2025年工業(yè)控制系統(tǒng)安全配置基線核查協(xié)議合同編號：__________

2025年工業(yè)控制系統(tǒng)安全配置基線核查協(xié)議

第一章總則

第一條協(xié)議目的

本協(xié)議旨在明確甲乙雙方在工業(yè)控制系統(tǒng)（以下簡稱“ICS”）安全配置基線核查過程中的權(quán)利與義務(wù)，確保ICS的安全穩(wěn)定運行，防范網(wǎng)絡(luò)攻擊風(fēng)險，促進(jìn)工業(yè)信息化的健康發(fā)展。

第二條適用范圍

本協(xié)議適用于甲方指定的工業(yè)控制系統(tǒng)范圍，包括但不限于生產(chǎn)控制系統(tǒng)、監(jiān)控數(shù)據(jù)采集系統(tǒng)、企業(yè)管理信息系統(tǒng)等，具體范圍由甲方在附件中列明。

第三條法律依據(jù)

甲乙雙方應(yīng)遵守《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等相關(guān)法律法規(guī)，以及國家、行業(yè)關(guān)于ICS安全配置的強(qiáng)制性標(biāo)準(zhǔn)和技術(shù)規(guī)范。

第四條定義

（一）ICS：工業(yè)控制系統(tǒng)，指用于工業(yè)生產(chǎn)過程的自動化控制設(shè)備和系統(tǒng)，包括但不限于可編程邏輯控制器（PLC）、分布式控制系統(tǒng)（DCS）、人機(jī)界面（HMI）等。

（二）安全配置基線：指為保障ICS安全運行而制定的一組最小化安全要求，包括系統(tǒng)架構(gòu)、訪問控制、日志審計、漏洞管理、應(yīng)急響應(yīng)等方面的配置標(biāo)準(zhǔn)。

（三）核查：指乙方依據(jù)約定的安全配置基線，對甲方的ICS進(jìn)行現(xiàn)場或遠(yuǎn)程檢查，識別不符合項并提出整改建議的過程。

第二章甲乙雙方的權(quán)利與義務(wù)

第五條甲方的權(quán)利與義務(wù)

（一）甲方有權(quán)要求乙方按照約定的范圍和標(biāo)準(zhǔn)進(jìn)行ICS安全配置核查，并有權(quán)對核查結(jié)果進(jìn)行確認(rèn)。

（二）甲方應(yīng)向乙方提供必要的ICS運行環(huán)境和技術(shù)文檔，包括系統(tǒng)架構(gòu)圖、網(wǎng)絡(luò)拓?fù)鋱D、設(shè)備清單、配置手冊等，并確保所提供信息的真實性、完整性。

（三）甲方應(yīng)配合乙方進(jìn)行現(xiàn)場核查，提供必要的測試環(huán)境和權(quán)限，并指定專人負(fù)責(zé)溝通協(xié)調(diào)。

（四）甲方應(yīng)按照乙方提出的整改建議，在規(guī)定期限內(nèi)完成安全配置的調(diào)整，并通知乙方進(jìn)行復(fù)查。

（五）甲方應(yīng)對核查過程中涉及的商業(yè)秘密和技術(shù)信息承擔(dān)保密義務(wù)，未經(jīng)乙方同意不得泄露給第三方。

第六條乙方的權(quán)利與義務(wù)

（一）乙方有權(quán)要求甲方提供必要的配合，確保核查工作的順利進(jìn)行。

（二）乙方應(yīng)具備相應(yīng)的資質(zhì)和技術(shù)能力，核查人員應(yīng)具備國家認(rèn)可的ICS安全認(rèn)證資格。

（三）乙方應(yīng)按照約定的核查方法和標(biāo)準(zhǔn)，對甲方的ICS進(jìn)行獨立、客觀的核查，并形成詳細(xì)的核查報告。

（四）乙方應(yīng)對核查過程中獲取的甲方信息承擔(dān)保密義務(wù)，核查結(jié)束后應(yīng)及時銷毀或返還相關(guān)資料。

（五）乙方應(yīng)向甲方提供專業(yè)的安全配置整改建議，并協(xié)助甲方進(jìn)行技術(shù)指導(dǎo)，但不得越權(quán)干預(yù)甲方的正常生產(chǎn)經(jīng)營活動。

