立有效的沟通机制。

4.**测评结果存在争议：**甲方对乙方的测评结果存在异议，双方无法达成一致。

***解决办法：**建立合理的争议解决机制，例如引入第三方机构进行评估或仲裁。

5.**保密信息泄露风险：**在测评过程中，甲乙双方都面临着保密信息泄露的风险。

***解决办法：**在合同中明确约定保密义务，并采取必要的技术和管理措施，例如签订保密协议、使用加密传输等。

6.**费用争议：**甲方对乙方的费用收取有异议，双方无法达成一致。

***解决办法：**在合同中明确约定费用标准和支付方式，并建立合理的费用审核机制。

**五、适用场景**

本合同适用于以下场景：

1.**工业企业：**工业企业对其拥有的工业互联网系统或平台进行安全测评，以保障生产安全和数据安全。

2.**互联网企业：**互联网企业对其提供的工业互联网平台或服务进行安全测评，以提升服务质量和安全性。

3.**政府机构：**政府机构对其管理的工业互联网系统或平台进行安全测评，以保障公共安全和国家利益。

4.**科研机构：**科研机构对其研发的工业互联网系统或平台进行安全测评，以验证其安全性和可靠性。

5.**任何需要对工业互联网系统或平台进行安全测评的单位或个人。**

**总结：**

本合同模板为工业互联网安全测评合同提供了一个基本的框架，但在实际应用中，需要根据具体情况进行调整和完善。双方应充分沟通，明确各自的权利和义务，并采取有效措施，确保合同的有效履行。同时，双方应加强合作，共同维护工业互联网的安全和稳定。

