2024年四月份電力系統(tǒng)網(wǎng)絡(luò)安全滲透測試協(xié)議

2025年電力系統(tǒng)網(wǎng)絡(luò)安全滲透測試協(xié)議?本合同共二部分組成，僅供學(xué)習(xí)使用，第一部分如下：鑒于甲方（委托方）___________________________（注冊地址：___________________________，統(tǒng)一社會信用代碼：___________________________）與乙方（服務(wù)方）___________________________（注冊地址：___________________________，統(tǒng)一社會信用代碼：___________________________）就電力系統(tǒng)網(wǎng)絡(luò)安全滲透測試服務(wù)達(dá)成協(xié)議，依據(jù)《中華人民共和國民法典》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》及相關(guān)技術(shù)規(guī)范，訂立本協(xié)議如下：第一條服務(wù)內(nèi)容1.1乙方承諾按照《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（國家發(fā)改委令第14號）及GB/T222392019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》，對甲方所屬的___________________________（具體系統(tǒng)名稱/范圍）開展網(wǎng)絡(luò)安全滲透測試，包括但不限于：（1）網(wǎng)絡(luò)邊界安全檢測（2）工業(yè)控制協(xié)議漏洞驗(yàn)證（3）SCADA系統(tǒng)脆弱性分析（4）數(shù)據(jù)完整性校驗(yàn)（5）社會工程學(xué)攻擊模擬第二條測試范圍限定2.1目標(biāo)系統(tǒng)物理位置：___________________________2.2IP地址段：___________________________2.3授權(quán)測試時段：自____年____月____日____時起至____年____月____日____時止2.4禁止測試對象：___________________________（明確標(biāo)注不得進(jìn)行滲透的子系統(tǒng)或設(shè)備）第三條交付成果（1）漏洞等級分類（CVSS3.1標(biāo)準(zhǔn)）（2）攻擊路徑還原圖（3）風(fēng)險影響范圍評估（4）修復(fù)建議（含短期應(yīng)急處置方案）3.2報告形式：紙質(zhì)版____份，加密電子版（采用___________________________算法）存儲于___________________________介質(zhì)第四條雙方義務(wù)4.1甲方義務(wù)：（1）提供系統(tǒng)拓?fù)鋱D及設(shè)備清單（截止日期：____年____月____日）（2）開通測試專用賬號權(quán)限（賬號類型：___________________________）（3）指定應(yīng)急聯(lián)系人（姓名：___________________________，職務(wù)：___________________________）4.2乙方義務(wù)：（1）測試人員須持有___________________________（如CISPPTE/CISSP證書編號）（2）使用工具清單報備：___________________________（3）每日測試日志留存（保存期不少于____年）第五條風(fēng)險控制5.1測試強(qiáng)度不得超過___________________________（明確最大并發(fā)連接數(shù)/數(shù)據(jù)包發(fā)送速率）5.2禁止實(shí)施的測試手段：□拒絕服務(wù)攻擊（DoS/DDoS）□物理設(shè)備拆卸□生產(chǎn)控制指令篡改□其他：___________________________第六條數(shù)據(jù)保密6.1乙方獲得的系統(tǒng)配置信息、業(yè)務(wù)數(shù)據(jù)等，存儲期限不得超過____日6.2數(shù)據(jù)傳輸須使用___________________________（如IPSecVPN/量子加密通道）6.3測試數(shù)據(jù)銷毀方式：___________________________（明確消磁/物理粉碎等）第七條知識產(chǎn)權(quán)7.1滲透測試報告著作權(quán)歸屬：□甲方□乙方7.2乙方保留測試方法論的知識產(chǎn)權(quán)第八條服務(wù)費(fèi)用8.1合同總價：人民幣____元（大寫：___________________________）8.2付款節(jié)點(diǎn)：（1）合同簽訂后____日內(nèi)支付____%（2）中期報告提交后____日內(nèi)支付____%（3）終驗(yàn)合格后____日內(nèi)支付____%第九條驗(yàn)收標(biāo)準(zhǔn)9.1漏洞檢出率不低于行業(yè)基準(zhǔn)值____%（參照___________________________年度行業(yè)報告）9.2誤報率不得高于____%9.3復(fù)測通過標(biāo)準(zhǔn)：高危漏洞修復(fù)率達(dá)____%第十條違約責(zé)任10.1