2025年工業(yè)互聯(lián)網(wǎng)安全防護(hù)協(xié)議甲方（服務(wù)提供方）：[甲方公司全稱]法定地址：[甲方公司注冊地址]聯(lián)系人：[甲方聯(lián)系人姓名]聯(lián)系方式：[甲方聯(lián)系人電話/郵箱]乙方（客戶/用戶）：[乙方公司全稱]法定地址：[乙方公司注冊地址]聯(lián)系人：[乙方聯(lián)系人姓名]聯(lián)系方式：[乙方聯(lián)系人電話/郵箱]鑒于甲方提供工業(yè)互聯(lián)網(wǎng)平臺(tái)/服務(wù)（以下簡稱“平臺(tái)”），乙方使用該平臺(tái)進(jìn)行工業(yè)生產(chǎn)經(jīng)營活動(dòng)，為明確雙方在保障平臺(tái)及乙方相關(guān)工業(yè)互聯(lián)網(wǎng)系統(tǒng)安全方面的權(quán)利和義務(wù)，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個(gè)人信息保護(hù)法》及相關(guān)法律法規(guī)和行業(yè)規(guī)范，經(jīng)雙方友好協(xié)商，達(dá)成如下協(xié)議：第一條協(xié)議主體與范圍1.1本協(xié)議由甲方和乙方共同簽訂。1.2甲方是提供本協(xié)議項(xiàng)下平臺(tái)及相關(guān)安全服務(wù)的經(jīng)營者，其注冊地址位于[甲方注冊地址]。1.3乙方是本協(xié)議項(xiàng)下平臺(tái)的使用者，其注冊地址位于[乙方注冊地址]。1.4本協(xié)議適用于甲方提供的平臺(tái)（包括但不限于[具體平臺(tái)名稱或描述]）及其所連接的乙方工業(yè)控制系統(tǒng)（ICS）和信息技術(shù)系統(tǒng)（IT），覆蓋范圍包括[詳細(xì)列出覆蓋的網(wǎng)絡(luò)區(qū)域、設(shè)備類型、系統(tǒng)名稱等]。1.5本協(xié)議有效期為自[起始日期]起至[終止日期]止，共計(jì)[年數(shù)]年。第二條安全責(zé)任劃分2.1甲方責(zé)任：(1)負(fù)責(zé)平臺(tái)的基礎(chǔ)安全架構(gòu)設(shè)計(jì)、建設(shè)和維護(hù)，確保平臺(tái)符合國家網(wǎng)絡(luò)安全等級保護(hù)相關(guān)要求及行業(yè)最佳實(shí)踐。(2)負(fù)責(zé)平臺(tái)自身的安全防護(hù)，包括但不限于網(wǎng)絡(luò)邊界防護(hù)、入侵檢測與防御、系統(tǒng)漏洞掃描與修復(fù)、安全日志審計(jì)等。(3)負(fù)責(zé)提供平臺(tái)的安全監(jiān)控服務(wù)，對平臺(tái)內(nèi)發(fā)生的潛在安全事件進(jìn)行實(shí)時(shí)監(jiān)測和告警。(4)建立平臺(tái)安全事件應(yīng)急響應(yīng)機(jī)制，并在發(fā)生安全事件時(shí)，根據(jù)本協(xié)議約定提供技術(shù)支持與協(xié)作。(5)定期（至少每半年一次）對平臺(tái)進(jìn)行安全評估和滲透測試，并將評估報(bào)告和測試結(jié)果書面通知乙方。(6)負(fù)責(zé)平臺(tái)安全策略的更新，并及時(shí)通知乙方。(7)對可能影響乙方生產(chǎn)安全的關(guān)鍵平臺(tái)功能或更新，應(yīng)提前與乙方溝通。(8)提供必要的安全意識培訓(xùn)材料或組織相關(guān)培訓(xùn)活動(dòng)。2.2乙方責(zé)任：(1)負(fù)責(zé)乙方接入平臺(tái)的網(wǎng)絡(luò)環(huán)境、終端設(shè)備以及本地相關(guān)工業(yè)系統(tǒng)的安全防護(hù)，確保其符合本協(xié)議約定及相關(guān)安全要求。