工业互联网安全协议（2025年）

工业互联网安全协议（2025年）工业互联网安全协议（2025年）甲方（工业企业/用户方）：________________________统一社会信用代码：________________________法定代表人：________________________地址：________________________联系方式：________________________乙方（工业互联网平台/服务提供方）：________________________统一社会信用代码：________________________法定代表人：________________________地址：________________________联系方式：________________________丙方（第三方安全服务商，如涉及）：________________________统一社会信用代码：________________________法定代表人：________________________地址：________________________联系方式：________________________甲乙丙三方（以下统称“各方”）根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《工业数据安全管理规范（试行）》等法律法规，本着平等自愿、诚实信用原则，就工业互联网系统安全合作事宜达成如下协议：###第一条协议主体与定义1.1主体界定1.1.1甲方：指利用工业互联网系统进行生产、运营、管理的实体，为工业数据的所有者及系统使用者，承担数据安全主体责任。1.1.2乙方：指提供工业互联网平台服务、技术支持、安全防护的实体，包括平台运营商、云服务商、解决方案提供商等，承担平台安全及技术服务安全保障责任。1.1.3丙方：指受甲乙双方委托，提供安全检测、评估、应急响应、漏洞修复等专项服务的专业机构，需具备国家网络安全等级保护测评机构资质或相关安全服务资质。1.2关键术语定义1.2.1工业互联网系统：指由工业控制网络（OT）、物联网（IoT）、云计算、大数据、人工智能等技术融合构成的，用于工业生产全流程数字化、网络化、智能化的综合系统，包括硬件设备、软件平台、数据资源及网络基础设施。1.2.2安全事件：指因人为攻击、技术故障、操作失误等原因，导致工业互联网系统保密性、完整性、可用性受损的事件，包括数据泄露、系统瘫痪、非法控制、篡改生产指令等。1.2.3重要数据/核心数据：指对工业生产、经济发展、公共利益有重大影响的数据，如生产工艺参数、供应链数据、核心设备图纸等，分类分级标准参照《数据安全法》《工业数据安全管理规范（试行）》执行。1.2.4等保2.0/3.0：指按照《信息安全技术网络安全等级保护基本要求》（GB/T22239）对工业互联网系统实施的安全保护等级，工业系统要求不低于三级。###第二条安全责任划分2.1甲方的安全责任2.1.1系统接入安全：确保接入工业互联网系统的终端设备（如传感器、PLC、工业PC）符合国家安全标准，预装安全防护软件，定期进行漏洞扫描（每月至少1次）和系统加固。2.1.2数据安全管理：（1）建立数据分类分级管理制度，对重要数据/核心数据进行加密存储（采用AES-256及以上加密算法）、脱敏处理，并遵循“最小权限原则”设置数据访问权限；（2）不得向乙方或第三方提供虚假数据安全信息，不得违规超范围收集、使用数据；（3）数据出境需符合《数据出境安全评估办法》要求，必要时向监管部门申报。2.1.3人员安全管理：对接触工业互联网系统的操作人员、管理人员进行安全培训（每年不少于2次），明确安全操作规程，签订保密协议。2.1.4供应链安全：对引入的第三方硬件/软件供应商进行安全审查，确保其产品符合工业安全标准，并要求其签署子协议明确安全责任。2.2乙方的安全责任2.2.1平台安全防护：（1）工业互联网平台需通过等保三级及以上认证，部署防火墙、入侵检测/防御系统（IDS/IPS）、数据防泄漏（DLP）等安全设备；（2）对平台核心组件（如数据库、API接口）实施实时监控，每年至少进行1次渗透测试，漏洞修复响应时间不超过24小时。2.2.2数据传输与存储安全：（1）数据传输采用加密协议（TLS1.3及以上），确保传输过程中数据不被窃取或篡改；（2）建立数据备份机制（本地备份+异地备份），备份数据保留期限不少于6年，重要数据实时备份。2.2.3安全事件响应：（1）建立7×24小时安全应急响应中心，接到甲方安全事件报告后，30分钟内启动响应机制，2小时内提供初步处置方案；（2）对重大安全事件（如核心数据泄露、生产系统中断超过4小时），需立即向甲方及监管部门（工信部、网信办）报告。2.2.4技术支持与协作：为甲方提供安全漏洞修复、安全策略优化、安全培训等技术支持，协助甲方完成等保测评、风险评估等合规工作。