2025年工业信息安全服务合同协议.docxVIP

2025年工业信息安全服务合同协议

鉴于甲方（以下简称“客户”）因业务发展需要，保障其工业信息系统的安全稳定运行，需要乙方（以下简称“服务商”）提供专业的工业信息安全服务；乙方拥有提供此类服务的专业能力、资质和经验。根据《中华人民共和国民法典》及其他有关法律法规，甲乙双方在平等、自愿、公平和诚实信用的基础上，经友好协商，就乙方为甲方提供工业信息安全服务事宜，达成如下协议：

第一条定义与解释

1.1本协议所称“工业信息安全服务”是指乙方根据本协议约定，为甲方工业控制系统（以下简称“ICS/OT”）网络及相关设备提供的安全评估、漏洞管理、安全监控、应急响应、安全运维、安全意识培训等专业化服务。

1.2本协议所称“工业控制系统”是指甲方生产运营中使用的，包括但不限于操作系统、应用软件、网络设备、安全设备、工业控制设备（如PLC、DCS、SCADA系统等）及其相关网络环境。

1.3本协议所称“安全事件”是指发生在甲方ICS/OT环境中的，可能或已经导致信息系统功能异常、数据泄露、系统瘫痪、业务中断等的网络安全事件。

1.4本协议所称“服务水平协议”（SLA）是指双方约定用于衡量乙方提供服务质量的量化指标和标准。

1.5本协议所称“保密信息”是指一方（披露方）以书面、口头、电子或其他形式向另一方（接收方）披露的，未公开的，与披露方业务、技术、运营、财务等相关的，接收方知悉或应知悉的，具有商业价值并需保密的信息，包括但不限于技术方案、配置参数、客户信息、服务报告、价格信息等。双方员工、代理人及任何接触保密信息的第三方均有义务对保密信息保密。

1.6本协议所称“有效通知”是指通过书面形式（包括但不限于专人递送、挂号信、传真、电子邮件）发送至本协议首部载明的地址或邮箱。

1.7除非本协议另有明确约定，以下简称的“天”均指自然日，“月”指公历月份，“年”指公历年份。

第二条服务范围与内容

2.1乙方同意根据甲方需求，在本协议有效期内向甲方提供以下工业信息安全服务：

2.1.1工业网络安全评估：对甲方指定的ICS/OT网络区域进行资产识别、威胁建模、漏洞扫描与分析、配置核查、渗透测试等，评估现有安全防护能力及潜在风险。

2.1.2ICS漏洞管理：定期对甲方ICS/OT环境进行漏洞扫描，提供漏洞详情分析、风险等级评估、修复建议和跟踪验证服务。

2.1.3工业安全监控与预警：部署或利用甲方现有安全设备，对ICS/OT网络进行7x24小时安全事件监测、异常行为分析、恶意代码识别和预警响应。

2.1.4工业安全应急响应：在发生或疑似发生安全事件时，根据约定启动应急响应流程，提供事件分析、遏制、根除、恢复及事后分析报告服务。

2.1.5工业安全运维服务：提供安全设备（如防火墙、入侵检测系统等）的配置优化、策略调优、日常巡检、版本升级等服务。

2.1.6工业信息安全意识培训：根据甲方需求，组织面向操作人员、技术人员的管理和安全意识培训。

2.2具体的服务范围、执行频率、方法、交付物等细节由双方在附件（如有）中进一步明确，或在本协议“双方权利与义务”部分约定。甲方指定的服务范围、频次等如有变更，应提前书面通知乙方，双方协商一致后可签订补充协议。

2.3乙方应按照国家及行业相关标准（如等级保护要求）和行业最佳实践，结合甲方ICS/OT环境的实际特点，提供专业、规范的服务。

第三条双方权利与义务

3.1甲方的权利与义务：

3.1.1有权要求乙方按照本协议约定提供服务，并监督服务过程和质量。

3.1.2有权获得乙方提供的服务报告、交付物及必要的说明。

3.1.3应向乙方提供开展服务所需的必要信息、环境、设备访问权限、技术文档及操作手册，并保证信息的真实性、准确性。

3.1.4应指定专门的接口人，负责与乙方的沟通协调，及时反馈问题。

3.1.5应配合乙方进行安全事件的调查、分析和处置，提供必要的协助。

3.1.6应按照本协议约定按时足额支付服务费用。

3.1.7应对其自身网络和系统的安全负责，不得因甲方原因导致乙方服务无法正常开展或产生额外费用。

3.1.8应遵守保密义务，对从乙方获取的保密信息承担保密责任。

3.2乙方的权利与义务：

3.2.1有权按照本协议约定收取服务费用。

3.2.2应组建具备相应资质和经验的服务团队，指派合格的服务人员为甲方提供服务。

3.2.3应严格按照本协议约定及双方确定的方案、计划提供服务，保证服务质量和专业性。

3.2.4应遵守国家有关法律法规及行业规范，特别是涉及ICS/OT安全的法律法规。

3.2.5应对服务过程中知