2024年1月電力系統(tǒng)網(wǎng)絡(luò)安全責(zé)任劃分協(xié)議

2025年電力系統(tǒng)網(wǎng)絡(luò)安全責(zé)任劃分協(xié)議?本合同共二部分組成，僅供學(xué)習(xí)使用，第一部分如下：甲方（供電方）：___________________________注冊(cè)地址：_______________________________法定代表人：_____________________________乙方（運(yùn)維方）：___________________________注冊(cè)地址：_______________________________法定代表人：_____________________________丙方（監(jiān)管方）：___________________________注冊(cè)地址：_______________________________法定代表人：_____________________________第一條定義與解釋1.1“電力系統(tǒng)”指由甲方運(yùn)營(yíng)的包括發(fā)電、輸電、變電、配電及用電設(shè)備構(gòu)成的整體網(wǎng)絡(luò)。1.2“網(wǎng)絡(luò)安全事件”指因網(wǎng)絡(luò)攻擊、系統(tǒng)漏洞、數(shù)據(jù)泄露或惡意操作導(dǎo)致電力系統(tǒng)運(yùn)行異常或數(shù)據(jù)損毀的行為。1.3“關(guān)鍵信息基礎(chǔ)設(shè)施”指電力系統(tǒng)中對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行或社會(huì)秩序具有重大影響的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)。第二條協(xié)議目的本協(xié)議旨在明確各方在電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)、事件處置及責(zé)任劃分中的權(quán)利義務(wù)，確保電力系統(tǒng)穩(wěn)定運(yùn)行及數(shù)據(jù)安全。第三條責(zé)任主體3.1甲方負(fù)責(zé)電力系統(tǒng)物理設(shè)備的安全管理及整體網(wǎng)絡(luò)安全策略制定。3.2乙方負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的日常運(yùn)維、漏洞修復(fù)及安全監(jiān)測(cè)。3.3丙方負(fù)責(zé)監(jiān)督甲乙雙方履行網(wǎng)絡(luò)安全義務(wù)，并協(xié)調(diào)應(yīng)急處置。第四條網(wǎng)絡(luò)安全義務(wù)4.1甲方應(yīng)建立網(wǎng)絡(luò)安全管理制度，定期對(duì)設(shè)備進(jìn)行安全評(píng)估，并向乙方提供必要的技術(shù)參數(shù)。4.2乙方應(yīng)每季度提交網(wǎng)絡(luò)安全報(bào)告，包括但不限于漏洞修復(fù)記錄、攻擊攔截?cái)?shù)據(jù)及系統(tǒng)升級(jí)日志。4.3丙方應(yīng)每年組織至少兩次網(wǎng)絡(luò)安全演練，并公布演練結(jié)果及改進(jìn)要求。第五條技術(shù)防護(hù)措施5.1甲方應(yīng)在關(guān)鍵節(jié)點(diǎn)部署物理隔離裝置，并確保冗余系統(tǒng)處于可用狀態(tài)。5.2乙方須采用符合國(guó)家標(biāo)準(zhǔn)的加密算法，對(duì)電力系統(tǒng)控制指令及數(shù)據(jù)傳輸通道進(jìn)行加密保護(hù)。5.3丙方有權(quán)對(duì)甲乙雙方的技術(shù)防護(hù)措施進(jìn)行抽查，并提出書面整改意見。第六條數(shù)據(jù)安全管理6.1甲方擁有電力系統(tǒng)運(yùn)行數(shù)據(jù)的所有權(quán)，乙方未經(jīng)書面授權(quán)不得向第三方提供或存儲(chǔ)數(shù)據(jù)。6.2乙方應(yīng)建立數(shù)據(jù)備份機(jī)制，確保在發(fā)生網(wǎng)絡(luò)安全事件后2小時(shí)內(nèi)恢復(fù)核心數(shù)據(jù)。6.3丙方有權(quán)調(diào)取事件相關(guān)數(shù)據(jù)用于調(diào)查分析，但需遵守國(guó)家保密規(guī)定。第七條事件分級(jí)與響應(yīng)7.2二級(jí)事件：影響局部供電或數(shù)據(jù)泄露量低于1TB，需在2小時(shí)內(nèi)完成初步處置。7.3三級(jí)事件：未造成實(shí)際損失的安全警報(bào)，需在24小時(shí)內(nèi)提交分析報(bào)告。第八條應(yīng)急處置流程8.1發(fā)生網(wǎng)絡(luò)安全事件后，乙方須立即通知甲方及丙方，并同步采取隔離受影響系統(tǒng)的措施。8.2甲方應(yīng)在接報(bào)后1小時(shí)內(nèi)組織專家團(tuán)隊(duì)確定事件性質(zhì)，并向丙方提交初步評(píng)估報(bào)告。