關(guān)于某某工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)合同一、合同主體與背景本合同由甲方（被保險(xiǎn)人，以下簡(jiǎn)稱“企業(yè)方”）與乙方（保險(xiǎn)人，以下簡(jiǎn)稱“保險(xiǎn)公司”）本著平等互利、風(fēng)險(xiǎn)共擔(dān)的原則簽訂。企業(yè)方為從事[具體工業(yè)領(lǐng)域，如能源、制造、化工等]的工業(yè)企業(yè)，其工業(yè)控制系統(tǒng)（ICS）涵蓋數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）等核心組件，承擔(dān)生產(chǎn)流程控制、設(shè)備運(yùn)維及數(shù)據(jù)管理等關(guān)鍵職能。保險(xiǎn)公司為具備網(wǎng)絡(luò)安全保險(xiǎn)資質(zhì)的專業(yè)機(jī)構(gòu)，擁有工業(yè)風(fēng)險(xiǎn)評(píng)估、安全事件響應(yīng)及理賠服務(wù)的完整能力。隨著工業(yè)數(shù)字化轉(zhuǎn)型加速，企業(yè)方ICS已從傳統(tǒng)封閉環(huán)境逐步接入工業(yè)互聯(lián)網(wǎng)，面臨病毒攻擊、勒索軟件入侵、供應(yīng)鏈攻擊等復(fù)合型安全威脅。根據(jù)行業(yè)實(shí)踐，單一安全事件可能導(dǎo)致日均超500萬元的直接損失及生產(chǎn)中斷風(fēng)險(xiǎn)。本合同旨在通過“保險(xiǎn)+安全服務(wù)”的協(xié)同模式，為企業(yè)方提供風(fēng)險(xiǎn)轉(zhuǎn)移與安全能力提升的綜合解決方案。二、保險(xiǎn)責(zé)任范圍（一）基礎(chǔ)保障范圍保險(xiǎn)公司對(duì)以下情形導(dǎo)致的直接經(jīng)濟(jì)損失承擔(dān)賠償責(zé)任：惡意代碼攻擊：包括但不限于勒索軟件、木馬程序等導(dǎo)致ICS癱瘓或數(shù)據(jù)加密，需支付的系統(tǒng)修復(fù)費(fèi)用、數(shù)據(jù)恢復(fù)費(fèi)用及第三方專家服務(wù)費(fèi)；網(wǎng)絡(luò)入侵事件：未經(jīng)授權(quán)的訪問或控制ICS設(shè)備，造成生產(chǎn)參數(shù)篡改、工藝流程中斷所產(chǎn)生的停機(jī)損失及應(yīng)急處置成本；數(shù)據(jù)安全事件：因ICS數(shù)據(jù)泄露（如工藝參數(shù)、生產(chǎn)計(jì)劃等敏感信息）引發(fā)的法律合規(guī)費(fèi)用、客戶補(bǔ)償支出及公關(guān)危機(jī)處理費(fèi)用；供應(yīng)鏈傳導(dǎo)風(fēng)險(xiǎn)：上游供應(yīng)商或合作方的安全漏洞傳導(dǎo)至企業(yè)方ICS，導(dǎo)致的設(shè)備故障或生產(chǎn)中斷損失。（二）擴(kuò)展責(zé)任條款針對(duì)工業(yè)場(chǎng)景特殊性，本合同特別約定以下擴(kuò)展責(zé)任：物理資產(chǎn)關(guān)聯(lián)損失：因ICS攻擊導(dǎo)致的設(shè)備物理損壞（如機(jī)床過載、管道壓力異常等）及環(huán)境事故（如泄漏、爆炸等次生災(zāi)害）的修復(fù)費(fèi)用；安全服務(wù)前置費(fèi)用：保險(xiǎn)期間內(nèi)，企業(yè)方為滿足承保條件而實(shí)施的漏洞掃描、滲透測(cè)試等安全評(píng)估費(fèi)用，保險(xiǎn)公司按實(shí)際支出的50%進(jìn)行補(bǔ)貼，年度累計(jì)限額50萬元；業(yè)務(wù)中斷補(bǔ)償：根據(jù)ICS恢復(fù)時(shí)長(zhǎng)及歷史生產(chǎn)數(shù)據(jù)，按日均產(chǎn)值的80%計(jì)算賠償金額，單次事件最長(zhǎng)補(bǔ)償周期為15天。