乙方未按期交付報告，每日按合同總額____%支付違約金10.2甲方未按時提供測試環(huán)境，項(xiàng)目周期順延，超過____日乙方有權(quán)解除合同10.3任何方泄露敏感信息，需賠償直接損失及___________________________（明確懲罰性賠償計算方式）第十一條不可抗力11.1因電力調(diào)度指令、電網(wǎng)緊急狀態(tài)等行業(yè)特有不可抗力導(dǎo)致服務(wù)中止，雙方協(xié)商解決11.2受影響方須在事件發(fā)生后____小時內(nèi)提交書面證明第十二條合規(guī)要求12.1乙方測試活動應(yīng)符合《電力行業(yè)網(wǎng)絡(luò)安全等級保護(hù)管理辦法》要求12.2重大漏洞報送：發(fā)現(xiàn)___________________________（如可導(dǎo)致區(qū)域停電的漏洞）應(yīng)立即報告國家能源局第十三條保險責(zé)任13.1乙方應(yīng)投保網(wǎng)絡(luò)安全責(zé)任險，保額不低于人民幣____萬元13.2保險憑證提交時間：合同簽訂后____日內(nèi)第十四條協(xié)議變更14.1涉及測試范圍、方法的變更須形成書面附件（編號：___________________________）14.2單方變更造成的成本增加由變更方承擔(dān)第十五條爭議解決15.1爭議提交___________________________（具體仲裁機(jī)構(gòu)名稱）仲裁15.2仲裁期間不影響非爭議條款履行第十六條附屬文件16.1《滲透測試授權(quán)書》（編號：___________________________）16.2《系統(tǒng)資產(chǎn)清單》（版本號：___________________________）16.3《安全測試應(yīng)急預(yù)案》（簽發(fā)日期：___________________________）第十七條生效條件17.1經(jīng)雙方法定代表人或授權(quán)代表簽字并加蓋公章17.2通過甲方上級單位___________________________（名稱）合規(guī)審查第十八條特別約定18.1測試產(chǎn)生的日志數(shù)據(jù)所有權(quán)歸屬：□甲方□雙方共有18.2允許乙方在脫敏后使用測試數(shù)據(jù)用于___________________________（如學(xué)術(shù)研究/產(chǎn)品改進(jìn)）第十九條技術(shù)聯(lián)絡(luò)19.1甲方技術(shù)對接人：___________________________（職稱/專業(yè)資質(zhì)）19.2乙方技術(shù)負(fù)責(zé)人：___________________________（職稱/專業(yè)資質(zhì)）19.3定期協(xié)調(diào)會議頻次：每____周召開____次第二十條法律適用20.1本合同適用中華人民共和國法律20.2行業(yè)監(jiān)管規(guī)定與合同條款沖突時，以___________________________（明確優(yōu)先適用順序）為準(zhǔn)第二部分：第三方介入后的修正第二十一條第三方定義與類型（1）獨(dú)立審計機(jī)構(gòu)：___________________________（業(yè)務(wù)資質(zhì)：___________________________）（2）技術(shù)顧問單位：___________________________（專業(yè)領(lǐng)域：___________________________）（3）設(shè)備供應(yīng)商：___________________________（關(guān)聯(lián)設(shè)備清單：___________________________）（4）數(shù)據(jù)托管方：___________________________（存儲資質(zhì)認(rèn)證編號：___________________________）21.2第三方介入需滿足最低資質(zhì)要求：□具有___________________________（如國家能源局安全服務(wù)機(jī)構(gòu)備案證明）□通過___________________________（如ISO27001信息安全管理體系認(rèn)證）□無關(guān)聯(lián)關(guān)系聲明：與甲乙方不存在直接或間接股權(quán)關(guān)聯(lián)第二十二條第三方介入程序22.1發(fā)起方應(yīng)提前____日向?qū)Ψ教峤弧兜谌浇槿肷暾垥罚ǜ袷骄幪枺篲__________________________），包含：（1）第三方機(jī)構(gòu)全稱及統(tǒng)一社會信用代碼（2）介入事由及必要性分析（3）預(yù)計影響的服務(wù)節(jié)點(diǎn)清單22.2異議處理：收到申請后____日內(nèi)未書面反對視為同意22.3最終確認(rèn)文件：《第三方服務(wù)確認(rèn)函》（簽署方：___________________________）第二十三條第三方權(quán)限限定23.1數(shù)據(jù)訪問范圍：僅限___________________________（列明可接觸的系統(tǒng)模塊/數(shù)據(jù)類型）23.2操作日志留存：第三方須采用___________________________（如區(qū)