8.3丙方根據(jù)事件等級(jí)協(xié)調(diào)外部資源，必要時(shí)可接管系統(tǒng)控制權(quán)。第九條責(zé)任劃分原則9.1因甲方未及時(shí)更新安全策略導(dǎo)致的事件，甲方承擔(dān)70%責(zé)任，乙方承擔(dān)30%責(zé)任。9.2因乙方運(yùn)維失誤導(dǎo)致的事件，乙方承擔(dān)全部責(zé)任。9.3因不可抗力或第三方攻擊超出防護(hù)標(biāo)準(zhǔn)的事件，三方共同承擔(dān)損失。第十條審計(jì)與檢查10.1丙方每半年委托獨(dú)立第三方機(jī)構(gòu)對(duì)甲乙雙方進(jìn)行網(wǎng)絡(luò)安全審計(jì)，審計(jì)費(fèi)用由責(zé)任方承擔(dān)。10.2乙方應(yīng)保留至少三年的系統(tǒng)操作日志，并配合丙方隨時(shí)調(diào)閱。第十一條系統(tǒng)變更管理11.1甲方對(duì)電力系統(tǒng)架構(gòu)的重大變更應(yīng)提前30日書面通知乙方及丙方。11.2乙方進(jìn)行軟件升級(jí)或配置調(diào)整前，須經(jīng)甲方書面確認(rèn)并報(bào)丙方備案。第十二條教育培訓(xùn)12.1乙方應(yīng)每年為甲方技術(shù)人員提供不少于40學(xué)時(shí)的網(wǎng)絡(luò)安全培訓(xùn)。12.2丙方負(fù)責(zé)編制年度網(wǎng)絡(luò)安全知識(shí)考核題庫，考核未達(dá)標(biāo)單位需限期整改。第十三條保險(xiǎn)機(jī)制13.1甲方應(yīng)投保網(wǎng)絡(luò)安全責(zé)任險(xiǎn)，單次事故賠償限額不低于人民幣_(tái)________元。13.2乙方須為其運(yùn)維團(tuán)隊(duì)投保職業(yè)責(zé)任險(xiǎn)，年度總保額不低于人民幣_(tái)________元。第十四條知識(shí)產(chǎn)權(quán)14.1乙方在履行合同過程中開發(fā)的專用安全工具，知識(shí)產(chǎn)權(quán)歸甲乙雙方共同所有。14.2丙方提供的檢測(cè)標(biāo)準(zhǔn)及技術(shù)規(guī)范，未經(jīng)許可不得用于商業(yè)目的。第十五條合同變更15.1任何條款修改須經(jīng)三方協(xié)商一致，并簽訂書面補(bǔ)充協(xié)議。15.2因政策法規(guī)變化導(dǎo)致條款無效的，不影響其他條款效力。第十六條保密義務(wù)16.1三方應(yīng)對(duì)協(xié)議內(nèi)容及履職過程中獲知的商業(yè)秘密承擔(dān)永久保密責(zé)任。16.2泄密方除承擔(dān)法律責(zé)任外，需按實(shí)際損失金額的200%支付違約金。第十七條通知與送達(dá)17.1文件送達(dá)地址以本協(xié)議記載為準(zhǔn)，變更地址需提前5日書面通知。17.2電子送達(dá)與紙質(zhì)送達(dá)具有同等法律效力。第十八條法律適用18.1本協(xié)議的解釋及爭(zhēng)議解決適用中華人民共和國(guó)法律。18.2與協(xié)議相關(guān)的技術(shù)標(biāo)準(zhǔn)以國(guó)家能源局最新發(fā)布版本為準(zhǔn)。第十九條協(xié)議期限19.1本協(xié)議自_________年_________月_________日起生效，有效期五年。19.2協(xié)議到期前60日，三方應(yīng)協(xié)商續(xù)簽或終止事宜。第二十條附件效力20.1《網(wǎng)絡(luò)安全技術(shù)規(guī)范》（編號(hào)：_________）、《應(yīng)急響應(yīng)流程圖》作為本協(xié)議附件。20.2附件內(nèi)容與本協(xié)議條款沖突時(shí)，以協(xié)議為準(zhǔn)。第二部分：第三方介入后的修正第二十一條第三方定義與范疇21.1“第三方”指基于本協(xié)議履行需要，經(jīng)甲乙丙三方共同書面確認(rèn)引入的獨(dú)立主體，包括但不限于技術(shù)顧問機(jī)構(gòu)、獨(dú)立審計(jì)單位、網(wǎng)絡(luò)安全服務(wù)供應(yīng)商、緊急救援團(tuán)隊(duì)等。21.2第三方需具備國(guó)家認(rèn)可的行業(yè)資質(zhì)，且其業(yè)務(wù)范圍與介入事項(xiàng)直接相關(guān)，資質(zhì)證明文件應(yīng)作為本協(xié)議附件補(bǔ)充提交。第二十二條第三方引入程序22.1甲方或乙方提出引入第三方需求時(shí)，需向丙方提交《第三方介入申請(qǐng)》，載明第三方名稱、服務(wù)內(nèi)容、介入期限及必要性分析。22.2丙方應(yīng)在收到申請(qǐng)后15個(gè)工作日內(nèi)完成第三方資質(zhì)審查，并組織三方會(huì)議確定權(quán)責(zé)劃分方案。22.3第三方正式介入前，須與甲方、乙方、丙方共同簽署《四方權(quán)利義務(wù)確認(rèn)書》，明確其具體職責(zé)及權(quán)限邊界。