**一、特殊应用场合及应增加的条款**

1.**场合一：国家级/省级工业互联网安全应急响应中心委托测评**

***说明：**中心可能需要对全国或区域内的典型工业互联网系统进行抽样或全面的安全测评，目的是掌握安全态势、发现共性风险、制定防护策略。此类委托通常具有公益性质或指导性质，可能涉及更多系统，且对测评的广度和深度有特殊要求。

***应增加条款：**

***第X条：测评对象范围与代表性**

***内容：**明确规定测评对象的选择标准（例如，按行业、按地区、按系统类型、按重要性等），并要求乙方保证所选样本的代表性，能够反映目标群体普遍存在的安全问题。同时，明确甲方（中心）是否有权根据整体安全态势调整部分测评对象。

***第Y条：测评结果的汇总与分析义务**

***内容：**要求乙方不仅提交单个系统的测评报告，还需在规定时间内提交一份汇总分析报告，内容包括：典型漏洞分布、共性安全风险、行业/区域安全态势分析、趋势预测、针对性防护建议等。此报告应服务于甲方制定宏观安全策略。

***第Z条：成果共享与知识产权**

***内容：**明确乙方提交的测评报告（尤其是汇总分析报告）的部分或全部内容，经甲方书面同意后，可用于行业通报、安全培训、政策制定等非商业用途，乙方应予以配合。同时，明确由此产生的相关知识产权归属或共享方式。

2.**场合二：大型工业集团对其下属多家子公司或工厂的工业互联网系统进行统一测评**

***说明：**集团希望对其分散在不同地点、不同子公司的工业互联网系统进行统一的安全评估，以实现集团层面的安全管控和标准化。

***应增加条款：**

***第A条：跨子公司的授权与协调**

***内容：**明确甲方（集团）授予乙方进入其各子公司相关工业互联网系统进行测评的必要授权，并要求各子公司配合乙方工作。约定甲方（集团）在必要时，有权协调各子公司与乙方之间的沟通与协作。

***第B条：测评结果的汇总与标准统一**

***内容：**要求乙方提交集团层面的测评总体报告，以及各子公司的详细测评报告。若集团已制定安全标准或规范，要求乙方的测评结果需参照这些标准进行评估和评级。

***第C条：后续跟踪与复查机制**

***内容：**对于测评中发现的安全问题，约定一个由集团统一协调，各子公司负责整改的机制。乙方可能需要根据集团要求，对整改情况进行跟踪复查，并提交复查报告。

3.**场合三：工业互联网操作系统（OS）或核心平台供应商对其产品进行安全测评（面向其客户）**

***说明：**供应商希望对其提供的操作系统或核心平台进行独立的安全测评，以证明其产品的安全性，增强客户信心。测评对象是其已部署在客户环境中的产品。

***应增加条款：**

***第D条：测评的独立性与客观性保障**

***内容：**明确乙方（测评机构）的独立第三方地位，确保测评过程和结果不受供应商产品开发和销售部门的影响。约定供应商不得干预乙方的测评活动，并对测评结果的客观性负责。

***第E条：测评结果的应用与宣传**

***内容：**明确测评结果（尤其是无重大漏洞的结论）可用于供应商的产品宣传材料，但需事先获得乙方的书面同意，并注明乙方为测评机构。若测评结果不理想，约定供应商需向客户提供明确的改进建议。

***第F条：补丁与更新责任界定**

***内容：**对于测评中发现的漏洞，明确是供应商产品本身的问题还是客户配置问题。如果是供应商产品问题，约定供应商的补丁发布周期和责任；如果是客户配置问题，则由客户负责整改。

4.**场合四：涉及关键信息基础设施（CII）的工业互联网系统测评**

***说明：**测评对象是关系国计民生的重要工业控制系统或网络，具有高风险性，需要遵循国家特定的安全规范和监管要求。

***应增加条款：**

***第G条：遵守特定安全规范**

***内容：**明确乙方必须严格遵守国家关于关键信息基础设施安全保护的相关法律法规、技术标准和规范（例如《关键信息基础设施安全保护条例》、等级保护2.0要求等），测评过程和结果需符合这些要求。

***第H条：信息安全与保密等级**

***内容：**由于涉及国家重要信息，对信息安全和保密的要求应提升至最高级别。增加更严格的保密条款，明确乙方及其参与人员的法律责任。可能需要签署更高级别的保密协议。

***第I条：报告提交与备案**

***内容：**约定除向甲方提交测评报告外，乙方还需根据国家相关规定，将测评报告的副本提交给相关行业主管部门或安全监管部门备案。

5.**场合五：工业互联网系统安全测评作为项目验收的一部分**

***说明：**工业互联网系统建设或改造完成后，安全测评是其通过最终验收的必要条件之一。测评结果直接关系到项目的成败。

***应增加条款：**

***第J条：测评结果与项目验收挂钩**

***内容：**明确本合同项下的安全测评结果是甲方最终项目验收的重要依据。乙方需在约定时间内提交满足甲方验收标准的测评报告。若测评结果不合格，导致项目无法通过验收，约定相应的处理方式（例如乙方承担整改责任、赔偿部分损失等）。

***第K条：验收标准的具体化**

***内容：**在附件中详细列明通过验收所需的最低安全标准，例如必须修复的漏洞数量、安全配置符合率、渗透测试未发现高危漏洞等具体量化指标。

**二、第三方介入时的款项（责权利）及具体内容（需增加附件）**

若合同履行过程中引入第三方（例如，提供特定工具、数据源、环境，或参与部分测评环节），应在附件中明确其责权利：

***附件名称：第三方参与说明及责权利约定**

***1.第三方基本信息：**

***内容：**第三方全称、法定代表人、注册地址、统一社会信用代码、联系人、联系方式。

***说明：**清晰识别第三方主体。

***2.参与事项：**

***内容：**详细描述第三方在本合同项下具体参与的工作内容、范围、时间节点。例如：提供XX安全测试工具、提供XX生产环境数据用于非敏感安全分析、协助进行XX系统的模拟攻击测试等。

***说明：**明确第三方的工作职责，避免混淆。

***3.第三方费用：**

***内容：**

***费用承担方：**明确由甲方承担、乙方承担还是双方按比例分摊。

***费用金额/标准：**明确具体的费用金额，或计算费用的标准（例如按使用时长、按数据量、按服务次数）。

***支付方式与时间：**明确支付流程、账户信息和支付时间。

***说明：**解决第三方费用支付问题，避免纠纷。

***4.第三方权利：**

***内容：**明确第三方在参与过程中的权利，例如获取必要的工作数据、使用乙方提供的测评环境、对测评过程进行观察（若允许）等。

***说明：**保障第三方依法依约行使权利。

***5.第三方义务：**

***内容：**

***保密义务：**同甲乙双方，对在合作中知悉的甲乙双方的保密信息承担同等保密责任。

***工作质量与合规：**保证其提供的产品、服务或数据符合约定标准，并遵守相关法律法规。

***配合义务：**配合甲方和乙方完成相关工作。

***责任限制：**通常约定第三方仅对其直接提供的产品或服务负责，不对甲乙双方的整体合同履行承担连带责任（除非有明确约定）。

***说明：**约束第三方行为，明确其责任边界。

***6.双方与第三方关系：**

***内容：**明确甲乙双方与第三方是平等合作还是委托代理关系（通常为平等合作）。明确第三方是否需要同时与甲乙双方签订协议。

***说明：**澄清各方关系，避免法律风险。

**三、甲方为主导时需要额外增加的甲方主动性（责权利）合同条款及具体内容（需增加条款）**

当甲方在合同中处于更主动的驱动地位时，可以增加以下条款：

***第L条：甲方主导测评方向与重点的权利**

***具体内容：**甲方有权根据自身业务需求和关注点，在合同约定的框架内，明确指示乙方优先测评特定的系统模块、功能或潜在风险点。乙方应在不违反合同总体目的和公平性的前提下，配合甲方的指示调整测评计划，并可能需要额外投入少量资源（具体标准可在附件约定），但由此产生的额外费用（如有）由甲方承担。