第三章核查內(nèi)容與方法

第七條核查內(nèi)容

（一）系統(tǒng)架構(gòu)與網(wǎng)絡(luò)拓?fù)洌汉瞬镮CS與外部網(wǎng)絡(luò)的隔離措施，包括物理隔離、邏輯隔離、防火墻配置等，確保符合等保三級或關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)要求。

（二）訪問控制：核查用戶權(quán)限管理、身份認(rèn)證機(jī)制、操作日志審計等，確保遵循“最小權(quán)限”原則，防止未授權(quán)訪問。

（三）系統(tǒng)加固：核查操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件的安全配置，包括密碼策略、安全補丁、入侵檢測等，消除已知漏洞。

（四）數(shù)據(jù)傳輸與存儲：核查數(shù)據(jù)傳輸加密、存儲加密、備份恢復(fù)機(jī)制，確保數(shù)據(jù)完整性和可用性。

（五）應(yīng)急響應(yīng)：核查應(yīng)急預(yù)案的完備性、演練頻率、恢復(fù)時間目標(biāo)（RTO）等，確保具備快速處置安全事件的能力。

第八條核查方法

（一）文檔審查：乙方通過查閱甲方提供的技術(shù)文檔，初步評估ICS的安全配置符合性。

（二）現(xiàn)場勘查：乙方到甲方現(xiàn)場進(jìn)行物理環(huán)境、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等方面的實地核查。

（三）配置核查：乙方利用專業(yè)工具對ICS的配置參數(shù)進(jìn)行檢測，識別與基線標(biāo)準(zhǔn)的偏差。

（四）模擬攻擊：在甲方授權(quán)范圍內(nèi)，乙方可進(jìn)行有限度的模擬攻擊測試，驗證系統(tǒng)的抗風(fēng)險能力。

（五）報告編寫：乙方根據(jù)核查結(jié)果，撰寫詳細(xì)的安全配置核查報告，包括不符合項、整改建議、風(fēng)險評估等內(nèi)容。

第四章核查報告與整改

第九條核查報告

（一）核查報告應(yīng)包括核查背景、核查范圍、核查方法、核查結(jié)果、整改建議等主要內(nèi)容，并由乙方負(fù)責(zé)人簽字蓋章。

（二）核查報告應(yīng)在完成核查工作的____日內(nèi)提交給甲方，如有特殊情況需提前溝通協(xié)商。

（三）甲方應(yīng)在收到核查報告后的____日內(nèi)組織相關(guān)人員進(jìn)行評審，并反饋確認(rèn)意見，如有異議應(yīng)及時提出，雙方應(yīng)通過友好協(xié)商解決。

第十條整改要求

（一）甲方應(yīng)在收到核查報告后的____日內(nèi)，根據(jù)整改建議制定詳細(xì)的整改計劃，明確責(zé)任人、時間節(jié)點和預(yù)期目標(biāo)。

（二）整改過程中，甲方應(yīng)定期向乙方匯報進(jìn)展情況，乙方應(yīng)提供必要的技術(shù)支持，包括配置指導(dǎo)、風(fēng)險驗證等。

（三）整改完成后，甲方應(yīng)通知乙方進(jìn)行復(fù)查，乙方應(yīng)在____日內(nèi)完成復(fù)查工作，并出具復(fù)查意見，確認(rèn)整改效果。