塊鏈存證技術(shù)）記錄全部操作行為23.3禁止轉(zhuǎn)委托：未經(jīng)甲乙方共同書面許可，第三方不得將獲授權(quán)任務(wù)分包第二十四條第三方保密義務(wù)24.1保密期限：自介入之日起算____年，不因合同終止而失效24.2保密范圍擴(kuò)展：包括甲方系統(tǒng)拓?fù)浼?xì)節(jié)、乙方測試方法論核心參數(shù)24.3泄密責(zé)任：第三方員工造成的泄密視為機(jī)構(gòu)違約，按實(shí)際損失____倍賠償?shù)诙鍡l第三方服務(wù)標(biāo)準(zhǔn)25.1審計類第三方：應(yīng)遵循___________________________（如《電力行業(yè)網(wǎng)絡(luò)安全審計指引》第____版）25.2技術(shù)支援類第三方：響應(yīng)時間不超過____小時，可用性保障不低于____%25.3數(shù)據(jù)托管類第三方：災(zāi)備等級需達(dá)到___________________________（如GB/T209882007Tier4）第二十六條費(fèi)用與支付26.1第三方費(fèi)用承擔(dān)方式：□甲方單獨(dú)支付（計入合同總價____%）□乙方成本分?jǐn)偅ㄕ{(diào)整后合同價見附件____）□第三方自負(fù)（需提供___________________________擔(dān)保函）26.2支付條件：第三方工作成果通過___________________________（如甲方技術(shù)委員會評審會）確認(rèn)后生效第二十七條責(zé)任劃分27.1第三方直接責(zé)任：因故意或重大過失導(dǎo)致系統(tǒng)癱瘓、數(shù)據(jù)泄露的，由第三方在___________________________（明確賠償上限）范圍內(nèi)承擔(dān)首要責(zé)任27.2甲乙方連帶責(zé)任：在___________________________情形下（如未履行第三方資質(zhì)審查義務(wù)）承擔(dān)補(bǔ)充責(zé)任27.3責(zé)任豁免條款：第三方遵循甲乙方書面指令造成的合規(guī)性風(fēng)險，由指令發(fā)出方擔(dān)責(zé)第二十八條知識產(chǎn)權(quán)歸屬28.1第三方獨(dú)立開發(fā)成果：著作權(quán)歸屬□甲方□第三方□甲乙雙方共有（比例：____%）28.2第三方使用甲方數(shù)據(jù)的衍生作品：甲方享有無償使用權(quán)第二十九條第三方替換機(jī)制29.1替換條件：當(dāng)?shù)谌匠霈F(xiàn)___________________________（如連續(xù)____次未達(dá)服務(wù)標(biāo)準(zhǔn)）時啟動29.2過渡期安排：原第三方應(yīng)配合新第三方完成___________________________（如數(shù)據(jù)遷移/權(quán)限交接），期限不超過____日29.3替換費(fèi)用：因非過錯方原因?qū)е碌奶鎿Q，由___________________________承擔(dān)合理成本第三十條爭議解決擴(kuò)展30.1涉及第三方的爭議優(yōu)先適用___________________________（如《第三方服務(wù)附錄》第____條）30.2多方仲裁條款：爭議方同意由___________________________（仲裁機(jī)構(gòu)）按___________________________（規(guī)則名稱）合并審理第三十一條第三方退出機(jī)制31.1正常退出：完成___________________________（如系統(tǒng)安全認(rèn)證報告簽署）后____日內(nèi)解除權(quán)限31.2強(qiáng)制退出情形：（1）喪失必備資質(zhì)超過____日（2）被列入___________________________（如國家能源局失信名單）31.3退出審計：由___________________________（機(jī)構(gòu)名稱）對第三方服務(wù)期間行為進(jìn)行合規(guī)性鑒證第三十二條文檔管理32.1第三方的文件須加蓋___________________________（如可信時間戳）并同步存儲至甲方指定的___________________________（如政務(wù)云平臺）32.2文檔訪問權(quán)限：□甲方可無條件調(diào)閱□乙方需經(jīng)___________________________（如第三方書面授權(quán)）后查閱□第三方保留___________________________（如算法核心代碼）的保密權(quán)限第三十三條保險要求33.1第三方應(yīng)投保：（1）職業(yè)責(zé)任險，保額不低于人民幣____萬元（2）數(shù)據(jù)安全險，覆蓋___________________________（如勒索攻擊損失）33.2保險受益人：□甲方□乙方□按損失關(guān)聯(lián)度分配第三十四條合規(guī)報備34.1第三方介入后____日內(nèi)，甲方向___________________________（如屬地網(wǎng)信辦）提交《多方服務(wù)備案表》34.2跨境第三方特別要求：數(shù)據(jù)出境前須通過___________________________（如國家網(wǎng)信部門安全評估）第三十五條第三方人員管理