2024年六月份电力系统网络安全防护补充协议

2025年电力系统网络安全防护补充协议本合同共二部分组成，仅供学习使用，第一部分如下：第一条定义与解释1.1"电力系统"指委托方所属的___________（具体描述电力系统名称、覆盖范围及核心设施）。1.2"网络安全防护服务"包括但不限于风险评估、漏洞修复、入侵检测、应急响应及安全培训等服务内容。1.3"关键信息基础设施"指委托方电力系统中被认定为《关键信息基础设施安全保护条例》所涵盖的设施。第二条服务内容与范围（1）网络安全风险评估，每季度至少开展一次全面扫描；（2）部署___________（具体设备或系统名称）用于实时监测网络异常行为；（3）针对电力工控系统定制化防护方案，包括___________（如防火墙升级、访问控制策略优化）；（4）网络安全事件应急响应，承诺在___________小时内抵达现场处置。2.2服务覆盖范围包括甲方位于___________（具体地址）的主数据中心及___________（数量）个区域变电站。第三条服务标准3.1乙方服务应符合《电力监控系统安全防护规定》（国家能源局令第__号）及___________（其他行业标准名称）。3.2漏洞修复响应时间：高危漏洞应在发现后___________小时内完成修复，中危漏洞不超过___________个工作日。第四条委托方义务4.1甲方应提供电力系统网络拓扑图、设备清单及权限账号供乙方开展服务。4.2甲方需在合同生效后___________个工作日内支付首期服务费___________元。第五条服务方义务5.1乙方人员进入甲方涉密区域须签署保密协议，并接受甲方安全审查。5.2乙方每半年向甲方提交《网络安全防护效能评估报告》。第六条服务期限6.1本协议服务期自___________年___________月___________日起至___________年___________月___________日止。6.2协议到期前___________日，双方可协商续签，否则自动终止。第七条验收与交付7.1乙方完成阶段性服务后，甲方应在___________个工作日内组织验收，验收标准见附件___________。7.2未通过验收的，乙方须在___________日内完成整改并重新提交验收申请。第八条服务费用及支付8.1总费用为人民币___________元（大写：___________），分___________期支付：（1）首期款：合同签订后支付___________%；（2）中期款：通过第___________次验收后支付___________%；（3）尾款：服务期满后___________日内支付剩余款项。8.2逾期付款的，甲方应按日___________‰支付滞纳金。第九条保密义务9.1双方应对协议履行过程中获知的商业秘密、技术资料保密，保密期限自协议终止之日起___________年。9.2未经甲方书面同意，乙方不得将服务内容披露给第三方。第十条知识产权10.1乙方在服务过程中开发的专用工具、检测模型等知识产权归___________（甲方/双方共有）所有。10.2甲方保证其提供的系统、数据不侵犯第三方知识产权。第十一条违约责任11.1乙方未按约定时间完成服务的，每延迟一日按合同总额的___________%支付违约金。11.2因乙方过错导致甲方系统被入侵并造成实际损失的，乙方应承担全额赔偿责任。第十二条不可抗力12.1因地震、战争、重大公共卫生事件等不可抗力导致协议无法履行的，受影响方可部分或全部免责。12.2受不可抗力影响的一方应在事件发生后___________日内书面通知对方。第十三条协议变更与解除13.1任何变更须经双方书面签字确认。（1）一方严重违约且在收到书面通知后___________日内未改正；（2）甲方电力系统发生所有权转移且未取得乙方同意。第十四条争议解决14.1因本协议产生的争议，双方应协商解决；协商不成的，提交___________（具体地点）人民法院诉讼解决。第十五条通知与送达甲方收件地址：___________乙方收件地址：___________15.2通知送达日期以签收日期或寄出后第___________日孰早为准。第十六条协议附件16.1本协议附件包括：附件1：《电力系统网络资产清单》附件2：《网络安全防护服务验收标准》附件3：___________16.2附件与本协议具有同等法律效力。第十七条法律适用17.1本协议适用中华人民共和国法律。第十八条其他条款18.1本协议未尽事宜，双方可签订补充协议。18.2协议一式___________份，双方各执___________份。