第五章費用與支付

第十一條核查費用

（一）本協(xié)議項下的核查費用為人民幣____元（大寫：____元整），包括現(xiàn)場勘查費、技術(shù)工具費、報告編寫費等。

（二）如因甲方要求擴(kuò)大核查范圍或增加核查頻次，雙方應(yīng)另行協(xié)商確定費用，并在補充協(xié)議中明確。

第十二條支付方式

（一）甲方應(yīng)在簽訂本協(xié)議后____日內(nèi)，向乙方支付總費用的____%（即人民幣____元），作為項目啟動預(yù)付款。

（二）乙方完成核查報告并提交給甲方后的____日內(nèi)，甲方應(yīng)支付剩余的____%（即人民幣____元）。

（三）如需支付復(fù)查費用，甲方應(yīng)在乙方完成復(fù)查并確認(rèn)整改效果后的____日內(nèi)，支付人民幣____元。

第六章違約責(zé)任

第十三條甲方的違約責(zé)任

（一）甲方未按時支付核查費用，每逾期一日，應(yīng)按逾期金額的____‰向乙方支付違約金，逾期超過____日的，乙方有權(quán)暫停或終止服務(wù)，并要求甲方支付已完成工作的費用。

（二）甲方未提供必要的配合或隱瞞重要信息，導(dǎo)致核查結(jié)果失真或無法完成，乙方不承擔(dān)相應(yīng)責(zé)任，甲方應(yīng)承擔(dān)由此產(chǎn)生的損失。

第十四條乙方的違約責(zé)任

（一）乙方未按約定時間提交核查報告，每逾期一日，應(yīng)按總費用的____‰向甲方支付違約金，逾期超過____日的，甲方有權(quán)解除協(xié)議，并要求乙方退還已支付的費用。

（二）乙方因工作失誤導(dǎo)致核查結(jié)果嚴(yán)重偏差，給甲方造成損失的，應(yīng)承擔(dān)相應(yīng)的賠償責(zé)任，賠償金額不超過總費用的____%。

第七章保密條款

第十五條保密內(nèi)容

（一）甲乙雙方應(yīng)對在本協(xié)議履行過程中知悉的對方商業(yè)秘密、技術(shù)信息、客戶資料等承擔(dān)保密義務(wù)，未經(jīng)對方書面同意，不得以任何形式泄露給第三方。

（二）保密期限為本協(xié)議終止后____年，或直至該信息成為公開信息為止，以較長期限為準(zhǔn)。

第十六條保密例外

（一）法律法規(guī)要求披露的；

（二）已公開且非因?qū)Ψ竭^錯而獲悉的；

（三）雙方書面同意披露的。

第八章爭議解決

第十七條爭議解決方式

本協(xié)議項下的任何爭議，雙方應(yīng)首先通過友好協(xié)商解決；協(xié)商不成的，任何一方均有權(quán)向____人民法院提起訴訟。

第九章協(xié)議生效與終止

第十八條協(xié)議生效

本協(xié)議自甲乙雙方簽字蓋章之日起生效，有效期為____年，期滿前____日如雙方無書面異議，可自動續(xù)期____年。

第十九條協(xié)議終止

（一）協(xié)議期滿后，雙方未續(xù)簽的，本協(xié)議自動終止。

（二）出現(xiàn)以下情況之一的，協(xié)議可提前終止：

1.雙方協(xié)商一致同意終止；

2.一方嚴(yán)重違約，導(dǎo)致協(xié)議目的無法實現(xiàn)；

3.不可抗力因素導(dǎo)致協(xié)議無法履行。

第十章其他

第二十條不可抗力

不可抗力是指雙方不能預(yù)見、不能避免并不能克服的客觀情況，包括但不限于地震、洪水、戰(zhàn)爭、政府行為等。發(fā)生不可抗力時，雙方應(yīng)立即采取措施減少損失，并在____日內(nèi)書面通知對方，協(xié)商處理方案。

第二十一條通知

本協(xié)議項下的所有通知均應(yīng)以書面形式，通過專人送達(dá)、掛號信、傳真或電子郵件等方式發(fā)送至本協(xié)議首部列明的地址或聯(lián)系方式，以發(fā)出時視為送達(dá)。

