工业互联网安全评估协议.docxVIP

工业互联网安全评估协议

甲方（委托方）：[甲方全称]

地址：[甲方地址]

统一社会信用代码：[甲方统一社会信用代码]

乙方（评估方）：[乙方全称]

地址：[乙方地址]

统一社会信用代码：[乙方统一社会信用代码]

鉴于甲方拥有或运营工业互联网系统，并希望聘请乙方对所述系统进行安全评估；乙方具备相应的专业资质和技术能力，愿意承接甲方的委托，双方根据《中华人民共和国民法典》及相关法律法规的规定，本着平等自愿、协商一致的原则，达成如下协议：

第一条定义与解释

除非本协议上下文另有明确约定，下列词语具有以下含义：

（一）工业互联网系统：指由甲方拥有或运营，包含工业控制系统、网络基础设施、数据处理平台及应用软件等要素，用于支撑生产、经营、管理活动的信息与物理系统结合的集成化体系。

（二）关键信息基础设施：指在工业互联网系统中，对工业生产、经济运行、社会秩序和公众利益具有重大影响的网络、服务器、存储设备、工业控制设备等。

（三）网络攻击：指通过非法手段对工业互联网系统进行侵入、干扰、破坏、窃取信息等行为。

（四）安全漏洞：指工业互联网系统中存在的、可被网络攻击利用的缺陷或弱点。

（五）风险评估：指识别工业互联网系统安全风险，分析风险发生的可能性和影响程度，并确定风险等级的过程。

（六）服务水平：指乙方按照本协议约定，完成工业互联网安全评估工作的质量、效率和效果标准。

（七）保密信息：指一方（披露方）以口头、书面、电子或其他形式向另一方（接收方）披露的，未公开且与披露方业务、技术、运营相关的，接收方知悉或应知悉的非公开信息，包括但不限于商业计划、技术方案、客户信息、财务数据、运营数据、安全漏洞信息、评估报告等。

（八）知识产权：指在工业互联网安全评估工作中产生的所有专利权、商标权、著作权、商业秘密及其他任何形式的知识成果。

第二条合作目的与范围

（一）合作目的

1.评估甲方工业互联网系统的整体安全状况，识别存在的安全风险和脆弱性。

2.分析甲方工业互联网系统抵御已知及潜在网络攻击的能力。

3.对照国家及行业相关安全标准与要求（包括但不限于《网络安全法》、《数据安全法》、《个人信息保护法》、等级保护相关标准、特定工业行业安全规范等），对甲方工业互联网系统的合规性进行评估。

4.基于评估结果，为甲方提供具有针对性和可行性的安全改进建议，协助甲方提升工业互联网系统的整体安全防护水平。

（二）评估范围

本次安全评估的范围涵盖但不限于以下方面：

1.网络层面：甲方工业互联网系统的网络拓扑结构，包括生产网络（如OT网络）与企业管理网络（如IT网络）的边界防护措施，网络设备（路由器、交换机、防火墙等）的配置与策略，以及连接生产网络与管理网络的接入点安全状况。

2.设备层面：关键工业控制设备（如PLC、DCS、传感器、执行器、变频器等）的操作系统及应用程序的版本、配置和安全性，服务器、存储设备、终端设备等的信息安全防护措施。

3.系统层面：运行在甲方工业互联网系统上的操作系统（包括工业操作系统、Linux、Windows等）、数据库（如MySQL、Oracle、SQLServer等）、中间件（如MQ、Web服务器等）及工业应用软件（如SCADA、MES、ERP、监控系统等）的安全配置、补丁更新情况及存在漏洞。

4.应用层面：评估工业应用软件的功能安全性、访问控制机制、数据传输与存储加密措施、日志记录与审计功能的有效性。

5.数据层面：评估工业生产数据、工艺参数、设备状态数据、供应链数据等关键数据的敏感性，以及相应的数据安全保护措施（如访问控制、加密、脱敏、备份恢复等）。

6.身份与访问管理：评估用户账号管理、权限分配、身份认证机制（如多因素认证）的健全性。

7.安全运维与应急响应：评估甲方日常安全监控、漏洞管理、安全事件应急处置的能力和流程。

8.物理环境：对存放关键网络设备、服务器、工业控制核心设备的机房或控制室的物理访问控制、环境监控等安全措施的评估（根据甲方需要和实际情况确定）。

具体评估范围内的资产清单、系统配置信息及相关文档，由甲乙双方在评估准备阶段进一步确认。

第三条双方权利与义务

（一）甲方的权利与义务

1.有权要求乙方按照本协议约定的目的、范围、方法和标准，在约定的期限内完成工业互联网安全评估工作。

2.有权要求乙方提供评估过程中涉及的技术问题咨询和解释说明。

3.有权获得乙方提交的符合约定的正式安全评估报告。

4.有权要求乙方及其参与评估项目的工作人员对在合作过程中获知的甲方的保密信息承担保密义务。

5.有权根据乙方提交的评估计划，对乙方的工作安排提出合理建议。

6.应向乙方提供履行本协议所需的、真实、准确、完整的工业互联网系统信息、配置文档、架构图、操作手册等