***说明：**保障甲方根据自身情况调整测评焦点的需求。

***第M条：测评过程中临时增项的管理**

***具体内容：**若甲方在测评过程中根据实际需要，临时提出新的测评需求或扩大测评范围，经与乙方协商一致，可签订补充协议。该补充协议应明确新增工作的内容、时间、费用，并纳入合同总费用。若协商不成，甲方有权拒绝新增需求。

***说明：**为甲方保留根据变化调整测评内容并控制成本的权利。

***第N条：测评数据的优先使用权（用于甲方内部分析）**

***具体内容：**在乙方提交最终报告后，约定在[具体年限，例如：测评完成后的1年内]，甲方对乙方在测评过程中收集到的、与测评目的直接相关的、非涉密的技术性数据（例如：扫描日志、测试脚本、初步分析数据等）拥有优先使用权，主要用于甲方内部的安全分析、趋势研究或后续整改验证，但不得用于对外发布或提供给第三方用于商业目的，且需承担相应的保密责任。

***说明：**满足甲方希望利用乙方前期工作成果进行内部深度的需求。

**四、乙方为主导时需要额外增加的乙方主动性（责权利）合同条款及具体内容（需增加条款）**

当乙方在技术方案、测评方法等方面拥有更强主导权时，可以增加以下条款：

***第O条：乙方测评方法的自主选择权与优化**

***具体内容：**乙方在遵循国家相关标准规范和合同总体要求的前提下，有权根据其专业判断和经验，自主选择最适宜的测评工具、技术和方法。乙方应持续优化其测评方法论，以提升测评效率和效果。甲方对乙方选用的主流测评方法有异议时，应提供具体依据，双方友好协商；若协商不成，可引入第三方专家进行评估。

***说明：**保障乙方发挥专业优势，采用最佳实践，但也保留了甲方的监督权。

***第P条：测评过程中发现重大风险的即时通报与处置建议**

***具体内容：**约定乙方在测评过程中，一旦发现可能导致系统瘫痪、数据泄露、重大经济损失或严重违反法律法规的重大安全风险，应在[具体时限，例如：4小时内]立即以书面或加密通讯方式向甲方指定负责人通报，并随附初步的应急处置建议。甲方应在收到通报后及时响应。