第二十二條法律適用

本協(xié)議的訂立、效力、解釋、履行及爭議解決均適用中華人民共和國法律。

第二十三條協(xié)議完整

本協(xié)議及其附件構(gòu)成雙方就本協(xié)議標(biāo)的事項達(dá)成的完整協(xié)議，取代此前所有口頭或書面的約定、諒解。

第二十四條附件

本協(xié)議附件包括但不限于：

（一）ICS范圍清單；

（二）安全配置基線標(biāo)準(zhǔn)；

（三）核查工作計劃；

（四）雙方授權(quán)代表簽字頁。

（以下無正文）

###特殊應(yīng)用場景一：關(guān)鍵信息基礎(chǔ)設(shè)施的安全監(jiān)管核查

**應(yīng)用場景說明**：該場景適用于國家網(wǎng)信部門、工信部門或其他監(jiān)管機(jī)構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施運營者（如電力、石油、化工、交通等行業(yè)的核心企業(yè)）的ICS進(jìn)行安全配置核查。核查目的在于確保運營者符合國家關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例的要求，特別是等級保護(hù)三級或更高要求的安全配置基線。

**需要注意的條款及修正**：

1.**第三條法律依據(jù)**：需增加《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的具體條款引用，如第十三條關(guān)于運營者安全保護(hù)義務(wù)的規(guī)定。

2.**第七條核查內(nèi)容**：

-增加“供應(yīng)鏈安全管理”作為獨立子條款，核查ICS供應(yīng)商的安全資質(zhì)、產(chǎn)品認(rèn)證（如CCRC認(rèn)證）及漏洞披露機(jī)制。

-在“系統(tǒng)加固”中明確要求核查設(shè)備出廠配置與實際部署配置的一致性，防止后門風(fēng)險。

3.**第十三條甲方的違約責(zé)任**：

-增加條款：若因甲方未按監(jiān)管要求整改，導(dǎo)致監(jiān)管處罰的，乙方不承擔(dān)責(zé)任，但應(yīng)提供技術(shù)支持并收取全額費用。

**注意事項**：監(jiān)管機(jī)構(gòu)通常對核查的全面性、客觀性要求極高，需特別注意文檔審查與現(xiàn)場勘查的結(jié)合，避免遺漏監(jiān)管關(guān)注的重點領(lǐng)域。

---

###特殊應(yīng)用場景二：ICS災(zāi)備與業(yè)務(wù)連續(xù)性審計

**應(yīng)用場景說明**：該場景適用于企業(yè)進(jìn)行災(zāi)備體系建設(shè)或業(yè)務(wù)連續(xù)性計劃（BCP）的審計，重點核查ICS在斷電、斷網(wǎng)、硬件損壞等極端情況下的數(shù)據(jù)恢復(fù)能力與系統(tǒng)快速恢復(fù)能力。

