2025年工業(yè)信息安全協(xié)議甲方（以下簡(jiǎn)稱“供方”）：[甲方名稱]法定代表人/授權(quán)代表：[姓名]注冊(cè)地址：[地址]聯(lián)系電話：[電話]電子郵箱：[郵箱]乙方（以下簡(jiǎn)稱“需方”）：[乙方名稱]法定代表人/授權(quán)代表：[姓名]注冊(cè)地址：[地址]聯(lián)系電話：[電話]電子郵箱：[郵箱]鑒于：1.甲方是[描述甲方業(yè)務(wù)，例如：工業(yè)自動(dòng)化控制系統(tǒng)、工業(yè)物聯(lián)網(wǎng)設(shè)備或相關(guān)服務(wù)]的開發(fā)者、供應(yīng)商或運(yùn)營(yíng)者；2.乙方是[描述乙方業(yè)務(wù)，例如：工業(yè)控制系統(tǒng)集成商、工業(yè)設(shè)施運(yùn)營(yíng)者或用戶]，將使用或運(yùn)營(yíng)甲方提供的工業(yè)信息資產(chǎn)；3.甲乙雙方認(rèn)識(shí)到工業(yè)信息安全對(duì)于保障生產(chǎn)安全、防止網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的重要性，并愿意依據(jù)中華人民共和國(guó)相關(guān)法律法規(guī)及行業(yè)規(guī)范，共同遵守以下協(xié)議內(nèi)容，以明確雙方在工業(yè)信息安全方面的權(quán)利與義務(wù)。第一條定義1.1本協(xié)議所稱“工業(yè)信息資產(chǎn)”包括但不限于：工業(yè)控制系統(tǒng)（ICS）、監(jiān)督控制和數(shù)據(jù)采集（SCADA）系統(tǒng)、可編程邏輯控制器（PLC）、人機(jī)界面（HMI）、工業(yè)網(wǎng)絡(luò)設(shè)備（如交換機(jī)、路由器）、工業(yè)物聯(lián)網(wǎng)（IIoT）設(shè)備、傳感器、執(zhí)行器、相關(guān)的軟件應(yīng)用、配置數(shù)據(jù)、運(yùn)行數(shù)據(jù)、工藝參數(shù)、生產(chǎn)日志以及與上述資產(chǎn)相關(guān)的技術(shù)文檔、服務(wù)手冊(cè)等。1.2本協(xié)議所稱“信息安全事件”是指對(duì)工業(yè)信息資產(chǎn)的安全性、完整性、可用性造成或可能造成威脅或影響的事件，包括但不限于網(wǎng)絡(luò)攻擊、入侵、病毒感染、數(shù)據(jù)泄露、系統(tǒng)癱瘓、非法訪問等。1.3本協(xié)議所稱“漏洞”是指工業(yè)信息資產(chǎn)中存在的、可被威脅利用的弱點(diǎn)。1.4本協(xié)議所稱“不可抗力”是指不能預(yù)見、不能避免并不能克服的客觀情況，包括但不限于自然災(zāi)害、戰(zhàn)爭(zhēng)、政府行為、流行病疫情等。第二條責(zé)任劃分與義務(wù)2.1供方責(zé)任：2.1.1在工業(yè)信息資產(chǎn)的設(shè)計(jì)、開發(fā)、測(cè)試、交付等環(huán)節(jié)，應(yīng)遵循國(guó)家及行業(yè)相關(guān)信息安全標(biāo)準(zhǔn)（如IEC62443系列標(biāo)準(zhǔn)），采取必要的安全措施，降低已知漏洞和風(fēng)險(xiǎn)。2.1.2對(duì)其提供的工業(yè)信息資產(chǎn)進(jìn)行安全測(cè)試和評(píng)估，確保其符合約定的安全功能要求。2.1.3提供必要的安全文檔，包括但不限于產(chǎn)品安全手冊(cè)、已知漏洞列表、安全配置指南、應(yīng)急響應(yīng)聯(lián)系人信息等。2.1.4配合需方進(jìn)行入網(wǎng)安全檢查和風(fēng)險(xiǎn)評(píng)估，并根據(jù)需方的要求提供必要的技術(shù)支持。2.1.5及時(shí)向需方通報(bào)其產(chǎn)品或系統(tǒng)中發(fā)現(xiàn)的重大安全漏洞，并提供補(bǔ)丁或解決方案。2.1.6對(duì)因供方產(chǎn)品或系統(tǒng)本身的安全缺陷導(dǎo)致的安全事件，應(yīng)承擔(dān)相應(yīng)的責(zé)任，并配合需方進(jìn)行應(yīng)急處置和恢復(fù)。2.2需方責(zé)任：2.2.1建立健全工業(yè)信息安全管理制度，明確安全負(fù)責(zé)人，落實(shí)安全操作規(guī)程。2.2.2對(duì)其管轄范圍內(nèi)的工業(yè)信息資產(chǎn)實(shí)施統(tǒng)一的安全管理，包括物理環(huán)境安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全等。2.2.3嚴(yán)格按照安全策略配置和管理工業(yè)網(wǎng)絡(luò)，實(shí)施訪問控制，監(jiān)控網(wǎng)絡(luò)流量，防范網(wǎng)絡(luò)攻擊。