第二十三條第三方責(zé)任與義務(wù)23.1第三方應(yīng)嚴(yán)格按照協(xié)議約定范圍開展工作，不得超越授權(quán)訪問或操作系統(tǒng)數(shù)據(jù)。23.2第三方須在服務(wù)開始前7日向丙方提交詳細(xì)工作計(jì)劃，包括人員配置、技術(shù)方案及應(yīng)急預(yù)案。23.3第三方對(duì)其提供的服務(wù)成果承擔(dān)質(zhì)量保證責(zé)任，保證期自服務(wù)驗(yàn)收合格之日起不少于2年。第二十四條第三方權(quán)利保障24.1第三方有權(quán)要求甲方或乙方提供與介入事項(xiàng)相關(guān)的必要技術(shù)資料及操作權(quán)限。24.2第三方因履行協(xié)議產(chǎn)生的合理費(fèi)用（含差旅、檢測(cè)、專家咨詢等），由提出引入需求方先行墊付，最終按責(zé)任比例分?jǐn)偂?4.3第三方在緊急情況下為避免損失擴(kuò)大，可先行采取必要措施，但需在行動(dòng)后2小時(shí)內(nèi)向三方書面說明情況。第二十五條責(zé)任劃分細(xì)則25.1因第三方技術(shù)缺陷導(dǎo)致的安全事件：（1）若甲方或乙方未盡到資質(zhì)審查義務(wù)，甲乙雙方承擔(dān)60%連帶責(zé)任，第三方承擔(dān)40%；（2）若丙方審查失職，丙方承擔(dān)30%監(jiān)管責(zé)任，剩余部分按前款比例劃分。25.2第三方擅自操作引發(fā)系統(tǒng)故障的，第三方承擔(dān)全額賠償責(zé)任，且丙方有權(quán)永久禁止其參與電力系統(tǒng)相關(guān)項(xiàng)目。第二十六條信息保密要求26.1第三方須簽署專項(xiàng)保密協(xié)議，保密義務(wù)期限自服務(wù)結(jié)束之日起持續(xù)10年。26.2第三方人員進(jìn)入核心區(qū)域需實(shí)行雙人陪同制，所有操作記錄須實(shí)時(shí)至丙方監(jiān)管平臺(tái)。第二十七條第三方服務(wù)驗(yàn)收27.1驗(yàn)收委員會(huì)由甲方2名代表、乙方1名代表、丙方1名代表及外部專家1名組成。27.2驗(yàn)收未通過的，第三方應(yīng)在20個(gè)工作日內(nèi)完成整改，逾期每日按合同總額的0.5%支付違約金。第二十八條保險(xiǎn)與擔(dān)保28.1第三方應(yīng)投保職業(yè)責(zé)任險(xiǎn)，單次事故保額不低于人民幣_(tái)________元，并將丙方列為共同受益人。28.2重大系統(tǒng)改造類第三方須提供銀行履約保函，擔(dān)保金額不低于合同標(biāo)的額的30%。第二十九條第三方替代機(jī)制（1）原第三方喪失從業(yè)資質(zhì)；（2）累計(jì)3次未通過整改驗(yàn)收；（3）發(fā)生重大泄密或偽造數(shù)據(jù)行為。29.2替代第三方產(chǎn)生的額外費(fèi)用由原第三方承擔(dān)，丙方可從其履約保證金中直接扣除。第三十條爭(zhēng)議解決條款30.1涉及第三方的爭(zhēng)議，優(yōu)先通過丙方組織的專項(xiàng)協(xié)調(diào)會(huì)解決，協(xié)調(diào)期不超過30日。30.2協(xié)調(diào)未果的，任何一方可向_________仲裁委員會(huì)申請(qǐng)仲裁，仲裁地為_________。第三十一條知識(shí)產(chǎn)權(quán)特別約定31.1第三方在服務(wù)過程中形成的專利、著作權(quán)等成果，所有權(quán)歸甲乙雙方共同所有，第三方享有署名權(quán)。31.2第三方不得將服務(wù)過程中獲取的技術(shù)信息用于其他商業(yè)項(xiàng)目，違者按合同總額的3倍支付懲罰性賠償金。第三十二條協(xié)議附件更新附件三：《第三方介入審批流程圖》附件四：《四方權(quán)利義務(wù)確認(rèn)書（范本）》附件五：《第三方保密承諾書》第三十三條效力銜接條款33.1本部分條款與原協(xié)議條款沖突時(shí)，以本部分條款為準(zhǔn)。33.2丙方保留對(duì)本部分條款的最終解釋權(quán)，解釋口徑以國(guó)家網(wǎng)絡(luò)安全法及相關(guān)實(shí)施細(xì)則為依據(jù)。合同簽署頁甲方（供電方）：___________________________注冊(cè)地址：_______________________________法定代表人（簽字）：_____________________簽署日期：_________年_________月_________日乙方（運(yùn)維方）：___________________________注冊(cè)地址：_______________________________法定代表人（簽字）：_____________________簽署日期：_________年_________月_________日丙方（監(jiān)管方）：___________________________注冊(cè)地址：_______________