三、風(fēng)險(xiǎn)評(píng)估與保費(fèi)定價(jià)（一）保前風(fēng)險(xiǎn)評(píng)估機(jī)制保險(xiǎn)公司委托第三方安全機(jī)構(gòu)對(duì)企業(yè)方ICS實(shí)施三級(jí)評(píng)估：資產(chǎn)識(shí)別：梳理ICS網(wǎng)絡(luò)拓?fù)?、設(shè)備型號(hào)、操作系統(tǒng)版本及關(guān)鍵業(yè)務(wù)流程，形成《工業(yè)控制資產(chǎn)清單》；漏洞檢測(cè)：采用工業(yè)協(xié)議深度檢測(cè)技術(shù)（如Modbus、DNP3協(xié)議分析），識(shí)別PLC固件漏洞、DCS配置缺陷等風(fēng)險(xiǎn)點(diǎn)；風(fēng)險(xiǎn)量化：依據(jù)《工業(yè)控制系統(tǒng)安全防護(hù)指南》，從攻擊面暴露度、數(shù)據(jù)敏感性、業(yè)務(wù)連續(xù)性要求三個(gè)維度，生成0-10分的風(fēng)險(xiǎn)等級(jí)評(píng)分。（二）差異化保費(fèi)模型基于風(fēng)險(xiǎn)評(píng)估結(jié)果，保費(fèi)計(jì)算公式為：年度保費(fèi)=基準(zhǔn)保費(fèi)×行業(yè)系數(shù)×風(fēng)險(xiǎn)等級(jí)系數(shù)×安全措施折扣率基準(zhǔn)保費(fèi)：根據(jù)企業(yè)方ICS資產(chǎn)規(guī)模（按控制節(jié)點(diǎn)數(shù)量）確定，每100個(gè)節(jié)點(diǎn)基準(zhǔn)保費(fèi)為20萬元；行業(yè)系數(shù)：能源、化工等高危行業(yè)系數(shù)為1.5，普通制造業(yè)系數(shù)為1.0；風(fēng)險(xiǎn)等級(jí)系數(shù)：風(fēng)險(xiǎn)評(píng)分8分以上對(duì)應(yīng)2.0，6-8分對(duì)應(yīng)1.5，6分以下對(duì)應(yīng)1.2；安全措施折扣：部署工業(yè)防火墻、日志審計(jì)系統(tǒng)及定期漏洞修復(fù)的企業(yè)可享受最高30%折扣。四、安全服務(wù)協(xié)同機(jī)制（一）保中安全監(jiān)測(cè)保險(xiǎn)公司聯(lián)合安全服務(wù)商為企業(yè)方提供以下持續(xù)性服務(wù)：實(shí)時(shí)威脅監(jiān)測(cè)：通過部署工業(yè)安全監(jiān)測(cè)傳感器，對(duì)ICS流量進(jìn)行7×24小時(shí)分析，識(shí)別異常通信行為（如非授權(quán)PLC寫入指令、異常數(shù)據(jù)采集頻率）；漏洞情報(bào)推送：每月提供工業(yè)設(shè)備安全漏洞通報(bào)及修復(fù)建議，重點(diǎn)覆蓋西門子、施耐德等主流廠商的高危漏洞；應(yīng)急響應(yīng)支持：建立4小時(shí)快速響應(yīng)通道，安全專家團(tuán)隊(duì)在事件發(fā)生后提供遠(yuǎn)程技術(shù)支持，必要時(shí)現(xiàn)場(chǎng)協(xié)助處置。（二）安全能力提升要求企業(yè)方需履行以下安全義務(wù)，作為保險(xiǎn)責(zé)任生效的前提條件：定期安全加固：每季度對(duì)ICS進(jìn)行漏洞修復(fù)，關(guān)鍵設(shè)備固件版本需符合廠商安全基線要求；數(shù)據(jù)備份機(jī)制：對(duì)生產(chǎn)數(shù)據(jù)實(shí)行“本地+異地”雙備份，備份介質(zhì)需離線存儲(chǔ)并加密；人員安全培訓(xùn)：每年組織不少于2次ICS運(yùn)維人員安全培訓(xùn)，內(nèi)容涵蓋釣魚郵件識(shí)別、應(yīng)急處置流程等實(shí)操技能。