第二部分：第三方介入后的修正第十九条第三方定义与类型19.1"第三方"指经甲乙双方共同书面确认，为履行本协议或提升网络安全防护能力而引入的独立主体，包括但不限于技术顾问机构、安全检测实验室、硬件设备供应商及数据托管服务商。19.2第三方类型分为：（1）必要第三方：未介入则协议关键服务无法实施的主体（如___________）；（2）辅助第三方：为优化服务而选择性引入的主体（如___________）。第二十条第三方介入程序20.1甲乙任一方提议引入第三方时，须向另一方提交《第三方介入申请》，列明第三方的___________（名称、资质证明、服务范围及合作必要性分析）。20.2未获另一方书面同意的，不得擅自与第三方签订关联协议。20.3第三方正式介入前，甲乙双方应与其签署《三方权利义务确认书》，明确其角色及责任边界。第二十一条第三方资质审查（1）持有___________（如网络安全等级保护测评机构资质证书编号）；（2）近三年无重大网络安全事故记录；（3）其技术人员应通过___________（如CCIESecurity认证）或甲方认可的其他资格认证。21.2乙方对第三方资质承担连带审查责任，若因第三方资质瑕疵导致损失的，乙方先行赔付。第二十二条第三方服务范围限定22.1第三方服务内容应严格限定于：___________（如漏洞验证、硬件设备维保、数据备份），不得超出甲乙双方约定的___________（具体服务目录）。22.2第三方接触甲方核心系统的权限等级由甲方最终核定，权限开通需经___________（如甲方安全主管）书面审批。第二十三条第三方保密义务23.1第三方须与甲方单独签署保密协议，保密义务不低于本协议第九条约定标准。23.2第三方人员进入甲方场所须佩戴___________（如带有芯片定位的专用访问牌），并接受全天候监控录像。第二十四条第三方责任划分（1）第三方直接造成的损失，由第三方在___________日内全额赔偿；（2）乙方未尽监督义务的，承担损失金额的___________%；（3）甲方未尽审核责任的，自行承担___________%。24.2第三方提供的设备或软件存在隐蔽性缺陷的，自交付之日起___________年内承担无偿更换责任。第二十五条第三方费用承担（1）必要第三方费用计入本合同总费用，由甲方按8.1条款支付；（2）辅助第三方费用由___________（提议引入方）自行承担。25.2第三方费用支付凭证须经甲乙双方___________（如联合财务小组）共同审核确认。第二十六条第三方知识产权归属（1）利用甲方核心数据或设施开发的成果，归甲方所有；（2）基于第三方自有技术衍生的成果，归第三方所有，但甲方享有无偿使用权；（3）三方共同研发的成果，按投入比例共有。26.2第三方须向甲方提供___________（如托管凭证）以确保技术延续性。第二十七条第三方替换机制（1）连续___________次未通过服务质量考核；（2）被列入国家网络安全失信黑名单；（3）擅自将分包服务转委托给第四方。第二十八条第三方争议解决28.1涉及第三方的争议，优先在___________（如网络安全争议仲裁委员会）进行专业仲裁。28.2仲裁结果对三方具有强制约束力，败诉方须承担对方律师费及仲裁费用。第二十九条第三方退出机制29.1第三方完成约定义务后，须经___________（如三方联合验收小组）签署《服务终结确认书》后方可退出。29.2退出时应移交___________（如系统管理权限日志、未公开漏洞清单），并销毁所有甲方敏感数据副本。第三十条第三方与甲乙方的信息互通30.1第三方须接入甲方指定的___________（如安全信息与事件管理平台），实时同步___________（如攻击溯源数据、设备运行状态）。30.2乙方有权对第三方输出内容进行___________（如每周随机抽样审计），审计结果作为费用结算依据。第三十一条第三方保险要求31.1第三方应投保网络安全责任险，单次事故赔付限额不低于人民币___________元。31.2保险凭证复印件须于介入前___________日提交甲乙双方备案。第三十二条第三方与原有条款的冲突解决32.1本部分条款优先于协议第一部分中与之冲突的内容。32.2未约定事项仍以第一部分条款为准。甲方（委托方）：名称（盖章）：___________注册地址：___________法定代表人（签字）：___________签署日期：___________年___________月___________日乙方（服务方）：名称（盖章）：___________注册地址：___________