2.3丙方的安全责任（如涉及）2.3.1出具的安全检测报告、评估结论需客观真实，对检测过程中获取的甲方数据承担保密义务；2.3.2应急响应需符合甲方及乙方约定的SLA，修复漏洞时间不超过48小时（紧急漏洞不超过12小时）。###第三条数据安全与隐私保护3.1数据全生命周期管理3.1.1收集：仅收集与工业生产直接相关的必要数据，明确收集目的、范围，并通过隐私政策告知甲方数据主体（如员工、客户）。3.1.2存储：数据存储需符合《数据安全法》要求，重要数据存储于境内服务器（如需跨境存储，需通过安全评估）；采用访问控制、加密技术防止数据未授权访问。3.1.3使用：数据使用不得超出约定范围，禁止用于商业用途或向第三方提供（法律法规另有规定或甲方书面同意除外）。3.1.4销毁：数据不再使用时，采用不可逆方式（如物理销毁、低级格式化）彻底删除，留存销毁记录不少于3年。3.2个人信息保护3.2.1涉及员工、客户个人信息的，需严格遵守《个人信息保护法》，取得个人单独同意，明确处理目的和方式；3.2.2个人信息泄露时，需在72小时内向监管部门报告，并通知受影响个人。###第四条网络安全等级保护与合规4.1等保合规4.1.1甲方工业互联网系统需按照等保三级及以上标准建设，乙方平台需满足等保三级要求，并配合甲方完成测评；4.1.2等保测评费用由甲方承担（另有约定除外），乙方需提供必要的系统文档、架构图等资料。4.2其他合规要求4.2.1符合《关键信息基础设施安全保护条例》（如被认定为核心关键信息基础设施）、《工业控制系统安全防护指南》等法规；4.2.2每年至少开展1次网络安全风险评估，形成评估报告并留存备查。###第五条应急响应与事件处置5.1安全事件分级5.1.1一般事件：单点设备故障、局部数据泄露，影响范围小，如单台传感器数据异常；5.1.2较大事件：部分系统中断、重要数据泄露，影响生产效率，如产线停机2小时，影响100件产品；5.1.3重大事件：核心系统中断、核心数据泄露、生产指令被篡改，如产线停机4小时以上，核心工艺参数泄露；5.1.4特别重大事件：系统全面瘫痪、引发安全事故、数据跨境大规模泄露，如爆炸、火灾等生产安全事故，国家核心工业数据泄露。5.2响应流程5.2.1报告：甲方发现安全事件后，立即通过电话、邮件等方式通知乙方，并提供事件详情（时间、范围、影响程度）；5.2.2研判：乙方在1小时内启动研判，确定事件级别，30分钟内反馈甲方；5.2.3处置：乙方根据事件级别启动预案（如隔离受感染设备、恢复备份数据、追溯攻击来源），甲方需配合提供现场支持；5.2.4总结：事件处置完成后48小时内，乙方提交事件报告（包括原因、影响、整改措施），甲乙双方共同复盘优化。5.3责任免除因不可抗力（如地震、战争）、甲方违规操作（如未安装补丁、弱口令登录）导致的安全事件，乙方不承担赔偿责任，但需协助处置。###第六条违约责任6.1甲方违约6.1.1未履行数据安全管理义务，导致数据泄露的，需赔偿乙方因此遭受的损失（包括直接经济损失、商誉损失），并支付合同总额10%-30%的违约金；6.1.2提供虚假安全信息导致乙方无法有效防护的，乙方有权单方解除协议。6.2乙方违约6.2.1未履行平台安全防护义务，导致系统瘫痪或数据泄露的，需承担赔偿责任（包括甲方直接生产损失、第三方索赔），并支付合同总额20%-50%的违约金；6.2.2未按时响应安全事件或提供虚假报告的，甲方有权扣除相应服务费用，情节严重的解除协议。6.3丙方违约6.3.1出具虚假检测报告或泄露甲方数据的，需退还全部服务费用，赔偿甲方损失，并承担相应法律责任。###第七条保密条款7.1保密范围：协议内容、技术文档、数据信息、商业秘密等（无论是否标注“保密”）；7.2保密期限：协议有效期内及终止后5年；7.3例外情形：法律法规要求披露、已公开信息、非因违约方原因导致公开的信息。###第八条协议生效、变更与终止8.1生效条件：甲乙丙双方法定代表人或授权代表签字并盖章后生效；8.2变更：协议内容变更需经三方书面同意，重大变更（如安全责任调整、数据范围扩大）需重新签署；8.3终止情形：8.3.1协议到期未续签；8.3.2一方严重违约，另一方书面通知后30日内未纠正；8.3.3因不可抗力导致协议无法履行；8.3.4主体破产、解散等。8.4终止后义务：三方需返还对方信息、删除数据（法律法规另有规定除外），保密义务继续有效。###第九条争议解决与法律适用9.1争议解决：协商不成时，提交甲方所在地有管辖权的人民法院诉讼解决；9.2法律适用：本协议适用中华人民共和国法律（不包括港澳台地区法律）。第十条其他10.1本协议未尽事宜，由三方另行协商签订补充协议，补充协议与本协议具有同等法律效力；10.2本协议一式三份，甲乙丙三方各执一份，具有同等法律效力。（以下无正文）甲方（盖章）：________________________法定代表人或授权代表（签字）：________________________日期：