**需要注意的條款及修正**：

1.**第四條定義**：增加“恢復(fù)時間目標(biāo)（RTO）”“恢復(fù)點目標(biāo)（RPO）”等專業(yè)術(shù)語定義。

2.**第七條核查內(nèi)容**：

-在“數(shù)據(jù)傳輸與存儲”中增加“災(zāi)備數(shù)據(jù)同步頻率與驗證機(jī)制”的核查項。

-在“應(yīng)急響應(yīng)”中明確要求核查災(zāi)備切換流程的自動化程度及測試記錄。

3.**第九條核查報告**：

-增加“災(zāi)備演練評估”章節(jié)，對近年災(zāi)備演練的參與度、問題發(fā)現(xiàn)、改進(jìn)措施進(jìn)行量化分析。

**注意事項**：災(zāi)備核查需結(jié)合實際業(yè)務(wù)場景，例如對化工行業(yè)的ICS，需重點核查泄漏監(jiān)測系統(tǒng)與緊急停車系統(tǒng)的聯(lián)動災(zāi)備方案。

---

###特殊應(yīng)用場景三：ICS供應(yīng)鏈安全評估

**應(yīng)用場景說明**：該場景適用于企業(yè)采購新的ICS設(shè)備或系統(tǒng)前，對供應(yīng)商的安全能力進(jìn)行評估，防止引入帶后門、存在邏輯漏洞的軟硬件產(chǎn)品。

**需要注意的條款及修正**：

1.**第六條乙方的權(quán)利與義務(wù)**：

-增加“供應(yīng)商安全資質(zhì)審核”義務(wù)，乙方需核查供應(yīng)商是否通過ISO27001、CMMI等安全管理體系認(rèn)證。

2.**第七條核查內(nèi)容**：

-增加“固件安全分析”子條款，核查設(shè)備固件是否經(jīng)過代碼審計，是否存在已知漏洞。

-在“系統(tǒng)加固”中明確要求核查設(shè)備是否存在物理調(diào)試接口（如JTAG）及訪問控制措施。

3.**第十五條保密條款**：

-增加“供應(yīng)商安全評估報告”作為保密信息，未經(jīng)供應(yīng)商同意不得披露其技術(shù)細(xì)節(jié)。

**注意事項**：供應(yīng)鏈安全評估需關(guān)注嵌入式設(shè)備的特殊風(fēng)險，如PLC的指令注入漏洞、HMI的弱口令問題等。

---

###特殊應(yīng)用場景四：ICS網(wǎng)絡(luò)安全保險理賠核查

**應(yīng)用場景說明**：該場景適用于企業(yè)因遭受ICS網(wǎng)絡(luò)攻擊（如勒索軟件、拒絕服務(wù)攻擊）后，向保險公司申請理賠時，需提供安全配置基線核查報告作為損失評估依據(jù)。

**需要注意的條款及修正**：

1.**第三條法律依據(jù)**：增加《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)安全責(zé)任保險的規(guī)定。

