2025年工业互联网安全评估协议.docxVIP

2025年工业互联网安全评估协议

甲方（委托方）：[委托方公司全称]

法定代表人/授权代表：[姓名]

地址：[公司注册地址或主要经营地址]

联系电话：[公司联系电话]

电子邮箱：[公司联系邮箱]

乙方（评估方）：[评估方公司全称]

法定代表人/授权代表：[姓名]

地址：[公司注册地址或主要经营地址]

联系电话：[公司联系电话]

电子邮箱：[公司联系邮箱]

鉴于甲方拥有并运营工业互联网系统，关注其系统的安全性，希望委托专业的安全评估服务；乙方拥有专业的工业互联网安全评估能力和资质，愿意为甲方提供相关服务。根据《中华人民共和国合同法》及相关法律法规，甲乙双方经友好协商，达成如下协议，以资共同遵守。

第一条定义与解释

除非本协议上下文另有明确说明，下列词语具有以下含义：

1.1“工业互联网系统”指甲方拥有、运营或控制的，包含网络设备、服务器、计算机系统、工业控制系统、生产执行系统（MES）、企业资源规划系统（ERP）集成、工业物联网（IIoT）设备、数据传输链路及相关应用的综合性信息物理融合系统。

1.2“安全评估”指乙方根据本协议约定，对甲方指定的工业互联网系统进行资产识别、威胁分析、漏洞扫描、渗透测试、配置核查、安全策略符合性审查等一种或多种活动，旨在发现系统存在的安全隐患并评估潜在风险。

1.3“漏洞”指甲方工业互联网系统中存在的、可能被威胁利用导致信息泄露、系统瘫痪、服务中断或业务遭受损失的不安全设计、配置或实现缺陷。

1.4“风险评估”指乙方对已识别的漏洞在特定环境下可能造成的业务影响程度和发生可能性的综合评价。

1.5“服务水平”指乙方承诺为甲方提供安全评估服务的质量标准，包括但不限于评估范围、评估方法、报告质量等。

1.6“保密信息”指双方在履行本协议过程中获悉的、未公开的、具有商业价值的信息，包括但不限于甲方的工业互联网系统详细配置、业务流程、运营数据、财务信息以及乙方的评估方法、客户信息、技术秘密等。本定义不因本协议的终止而失效。

1.7“不可抗力”指不能预见、不能避免并不能克服的客观情况，包括但不限于自然灾害、战争、动乱、政府行为、法律政策重大调整、严重流行性疫病等。

第二条双方权利与义务

2.1甲方的权利与义务：

2.1.1甲方的权利：

(a)有权要求乙方按照本协议约定的范围、方法和时间表履行安全评估职责。

(b)有权在评估过程中，对乙方提出的问题进行解释和澄清。

(c)有权获取乙方提交的最终安全评估报告及过程中形成的其他必要评估材料。

(d)有权对乙方在评估过程中遵守保密义务的情况进行监督。

(e)有权要求乙方在评估中发现可能造成系统严重中断或重大损失的紧急风险时，及时告知并协助制定临时控制方案。

2.1.2甲方的义务：

(a)向乙方提供履行本协议所需的、真实、准确、完整的工业互联网系统信息，包括但不限于网络拓扑图、设备清单及型号规格、操作系统及中间件版本、应用程序详情、访问控制策略、安全设备部署情况、相关文档等。甲方保证其提供信息内容的真实性，因信息不实导致评估结果偏差或乙方产生损失的，由甲方承担相应责任。

(b)指定一名或多名接口人，负责与乙方就本协议相关事宜进行沟通、协调和确认。

(c)在评估活动开始前，根据乙方需求，提供必要的物理访问权限、网络接入（包括必要的IP地址、端口开放等）、设备访问权限（如需），并确保评估环境在满足评估需求的同时，符合甲方生产安全和网络安全的相关规定。

(d)在评估过程中，根据乙方的合理请求，提供必要的技术支持，协助乙方理解系统实际运行情况。

(e)按照本协议第五条约定，按时足额支付评估服务费用。

(f)配合乙方完成现场勘查、人员访谈、设备操作演示、测试验证等工作，提供必要的协助。

(g)对评估过程中发现的、可能影响系统安全稳定运行的紧急问题，在乙方提出建议后，及时采取合理的临时控制措施。

(h)确保其提供的用于评估的环境或设备与生产环境在关键配置上具有代表性，但甲方无需承担因评估环境差异导致的与生产环境实际表现不符的风险。

(i)对乙方在评估过程中接触到的甲方保密信息承担保密义务。

2.2乙方的权利与义务：

2.2.1乙方的权利：

(a)有权按照本协议约定，在甲方授权范围内对甲方指定的工业互联网系统进行安全评估活动。

(b)有权要求甲方提供履行本协议所必需的信息、配合和必要的资源。

(c)有权按照本协议第六条约定，按时提交