(2)嚴(yán)格遵守甲方制定的平臺(tái)安全使用策略和操作規(guī)程。(3)負(fù)責(zé)管理乙方用戶對平臺(tái)的訪問權(quán)限，實(shí)施最小權(quán)限原則。(4)確保通過平臺(tái)傳輸和存儲(chǔ)的數(shù)據(jù)符合國家數(shù)據(jù)安全、個(gè)人信息保護(hù)及相關(guān)行業(yè)數(shù)據(jù)管理規(guī)定。(5)積極配合甲方進(jìn)行平臺(tái)安全檢查、安全評估和應(yīng)急響應(yīng)工作，及時(shí)提供必要的信息和樣品。(6)對乙方員工進(jìn)行工業(yè)互聯(lián)網(wǎng)安全意識培訓(xùn)，確保其了解并遵守相關(guān)安全要求。(7)負(fù)責(zé)乙方自有安全設(shè)備和策略的配置與管理，確保其不影響平臺(tái)正常運(yùn)行。第三條安全措施與標(biāo)準(zhǔn)3.1技術(shù)要求：(1)雙方應(yīng)共同遵守國家及行業(yè)關(guān)于工業(yè)互聯(lián)網(wǎng)安全的技術(shù)標(biāo)準(zhǔn)，如GB/T22239、GB/T36245等，并根據(jù)2025年最新的要求進(jìn)行更新。(2)甲方應(yīng)確保平臺(tái)具備網(wǎng)絡(luò)隔離能力，區(qū)分生產(chǎn)網(wǎng)絡(luò)（OT）與管理網(wǎng)絡(luò)（IT），并實(shí)施嚴(yán)格的訪問控制策略。(3)乙方應(yīng)對其接入平臺(tái)的工業(yè)設(shè)備進(jìn)行安全加固，關(guān)閉不必要的服務(wù)端口，啟用訪問控制。(4)所有通過平臺(tái)傳輸?shù)拿舾袛?shù)據(jù)或工業(yè)控制指令應(yīng)進(jìn)行加密處理。(5)雙方應(yīng)共同建立和維護(hù)安全審計(jì)日志機(jī)制，記錄關(guān)鍵操作和安全事件，日志保存期不少于[具體時(shí)長，如6個(gè)月或1年]。(6)甲方應(yīng)負(fù)責(zé)平臺(tái)漏洞的掃描和修復(fù)，修復(fù)周期應(yīng)在漏洞確認(rèn)后[具體天數(shù)，如15個(gè)工作日]內(nèi)。(7)乙方應(yīng)負(fù)責(zé)其自有系統(tǒng)的補(bǔ)丁管理，及時(shí)更新操作系統(tǒng)、應(yīng)用軟件的安全補(bǔ)丁。3.2管理要求：(1)雙方應(yīng)共同制定并定期更新工業(yè)互聯(lián)網(wǎng)安全策略，包括訪問控制策略、數(shù)據(jù)安全策略、事件響應(yīng)策略等。(2)任何對平臺(tái)或乙方相關(guān)系統(tǒng)的變更（如配置修改、設(shè)備增減）應(yīng)遵循變更管理流程。(3)建立安全事件報(bào)告機(jī)制，乙方發(fā)現(xiàn)安全事件應(yīng)及時(shí)通知甲方，甲方發(fā)現(xiàn)涉及乙方系統(tǒng)的事件應(yīng)及時(shí)通知乙方。(4)對提供給甲方的軟硬件、服務(wù)或數(shù)據(jù)，乙方應(yīng)進(jìn)行安全評估，甲方應(yīng)保證其產(chǎn)品或服務(wù)不危害乙方系統(tǒng)安全。第四條安全運(yùn)營與監(jiān)控4.1甲方應(yīng)建立覆蓋平臺(tái)關(guān)鍵節(jié)點(diǎn)的安全監(jiān)控體系，利用SIEM等工具進(jìn)行7x24小時(shí)監(jiān)控。