五、理賠流程與爭(zhēng)議處理（一）事件申報(bào)與調(diào)查申報(bào)時(shí)限：企業(yè)方需在發(fā)現(xiàn)安全事件后24小時(shí)內(nèi)書面通知保險(xiǎn)公司，逾期未報(bào)導(dǎo)致?lián)p失擴(kuò)大的，保險(xiǎn)公司有權(quán)拒賠擴(kuò)大部分；調(diào)查取證：保險(xiǎn)公司在收到申報(bào)后48小時(shí)內(nèi)啟動(dòng)調(diào)查，企業(yè)方需配合提供系統(tǒng)日志、網(wǎng)絡(luò)流量記錄及事件處置報(bào)告；責(zé)任認(rèn)定：由第三方技術(shù)機(jī)構(gòu)出具《工業(yè)安全事件鑒定報(bào)告》，明確事件原因、損失范圍及責(zé)任歸屬，鑒定費(fèi)用由保險(xiǎn)公司承擔(dān)。（二）賠償支付與爭(zhēng)議解決定損標(biāo)準(zhǔn)：直接損失按實(shí)際支出憑證核算，業(yè)務(wù)中斷損失按企業(yè)方提供的前12個(gè)月平均日產(chǎn)值計(jì)算；支付時(shí)效：責(zé)任認(rèn)定完成后10個(gè)工作日內(nèi)，保險(xiǎn)公司一次性支付賠償款，逾期按每日0.05%支付滯納金；爭(zhēng)議處理：雙方對(duì)理賠結(jié)果有異議的，應(yīng)先通過協(xié)商解決；協(xié)商不成的，提交合同簽訂地仲裁委員會(huì)仲裁，仲裁期間不影響已認(rèn)定部分的賠償執(zhí)行。六、合同變更與終止條款（一）動(dòng)態(tài)調(diào)整機(jī)制風(fēng)險(xiǎn)等級(jí)變更：若企業(yè)方ICS經(jīng)過安全改造使風(fēng)險(xiǎn)等級(jí)降低1分以上，可申請(qǐng)下調(diào)保費(fèi)，調(diào)整幅度不超過原保費(fèi)的20%；資產(chǎn)范圍擴(kuò)展：新增ICS設(shè)備或生產(chǎn)線的，企業(yè)方需在30日內(nèi)書面通知保險(xiǎn)公司，保險(xiǎn)公司按新增資產(chǎn)規(guī)模加收保費(fèi)；條款更新：因國(guó)家網(wǎng)絡(luò)安全法規(guī)（如《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》）修訂導(dǎo)致責(zé)任范圍變化的，雙方應(yīng)在法規(guī)生效后60日內(nèi)協(xié)商修訂合同。（二）合同終止情形主動(dòng)終止：企業(yè)方需提前90日書面通知保險(xiǎn)公司，已繳納保費(fèi)按日比例退還，不足3個(gè)月的不予退還；違約終止：企業(yè)方未履行安全義務(wù)（如未定期備份數(shù)據(jù)）導(dǎo)致重大損失的，保險(xiǎn)公司有權(quán)單方終止合同并追回已支付賠償；不可抗力：因戰(zhàn)爭(zhēng)、重大自然災(zāi)害等導(dǎo)致ICS完全損毀的，合同自動(dòng)終止，雙方互不承擔(dān)違約責(zé)任。七、保密與責(zé)任劃分（一）數(shù)據(jù)安全保密保險(xiǎn)公司對(duì)在服務(wù)過程中獲取的企業(yè)方ICS拓?fù)?、生產(chǎn)數(shù)據(jù)等敏感信息負(fù)有保密義務(wù)，未經(jīng)書面許可不得向任何第三方披露，保密期限為合同終止后3年。如發(fā)生信息泄露，保險(xiǎn)公司需賠償企業(yè)方因此遭受的全部損失，并承擔(dān)相應(yīng)法律責(zé)任。（二）雙方責(zé)任邊界企業(yè)方責(zé)任：未如實(shí)申報(bào)ICS風(fēng)險(xiǎn)狀況（如隱瞞歷史攻擊事件）或擅自關(guān)閉安全監(jiān)測(cè)設(shè)備的，保險(xiǎn)公司有權(quán)拒賠；保險(xiǎn)公司責(zé)任：因安全監(jiān)測(cè)系統(tǒng)故障導(dǎo)致漏報(bào)攻擊事件的，需承擔(dān)企業(yè)方實(shí)際損失的30%作為補(bǔ)償；第三方連帶責(zé)任：安全服務(wù)商提供的評(píng)估報(bào)告存在重大誤差導(dǎo)致誤判風(fēng)險(xiǎn)等級(jí)的，保險(xiǎn)公司可向其追償賠償金額的50%-80%。八、附件清單《工業(yè)控制系統(tǒng)資產(chǎn)明細(xì)表》（含設(shè)備型號(hào)、IP地址及責(zé)任人）