2.**第七條核查內(nèi)容**：

-在“訪問控制”中增加“入侵檢測系統(tǒng)（IDS）誤報率與漏報率”的核查項。

-在“應(yīng)急響應(yīng)”中明確要求核查安全事件日志的完整性及保留期限。

3.**第九條核查報告**：

-增加“攻擊模擬測試記錄”章節(jié)，量化評估系統(tǒng)在遭受典型攻擊時的脆弱性等級。

**注意事項**：理賠核查需關(guān)注“損失因果鏈”，即證明安全配置缺陷直接導(dǎo)致了損失發(fā)生，因此核查報告需突出“基線不符合項與攻擊行為的關(guān)聯(lián)性”。

---

###特殊應(yīng)用場景五：ICS分階段安全提升改造評估

**應(yīng)用場景說明**：該場景適用于企業(yè)對老舊ICS進(jìn)行分批改造時，需在每階段改造后進(jìn)行安全配置核查，確保改造過程不引入新風(fēng)險。

**需要注意的條款及修正**：

1.**第八條核查方法**：

-增加“改造前后配置對比分析”方法，確保新舊系統(tǒng)間的安全策略一致性。

2.**第九條核查報告**：

-增加“改造風(fēng)險矩陣”章節(jié)，對每項改造措施可能產(chǎn)生的安全風(fēng)險進(jìn)行量化評估。

3.**第十九條協(xié)議終止**：

-增加“分階段終止條款”：若甲方提前終止某階段改造，乙方需退還該階段已產(chǎn)生費用，并保留后續(xù)階段的服務(wù)權(quán)利。

**注意事項**：分階段核查需建立“基線滾動更新機(jī)制”，即每完成一次改造，基線標(biāo)準(zhǔn)需同步調(diào)整，避免后續(xù)核查與改造目標(biāo)脫節(jié)。

---

###實際操作過程中遇到的問題及解決辦法

1.**問題**：甲方因系統(tǒng)復(fù)雜，無法提供完整的技術(shù)文檔。

**解決辦法**：在合同中增加“文檔補充期”條款，允許乙方在____日內(nèi)通過遠(yuǎn)程診斷補充采集必要信息，若甲方仍無法配合，需承擔(dān)額外現(xiàn)場勘查費用。

2.**問題**：乙方核查時發(fā)現(xiàn)甲方的ICS與基線標(biāo)準(zhǔn)存在歷史遺留偏差，整改難度大。

**解決辦法**：在第九條中增加“歷史偏差豁免機(jī)制”，對因技術(shù)迭代無法完全整改的項，需經(jīng)雙方簽字確認(rèn)并記錄在案，但需在報告中明確標(biāo)注風(fēng)險等級。

3.**問題**：甲方在整改期間系統(tǒng)頻繁宕機(jī)，影響生產(chǎn)。

**解決辦法**：在第六條中明確乙方需提供“整改窗口期”建議，建議甲方在系統(tǒng)低峰時段進(jìn)行配置調(diào)整，并要求乙方提供應(yīng)急回退方案。

---

###原始合同所需的詳細(xì)附件清單

1.**ICS范圍清單**：

-設(shè)備型號清單（含PLC、DCS、傳感器等）

-網(wǎng)絡(luò)拓?fù)鋱D（含物理鏈路、IP段劃分）

-關(guān)鍵系統(tǒng)接口列表（如SCADA與MES的對接點）

2.**安全配置基線標(biāo)準(zhǔn)**：

-操作系統(tǒng)基線（如WindowsServer、Linux的加固要求）

-數(shù)據(jù)庫基線（如SQLServer的加密配置）

-網(wǎng)絡(luò)設(shè)備基線（防火墻策略、交換機(jī)端口安全）

3.**核查工作計劃**：

-核查時間表（日歷形式）

-人員分工表（甲方配合人員、乙方核查專家）

-風(fēng)險點預(yù)判清單

4.**雙方授權(quán)代表簽字頁**：

-甲方企業(yè)法人章及簽字（技術(shù)總監(jiān)簽字）

-乙方企業(yè)法人章及簽字（項目經(jīng)理簽字）

-聯(lián)系人信息（含手機(jī)、郵箱、緊急聯(lián)系方式）

5.**補充協(xié)議**：

-若涉及供應(yīng)鏈安全評估，需增加供應(yīng)商資質(zhì)證明模板

-若涉及災(zāi)備核查，需附災(zāi)備測試記錄表格

多方為主導(dǎo)時的，附件條款及說明

第十一章多方參與機(jī)制

第一條參與方角色界定

當(dāng)ICS安全配置基線核查涉及甲方、乙方及第三方中介（以下簡稱“參與方”）時，本協(xié)議各方的權(quán)利與義務(wù)應(yīng)按實際主導(dǎo)方進(jìn)行調(diào)整。主導(dǎo)方負(fù)責(zé)統(tǒng)籌核查工作的整體安排，非主導(dǎo)方應(yīng)配合主導(dǎo)方完成約定任務(wù)，并各自承擔(dān)相應(yīng)的法律責(zé)任。

第二條協(xié)調(diào)機(jī)制

（一）成立核查工作協(xié)調(diào)小組，由主導(dǎo)方指定召集人，成員包括各參與方指定代表，負(fù)責(zé)解決核查過程中的重大事項、資源協(xié)調(diào)及進(jìn)度管理。

（二）協(xié)調(diào)小組應(yīng)至少每____周召開一次會議，會議紀(jì)要需經(jīng)所有參與方確認(rèn)，并作為本協(xié)議附件。

第三條責(zé)任劃分

（一）主導(dǎo)方：負(fù)責(zé)制定核查計劃、分配任務(wù)、監(jiān)督進(jìn)度、確認(rèn)結(jié)果，并對核查工作的最終質(zhì)量承擔(dān)管理責(zé)任。