4.2甲方應(yīng)能對網(wǎng)絡(luò)流量、系統(tǒng)日志、應(yīng)用行為等進(jìn)行關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)異常行為和安全威脅。4.3定義安全事件等級和告警閾值，明確不同等級事件的告警通知方式和響應(yīng)流程。4.4建立安全威脅信息共享機(jī)制，及時(shí)交換安全漏洞、惡意軟件、攻擊團(tuán)伙等信息。第五條應(yīng)急響應(yīng)與業(yè)務(wù)連續(xù)性5.1雙方應(yīng)共同制定工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)預(yù)案，明確事件分類、處置流程、指揮協(xié)調(diào)、資源保障等內(nèi)容。5.2定期（至少每年一次）組織應(yīng)急演練，檢驗(yàn)預(yù)案的可行性和有效性，并根據(jù)演練結(jié)果進(jìn)行修訂。5.3明確安全事件發(fā)生后的系統(tǒng)恢復(fù)目標(biāo)和時(shí)間要求。5.4建立應(yīng)急響應(yīng)協(xié)作機(jī)制，確保在事件發(fā)生時(shí)能夠快速有效地協(xié)同處置。第六條安全評估與審計(jì)6.1甲方應(yīng)定期（如每半年）對平臺(tái)及乙方接入系統(tǒng)的安全狀況進(jìn)行自我評估，并將評估報(bào)告提交乙方。6.2乙方有權(quán)對甲方的安全措施和平臺(tái)的安全性進(jìn)行監(jiān)督，并可委托第三方機(jī)構(gòu)對平臺(tái)進(jìn)行獨(dú)立的安全評估或滲透測試，費(fèi)用由[約定承擔(dān)方，如乙方承擔(dān)或雙方協(xié)商]。6.3雙方應(yīng)配合對方的或第三方的安全審計(jì)要求，提供必要的文檔、數(shù)據(jù)和環(huán)境訪問。6.4任何一方發(fā)現(xiàn)對方違反本協(xié)議安全約定或存在安全風(fēng)險(xiǎn)，應(yīng)書面通知對方，對方應(yīng)在收到通知后[具體天數(shù)，如10個(gè)工作日]內(nèi)進(jìn)行整改。第七條保密條款7.1甲乙雙方對本人在履行本協(xié)議過程中知悉的對方的商業(yè)秘密、技術(shù)信息、客戶信息、運(yùn)營數(shù)據(jù)等任何非公開信息（以下簡稱“保密信息”）負(fù)有保密義務(wù)。7.2未經(jīng)對方書面同意，任何一方不得向任何第三方泄露、使用或允許他人使用保密信息，但法律法規(guī)另有規(guī)定或監(jiān)管機(jī)構(gòu)要求的除外。7.3本保密義務(wù)不因本協(xié)議的終止而失效，持續(xù)有效期為自保密信息知悉之日起[年數(shù)，如3或5年]，或自本協(xié)議終止之日起[年數(shù)]年。7.4一方因履行本協(xié)議需要向其員工、顧問或供應(yīng)商披露保密信息的，應(yīng)要求該等人員承擔(dān)保密義務(wù)，并確保其妥善保管。第八條知識產(chǎn)權(quán)8.1本協(xié)議項(xiàng)下由甲方開發(fā)的平臺(tái)軟件、技術(shù)方案等知識產(chǎn)權(quán)歸甲方所有。8.2乙方在使用平臺(tái)過程中產(chǎn)生的定制化開發(fā)成果或數(shù)據(jù)積累，其知識產(chǎn)權(quán)歸屬由雙方另行約定[或根據(jù)實(shí)際情況明確]。8.3任何一方在使用對方提供的工具、文檔或服務(wù)時(shí)，不得侵犯第三方的知識產(chǎn)權(quán)。第九條服務(wù)級別協(xié)議（可選，如需）9.1[如甲方提供具體的安全服務(wù)，在此列明SLA條款，包括但不限于：](1)平臺(tái)可用性承諾：核心服務(wù)可用性不低于[百分比，如99.9%]。