2.2.4負(fù)責(zé)工業(yè)信息系統(tǒng)的日常運(yùn)維和安全監(jiān)控，及時(shí)識(shí)別、報(bào)告和處理安全事件。2.2.5建立安全事件應(yīng)急響應(yīng)機(jī)制，制定應(yīng)急預(yù)案，并定期組織演練。在發(fā)生安全事件時(shí)，應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)，采取控制措施，減少損失，并及時(shí)通知供方（如涉及供方產(chǎn)品）。2.2.6負(fù)責(zé)對(duì)操作人員和管理人員進(jìn)行必要的安全意識(shí)培訓(xùn)和技能提升。2.2.7對(duì)工業(yè)信息資產(chǎn)進(jìn)行定期的漏洞掃描和安全評(píng)估，并根據(jù)評(píng)估結(jié)果采取修復(fù)措施。2.2.8嚴(yán)格按照協(xié)議約定及國(guó)家法律法規(guī)要求，對(duì)工業(yè)數(shù)據(jù)進(jìn)行分類分級(jí)管理，采取加密、脫敏等保護(hù)措施，防止數(shù)據(jù)泄露、篡改或非法使用。2.2.9在對(duì)工業(yè)信息資產(chǎn)進(jìn)行升級(jí)、改造、維修等操作前，應(yīng)評(píng)估相關(guān)操作可能帶來(lái)的安全風(fēng)險(xiǎn)，并采取必要的預(yù)防措施。2.2.10負(fù)責(zé)對(duì)因需方管理不善或操作不當(dāng)導(dǎo)致的安全事件承擔(dān)相應(yīng)責(zé)任。2.3供應(yīng)鏈安全管理：2.3.1供方在采購(gòu)第三方軟件、硬件或服務(wù)時(shí)，應(yīng)關(guān)注其信息安全狀況，并要求供應(yīng)商提供必要的安全證明或承諾。2.3.2需方在引入新的第三方產(chǎn)品或服務(wù)接入工業(yè)網(wǎng)絡(luò)前，應(yīng)進(jìn)行安全評(píng)估，并確保其符合本協(xié)議的安全要求。2.4漏洞管理與補(bǔ)丁更新：2.4.1供方應(yīng)建立漏洞管理流程，及時(shí)發(fā)布安全公告和補(bǔ)丁，并指導(dǎo)需方進(jìn)行安全加固。2.4.2需方應(yīng)建立補(bǔ)丁管理制度，對(duì)補(bǔ)丁進(jìn)行充分測(cè)試后，在確保生產(chǎn)穩(wěn)定的前提下進(jìn)行部署。對(duì)于關(guān)鍵系統(tǒng)和生產(chǎn)環(huán)境，應(yīng)制定嚴(yán)格的補(bǔ)丁管理流程。2.5事件響應(yīng)與信息共享：2.5.1發(fā)生信息安全事件時(shí)，需方應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)機(jī)制，采取控制措施，防止事件擴(kuò)大，并按本協(xié)議約定及時(shí)通知供方。2.5.2雙方均有義務(wù)在法律允許和保密要求的前提下，共享已識(shí)別的工業(yè)安全威脅信息和漏洞信息，共同提升工業(yè)信息安全防護(hù)能力。2.5.3雙方應(yīng)指定專門聯(lián)系人負(fù)責(zé)信息安全事件的溝通和協(xié)調(diào)。第三條信息安全權(quán)利與義務(wù)3.1雙方均有權(quán)了解對(duì)方在履行本協(xié)議過(guò)程中所采取的工業(yè)信息安全措施及其有效性，但需遵守保密義務(wù)。3.2需方有權(quán)要求供方提供其產(chǎn)品或系統(tǒng)的安全功能說(shuō)明、已知漏洞信息、安全配置建議等。3.3供方有權(quán)要求需方提供必要的信息和環(huán)境，以便供方進(jìn)行產(chǎn)品安裝、配置、維護(hù)和安全評(píng)估。3.4雙方均有義務(wù)對(duì)從對(duì)方獲取的工業(yè)信息安全信息承擔(dān)保密義務(wù)，未經(jīng)對(duì)方書面同意，不得向任何第三方泄露，但法律法規(guī)另有規(guī)定或有權(quán)機(jī)關(guān)依法要求除外。3.5雙方均應(yīng)遵守國(guó)家有關(guān)工業(yè)信息安全保護(hù)的法律法規(guī)，以及相關(guān)行業(yè)主管部門的管理要求。第四條知識(shí)產(chǎn)權(quán)4.1各方在履行本協(xié)議過(guò)程中產(chǎn)生的技術(shù)成果和知識(shí)產(chǎn)權(quán)歸屬，按照雙方另有約定的協(xié)議執(zhí)行。沒有約定的，其歸屬和使用權(quán)由各自享有，但為履行本協(xié)議目的而使用對(duì)方知識(shí)產(chǎn)權(quán)的，應(yīng)遵守對(duì)方的許可范圍和條件。