（二）乙方：在主導(dǎo)方領(lǐng)導(dǎo)下執(zhí)行具體核查工作，對核查技術(shù)結(jié)果的準(zhǔn)確性負(fù)責(zé)。

（三）第三方中介：根據(jù)約定角色參與核查，可能是技術(shù)顧問、見證方或獨立評估方，其責(zé)任范圍由具體任務(wù)決定。

第十二章甲方為主導(dǎo)時的，附加條款及說明

第四條甲方主導(dǎo)下的核查計劃制定

（一）條款內(nèi)容：甲方應(yīng)主導(dǎo)制定核查計劃，包括核查范圍、方法、時間表及資源需求，并在協(xié)議簽訂后的____日內(nèi)提交乙方及第三方中介（如有）審核。

（二）說明：甲方作為主導(dǎo)方，需具備統(tǒng)籌協(xié)調(diào)能力，確保核查計劃符合自身管理需求及監(jiān)管要求。計劃中應(yīng)明確各參與方的分工，例如乙方負(fù)責(zé)技術(shù)核查，第三方中介負(fù)責(zé)獨立驗證等。若甲方計劃不符合實際，乙方有權(quán)提出修改建議，協(xié)調(diào)小組應(yīng)共同協(xié)商調(diào)整。

第五條甲方對核查過程的監(jiān)督權(quán)

（一）條款內(nèi)容：甲方有權(quán)隨時抽查乙方及第三方中介的核查記錄，包括現(xiàn)場勘查照片、配置檢測數(shù)據(jù)、溝通會議錄音等，任何一方不得拒絕。

（二）說明：該條款保障甲方對核查過程的控制權(quán)，防止乙方或第三方中介敷衍了事。核查記錄需按規(guī)定存檔，電子記錄應(yīng)備份至甲方指定服務(wù)器。若甲方發(fā)現(xiàn)異常，可要求立即中止核查并重新分配任務(wù)，相關(guān)費用由責(zé)任方承擔(dān)。

第六條甲方對核查結(jié)果的決定權(quán)

（一）條款內(nèi)容：核查報告需經(jīng)乙方技術(shù)負(fù)責(zé)人、第三方中介（如有）及甲方共同確認(rèn)簽字。若第三方中介與乙方意見不一致，甲方有權(quán)最終決定采納哪方建議，但需在確認(rèn)函中注明分歧點及甲方?jīng)Q策理由。

（二）說明：甲方作為最終用戶，對核查結(jié)果的接受度最高。該條款賦予甲方否決權(quán)，但需基于事實記錄，避免濫用權(quán)力。若甲方強(qiáng)行通過有爭議的報告，需承擔(dān)后續(xù)整改不力的風(fēng)險，包括監(jiān)管處罰或保險拒賠。

第七條甲方主導(dǎo)下的整改資源調(diào)配

（一）條款內(nèi)容：整改方案需經(jīng)主導(dǎo)方（即甲方）審批后實施。甲方應(yīng)負(fù)責(zé)協(xié)調(diào)內(nèi)部資源（如IT部門、生產(chǎn)部門）配合整改，并確保乙方及第三方中介（如有）提出的整改建議得到落實。

（二）說明：整改是核查的延伸，甲方需承擔(dān)推動落實的責(zé)任。若因資源調(diào)配不及時導(dǎo)致整改延期，甲方需向乙方支付誤期補償金，金額按合同總價的____‰/日計算，但累計不超過總價的____%。第三方中介可監(jiān)督整改過程，并向甲方提交獨立評估報告。

第十三章乙方為主導(dǎo)時的，附加條款及說明

第八條乙方主導(dǎo)下的核查方案設(shè)計

（一）條款內(nèi)容：當(dāng)乙方主導(dǎo)時，需在協(xié)議簽訂后____日內(nèi)提交核查方案，方案應(yīng)包括核查方法論、工具選型、人員資質(zhì)、風(fēng)險應(yīng)對預(yù)案等，并需經(jīng)甲方及第三方中介（如有）書面認(rèn)可。