(2)安全事件平均響應(yīng)時(shí)間：[小時(shí)數(shù)]。(3)安全事件平均解決時(shí)間：[小時(shí)數(shù)或天數(shù)]。(4)漏洞修復(fù)目標(biāo)：高危漏洞在[天數(shù)]內(nèi)修復(fù)，中低危漏洞在[天數(shù)]內(nèi)修復(fù)。(5)[其他具體服務(wù)指標(biāo)]。第十條違約責(zé)任10.1任何一方違反本協(xié)議約定，應(yīng)承擔(dān)違約責(zé)任，賠償因其違約行為給對方造成的直接經(jīng)濟(jì)損失。10.2若因一方原因?qū)е缕脚_(tái)安全防護(hù)能力下降或發(fā)生安全事件，給乙方造成損失的，甲方應(yīng)承擔(dān)賠償責(zé)任，但甲方已盡到合理注意義務(wù)且事件由乙方原因或不可抗力引起除外。10.3若乙方違反平臺(tái)使用策略或安全規(guī)定，導(dǎo)致平臺(tái)被封鎖或影響他人使用，乙方應(yīng)負(fù)責(zé)恢復(fù)并承擔(dān)相應(yīng)費(fèi)用。10.4雙方應(yīng)互相配合履行本協(xié)議義務(wù)，若因一方不配合導(dǎo)致協(xié)議目的無法實(shí)現(xiàn)或安全風(fēng)險(xiǎn)未能控制，違約方應(yīng)承擔(dān)相應(yīng)責(zé)任。第十一條協(xié)議的變更、解除與終止11.1對本協(xié)議的任何修改，須經(jīng)雙方協(xié)商一致，并簽署書面補(bǔ)充協(xié)議。補(bǔ)充協(xié)議與本協(xié)議具有同等法律效力。11.2發(fā)生以下情況之一，守約方有權(quán)書面通知違約方解除本協(xié)議：(1)一方嚴(yán)重違反本協(xié)議約定，經(jīng)守約方書面催告后[天數(shù)，如30天]內(nèi)仍未糾正的。(2)一方進(jìn)入破產(chǎn)、清算或解散程序的。(3)提供虛假信息或隱瞞重要安全風(fēng)險(xiǎn)的。11.3本協(xié)議期限屆滿，雙方未達(dá)成續(xù)約協(xié)議的，本協(xié)議自動(dòng)終止。11.4協(xié)議終止后，雙方應(yīng)在[天數(shù)，如30天]內(nèi)完成以下工作：(1)甲方應(yīng)提供平臺(tái)訪問權(quán)限的關(guān)閉或轉(zhuǎn)移安排。(2)雙方應(yīng)按照法律法規(guī)要求及約定，處理和銷毀存儲(chǔ)在對方處的保密信息和業(yè)務(wù)數(shù)據(jù)。(3)結(jié)清所有未付款項(xiàng)。第十二條爭議解決12.1因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決。12.2協(xié)商不成的，任何一方均有權(quán)將爭議提交至[選擇仲裁或訴訟，如：甲方所在地有管轄權(quán)的人民法院訴訟解決/提交[具體仲裁委員會(huì)名稱]按照其屆時(shí)有效的仲裁規(guī)則進(jìn)行仲裁]，仲裁裁決是終局的，對雙方均有約束力。第十三條通知13.1本協(xié)議項(xiàng)下的所有通知、請求或文件，均應(yīng)以書面形式，通過專人遞送、掛號信、電子郵件或傳真等方式發(fā)送至本協(xié)議首部列明的地址或聯(lián)系方式。13.2通知在以下時(shí)間視為送達(dá)：(1)專人遞送，發(fā)出時(shí)視為送達(dá)；(2)掛號信，寄出后[天數(shù)，如3天]視為送達(dá)；(3)電子郵件，發(fā)出時(shí)視為送達(dá)（若對方確認(rèn)未收到則視為未送達(dá)）；(4)傳真，發(fā)送成功后視為送達(dá)。第十四條其他14