4.2供方保證其提供的工業(yè)信息資產(chǎn)不侵犯任何第三方的知識(shí)產(chǎn)權(quán)。如因供方提供的資產(chǎn)發(fā)生知識(shí)產(chǎn)權(quán)糾紛，由供方負(fù)責(zé)解決，并承擔(dān)由此產(chǎn)生的一切責(zé)任和費(fèi)用，需方應(yīng)予以配合。第五條違約責(zé)任5.1任何一方違反本協(xié)議約定，給對(duì)方造成損失的，應(yīng)承擔(dān)賠償責(zé)任。賠償范圍包括直接經(jīng)濟(jì)損失、合理的間接損失以及為處理違約事件所支付的合理費(fèi)用。5.2若供方未能按約定提供安全補(bǔ)丁或解決方案，或其產(chǎn)品存在嚴(yán)重安全缺陷導(dǎo)致需方發(fā)生重大安全事件，需方有權(quán)要求降低服務(wù)費(fèi)用或解除協(xié)議，并要求供方賠償損失。5.3若需方未能履行安全管理職責(zé)，導(dǎo)致發(fā)生安全事件，需方應(yīng)承擔(dān)主要責(zé)任，并賠償由此給供方造成的損失。同時(shí)，供方有權(quán)要求需方采取補(bǔ)救措施，并暫停相關(guān)服務(wù)直至需方符合協(xié)議要求。5.4因不可抗力導(dǎo)致協(xié)議無(wú)法履行或延遲履行的，雙方互不承擔(dān)違約責(zé)任，但應(yīng)及時(shí)通知對(duì)方，并提供相關(guān)證明，協(xié)商決定是否延期履行、部分履行或解除協(xié)議。第六條爭(zhēng)議解決6.1因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過(guò)友好協(xié)商解決。6.2協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交[選擇仲裁或訴訟，例如：向需方所在地有管轄權(quán)的人民法院訴訟解決/提交[指定仲裁委員會(huì)名稱]按照其仲裁規(guī)則進(jìn)行仲裁]，仲裁裁決是終局的，對(duì)雙方均有約束力。/向[指定仲裁委員會(huì)名稱]申請(qǐng)仲裁，仲裁地點(diǎn)為[仲裁地點(diǎn)]，仲裁規(guī)則為[仲裁規(guī)則名稱]，仲裁裁決是終局的，對(duì)雙方均有約束力。第七條協(xié)議期限與終止7.1本協(xié)議自雙方授權(quán)代表簽字并加蓋公章（或合同專用章）之日起生效，有效期為[具體年限]年。期滿前[具體時(shí)間]，如雙方無(wú)書面異議，本協(xié)議自動(dòng)續(xù)展[具體年限]年，續(xù)展次數(shù)不限/續(xù)展次數(shù)限定為[具體次數(shù)]次。7.2任何一方可在協(xié)議有效期內(nèi)，提前[具體時(shí)間]日書面通知對(duì)方終止本協(xié)議。提前終止的，雙方應(yīng)在終止日結(jié)清所有費(fèi)用，并妥善處理未盡事宜。7.3出現(xiàn)以下情況之一，守約方有權(quán)書面通知違約方立即終止本協(xié)議：a)一方嚴(yán)重違反本協(xié)議約定，經(jīng)守約方書面催告后[具體時(shí)間]日內(nèi)仍未糾正的；b)一方進(jìn)入破產(chǎn)、清算或解散程序的；c)一方提供虛假信息或隱瞞重要安全風(fēng)險(xiǎn)，給對(duì)方造成重大損失的。7.4協(xié)議終止后，雙方仍應(yīng)履行本協(xié)議中關(guān)于保密、知識(shí)產(chǎn)權(quán)、爭(zhēng)議解決、法律適用等不受影響條款的規(guī)定。需方應(yīng)繼續(xù)履行其安全保護(hù)義務(wù)，直至工業(yè)信息資產(chǎn)完全退役或不再使用。第八條不可抗力8.1雙方確認(rèn)，在本協(xié)議履行期間，任何一方因不可抗力事件不能履行或不能完全履行其在本協(xié)議下的義務(wù)，不構(gòu)成違約。8.2遭遇不可抗力的一方應(yīng)在不可抗力發(fā)生后[具體時(shí)間]日內(nèi)書面通知對(duì)方，并提供不可抗力發(fā)生的有效證明文件。雙方應(yīng)根據(jù)不可抗力的影響，協(xié)商決定是否延期履行、部分履行或解除協(xié)議。第九條其他條款9.1本協(xié)議構(gòu)成雙方關(guān)于工業(yè)信息安全合作事宜的完整協(xié)議，取代雙方此前就此事項(xiàng)達(dá)成的所有口頭或書面協(xié)議、諒解。9.2對(duì)本協(xié)議的任何修改或補(bǔ)充，均應(yīng)以書面形式作出，并經(jīng)雙方授權(quán)代表簽字蓋章后生效。9.3本協(xié)議未盡事宜，由雙方另行協(xié)商簽訂補(bǔ)充協(xié)議。補(bǔ)充