（二）說明：乙方作為技術(shù)主導(dǎo)方，需具備獨立設(shè)計核查方案的能力。方案中應(yīng)突出ICS的技術(shù)特點，如實時性、確定性等，避免采用通用IT安全方法。若方案存在重大缺陷，甲方有權(quán)要求乙方限時修改，否則可更換乙方并扣減相應(yīng)費用。

第九條乙方對核查過程的統(tǒng)一管理

（一）條款內(nèi)容：乙方負(fù)責(zé)制定詳細(xì)的核查任務(wù)書，明確各參與方（含甲方配合人員）的具體職責(zé)和交付物，并建立進(jìn)度跟蹤機(jī)制。乙方需定期向協(xié)調(diào)小組匯報工作進(jìn)展，并處理現(xiàn)場突發(fā)問題。

（二）說明：乙方主導(dǎo)時需扮演“項目管理方”角色，確保核查按計劃推進(jìn)。任務(wù)書應(yīng)細(xì)化到每日工作內(nèi)容，例如“核查PLC-01的訪問控制策略（需甲方提供操作員賬號）”。若因乙方管理不善導(dǎo)致任務(wù)延誤，需承擔(dān)相應(yīng)責(zé)任，并在報告中如實記錄。

第十條乙方對核查報告的最終技術(shù)審核

（一）條款內(nèi)容：核查報告的技術(shù)部分需經(jīng)乙方技術(shù)總監(jiān)審核簽字，并附上核查過程中的關(guān)鍵數(shù)據(jù)記錄（如漏洞掃描結(jié)果、配置比對清單）。若第三方中介提出技術(shù)質(zhì)疑，乙方需負(fù)責(zé)解釋或補充證據(jù)。

（二）說明：即使甲方主導(dǎo)，技術(shù)把關(guān)仍需乙方負(fù)責(zé)。該條款確保報告的專業(yè)性，避免因非技術(shù)因素（如甲方主觀要求）干擾結(jié)果。若乙方未能提供充分的技術(shù)依據(jù)，報告無效，需重新核查并承擔(dān)額外費用。

第十四章第三方中介參與的，附加條款及說明

第十一條第三方中介的角色與責(zé)任

（一）條款內(nèi)容：第三方中介參與核查時，其角色由協(xié)議明確約定，可能是：

1.獨立驗證方：對乙方核查結(jié)果進(jìn)行盲測驗證，確?？陀^性；

2.技術(shù)顧問：提供ICS特定領(lǐng)域的專業(yè)意見，補充乙方能力短板；

3.見證方：證明核查過程符合法定程序，用于訴訟或仲裁證據(jù)。

（二）說明：第三方中介的參與需有明確目標(biāo)，避免重復(fù)勞動。若為驗證方，其核查范圍應(yīng)與乙方錯開____%，并使用不同工具；若為顧問，需提供書面技術(shù)建議書；若為見證方，需全程參與關(guān)鍵環(huán)節(jié)并簽字確認(rèn)。

第十二條第三方中介的獨立性要求

（一）條款內(nèi)容：第三方中介不得參與任何可能影響其獨立判斷的工作，例如：

1.直接執(zhí)行核查任務(wù)；

2.為甲方提供整改服務(wù)；

3.事先知曉乙方核查方案細(xì)節(jié)。

（二）說明：獨立性是第三方中介的核心價值，該條款防止利益沖突。若發(fā)現(xiàn)中介違反獨立性要求，甲方有權(quán)終止其參與并要求退款，乙方需承擔(dān)連帶責(zé)任。中介需在協(xié)議中承諾簽署《保密及獨立聲明》。

第十三條第三方中介的評估結(jié)果效力

（一）條款內(nèi)容：第三方中介的評估結(jié)果應(yīng)作