***说明：**强调乙方在应急响应方面的主动性和责任感，最大限度减少风险损失。

***第Q条：使用乙方自有测评工具或平台的权利**

***具体内容：**若乙方拥有自主研发且符合合同要求的测评工具或平台，且甲方同意，可在本合同项下测评工作中使用。使用期间产生的费用（如有，例如：平台使用费、额外维护费等）由双方根据事先约定或实际发生额协商确定。

***说明：**允许乙方利用自身优势资源，提高效率，并明确了费用归属。

**五、再特殊应用场景下需要额外增加的特殊条款及注意事项**

***场景：测评涉及海外工业互联网系统或跨境数据传输**

***特殊条款：**

***第R条：跨境数据传输合规**

***内容：**明确约定数据跨境传输的目的、范围、方式，并确保符合《网络安全法》、《数据安全法》、《个人信息保护法》及相关国家/地区的法律法规要求。可能需要获得相关方的授权或进行安全评估。

***第S条：适用法律与争议解决**

***内容：**明确约定适用哪国法律（例如，数据存储地法律、服务提供地法律），以及争议解决方式是否允许选择仲裁机构（最好选择支持跨境仲裁的机构）。

***第T条：国际标准与规范遵循**

***内容：**若测评需要，约定乙方需参考国际通行的工业互联网安全标准（如IEC62443等）。

***注意事项：**跨境数据传输涉及复杂的法律法规，需提前进行合规性评估。选择合适的争议解决机制以降低跨境诉讼成本。

***场景：测评结果将对外发布（例如，行业白皮书、安全报告）**

***特殊条款：**

***第U条：对外发布内容的审核权**

***内容：**明确所有对外发布的涉及甲方信息的内容（包括但不限于系统名称、规模、测评发现的具体案例等）必须事先获得甲方的书面同意。

***第V条：知识产权归属与使用**

***内容：**明确测评报告（尤其是对外发布版本）的知识产权归属。可能约定为乙方所有，但需向甲方免费授予非独占的使用许可；或者约定为共同所有，双方可分别使用。需明确使用范围和期限。

***第W条：数据脱敏要求**

***内容：**若对外发布，必须对涉及甲方商业秘密、核心技术或敏感数据的部分进行有效脱敏处理。

***注意事项：**对外发布需极其谨慎，保护甲方商业利益。明确知识产权归属是关键。

**六、原始合同所需要的所有的详细的附件列表**

***附件一：测评范围及对象详细清单**

***附件二：测评方法及流程**

***附件三：测评报告模板**

***附件四：保密信息清单**

***附件五：验收标准**

***附件六：费用明细及支付方式**

***附件七：双方认为需要约定的其他事项**

***（根据特殊应用场合增加的附件）**

***附件八：第三方参与说明及责权利约定**(当有第三方介入时)

***附件九：甲方主导测评方向指示清单**(当甲方为主导时，可选)

***附件十：临时增项评估标准**(当甲方为主导时，可选)

***附件十一：甲方内部数据使用授权书**(当甲方为主导时，可选)

***附件十二：乙方测评方法论说明**(当乙方为主导时，可选)

***附件十三：重大风险即时通报流程**(当乙方为主导时，可选)

***附件十四：跨境数据传输合规证明文件清单**(当涉及海外系统或跨境数据时)

***附件十五：对外发布内容审核清单**(当测评结果将对外发布时)

**七、原始合同所涉及到的法律名词及名词解释**

***委托方（甲方）：**指委托乙方提供服务的一方，在本合同中为拥有或运营工业互联网系统或平台的单位。

***服务方（乙方）：**指接受甲方委托，为其提供工业互联网安全测评服务的单位。

***工业互联网系统或平台：**指由传感器、控制器、执行器、应用软件、数据分析平台等组成的，用于工业生产、运营、管理的网络化、智能化系统或平台。

***安全测评：**指对工业互联网系统或平台的安全性进行评估，包括识别潜在的安全风险和漏洞，评估安全防护措施的有效性等。

***漏洞扫描：**指使用专门的工具对系统或网络进行扫描，以发现其中的安全漏洞。

***渗透测试：**指模拟黑客攻击的方式，对系统或网络进行测试，以评估其安全性。

***代码审计：**指对系统或应用的源代码进行审查，以发现其中的安全漏洞和缺陷。

***商业秘密：**指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。

***技术秘密：**指不为公众所知悉、具有实用性并经权利人采取保密措施的技术信息。

***仲裁：**指由仲裁机构对当事人提交的争议进行审理和裁决的一种方式。

***诉讼：**指由人民法院对当事人提交的争议进行审理和判决的一种方式。

***关键信息基础设施（CII）：**指在中华人民共和国境内运营，对国家安全、国民经济、民生、公共安全等具有重要影响的网络、大型信息系统或者工业控制系统。

***等级保护：**指对网络和信息系统按照重要程度进行安全保护等级划分，并按照相应等级要求开展安全建设和管理的制度。

***验收：**指项目完成后，由甲方依据合同约定和标准规范，对项目成果进行检查和确认，判断是否满足要求并准许交付使用的过程。

**八、本合同在实际操作过程中，会遇到的相关问题及注意事项进行罗列，并给出具体的解决办法**

***问题一：测评范围不清晰或不完整**

***注意事项：**测评范围是合同的核心，模糊的范围会导致测评工作无的放矢，时间浪费，结果不满足需求。

***解决办法：**在合同签订前，甲方应尽可能详细地描述需要测评的系统、模块、功能、数据等。双方应充分沟通，甚至进行现场勘查，共同明确测评边界和重点。将最终确认的测评范围作为附件，纳入合同。

***问题二：甲方配合不及时或不到位**

***注意事项：**安全测评往往需要访问甲方内部系统、获取敏感数据或配合进行特定操作，甲方的配合直接影响测评进度和质量。

***解决办法：**合同中应明确甲方的配合义务、配合内容、配合时限。建立有效的沟通机制，指定专人负责协调。对于因甲方原因导致测评延误或失败的，合同中应有相应责任约定。

***问题三：测评结果存在争议**

***注意事项：**安全测评具有一定的主观性，对于漏洞的认定、风险等级的划分等，甲乙双方可能存在不同看法。

***解决办法：**合同中应约定一个合理的争议解决机制，例如友好协商、引入第三方专家进行评估