2024年1月电力系统网络安全责任划分协议

2025年电力系统网络安全责任划分协议本合同共二部分组成，仅供学习使用，第一部分如下：甲方（供电方）：___________________________注册地址：_______________________________法定代表人：_____________________________乙方（运维方）：___________________________注册地址：_______________________________法定代表人：_____________________________丙方（监管方）：___________________________注册地址：_______________________________法定代表人：_____________________________第一条定义与解释1.1“电力系统”指由甲方运营的包括发电、输电、变电、配电及用电设备构成的整体网络。1.2“网络安全事件”指因网络攻击、系统漏洞、数据泄露或恶意操作导致电力系统运行异常或数据损毁的行为。1.3“关键信息基础设施”指电力系统中对国家安全、经济运行或社会秩序具有重大影响的网络设施和信息系统。第二条协议目的本协议旨在明确各方在电力系统网络安全防护、事件处置及责任划分中的权利义务，确保电力系统稳定运行及数据安全。第三条责任主体3.1甲方负责电力系统物理设备的安全管理及整体网络安全策略制定。3.2乙方负责网络系统的日常运维、漏洞修复及安全监测。3.3丙方负责监督甲乙双方履行网络安全义务，并协调应急处置。第四条网络安全义务4.1甲方应建立网络安全管理制度，定期对设备进行安全评估，并向乙方提供必要的技术参数。4.2乙方应每季度提交网络安全报告，包括但不限于漏洞修复记录、攻击拦截数据及系统升级日志。4.3丙方应每年组织至少两次网络安全演练，并公布演练结果及改进要求。第五条技术防护措施5.1甲方应在关键节点部署物理隔离装置，并确保冗余系统处于可用状态。5.2乙方须采用符合国家标准的加密算法，对电力系统控制指令及数据传输通道进行加密保护。5.3丙方有权对甲乙双方的技术防护措施进行抽查，并提出书面整改意见。第六条数据安全管理6.1甲方拥有电力系统运行数据的所有权，乙方未经书面授权不得向第三方提供或存储数据。6.2乙方应建立数据备份机制，确保在发生网络安全事件后2小时内恢复核心数据。6.3丙方有权调取事件相关数据用于调查分析，但需遵守国家保密规定。第七条事件分级与响应7.2二级事件：影响局部供电或数据泄露量低于1TB，需在2小时内完成初步处置。7.3三级事件：未造成实际损失的安全警报，需在24小时内提交分析报告。第八条应急处置流程8.1发生网络安全事件后，乙方须立即通知甲方及丙方，并同步采取隔离受影响系统的措施。8.2甲方应在接报后1小时内组织专家团队确定事件性质，并向丙方提交初步评估报告。8.3丙方根据事件等级协调外部资源，必要时可接管系统控制权。第九条责任划分原则9.1因甲方未及时更新安全策略导致的事件，甲方承担70%责任，乙方承担30%责任。9.2因乙方运维失误导致的事件，乙方承担全部责任。9.3因不可抗力或第三方攻击超出防护标准的事件，三方共同承担损失。第十条审计与检查10.1丙方每半年委托独立第三方机构对甲乙双方进行网络安全审计，审计费用由责任方承担。10.2乙方应保留至少三年的系统操作日志，并配合丙方随时调阅。第十一条系统变更管理11.1甲方对电力系统架构的重大变更应提前30日书面通知乙方及丙方。11.2乙方进行软件升级或配置调整前，须经甲方书面确认并报丙方备案。第十二条教育培训12.1乙方应每年为甲方技术人员提供不少于40学时的网络安全培训。12.2丙方负责编制年度网络安全知识考核题库，考核未达标单位需限期整改。第十三条保险机制13.1甲方应投保网络安全责任险，单次事故赔偿限额不低于人民币_________元。13.2乙方须为其运维团队投保职业责任险，年度总保额不低于人民币_________元。第十四条知识产权14.1乙方在履行合同过程中开发的专用安全工具，知识产权归甲乙双方共同所有。14.2丙方提供的检测标准及技术规范，未经许可不得用于商业目的。第十五条合同变更15.1任何条款修改须经三方协商一致，并签订书面补充协议。15.2因政策法规变化导致条款无效的，不影响其他条款效力。第十六条保密义务16.1三方应对协议内容及履职过程中获知的商业秘密承担永久保密责任。16.2泄密方除承担法律责任外，需按实际损失金额的200%支付违约金。第十七条通知与送达17.1文件送达地址以本协议记载为准，变更地址需提前5日书面通知。17.2电子送达与纸质送达具有同等法律效力。第十八条法律适用18.1本协议的解释及争议解决适用中华人民共和国法律。18.2与协议相关的技术标准以国家能源局最新发布版本为准。第十九条协议期限19.1本协议自_________年_________月_________日起生效，有效期五年。19.2协议到期前60日，三方应协商续签或终止事宜。第二十条附件效力20.1《网络安全技术规范》（编号：_________）、《应急响应流程图》作为本协议附件。20.2附件内容与本协议条款冲突时，以协议为准。第二部分：第三方介入后的修正第二十一条第三方定义与范畴21.1“第三方”指基于本协议履行需要，经甲乙丙三方共同书面确认引入的独立主体，包括但不限于技术顾问机构、独立审计单位、网络安全服务供应商、紧急救援团队等。21.2第三方需具备国家认可的行业资质，且其业务范围与介入事项直接相关，资质证明文件应作为本协议附件补充提交。第二十二条第三方引入程序22.1甲方或乙方提出引入第三方需求时，需向丙方提交《第三方介入申请》，载明第三方名称、服务内容、介入期限及必要性分析。22.2丙方应在收到申请后15个工作日内完成第三方资质审查，并组织三方会议确定权责划分方案。22.3第三方正式介入前，须与甲方、乙方、丙方共同签署《四方权利义务确认书》，明确其具体职责及权限边界。第二十三条第三方责任与义务23.1第三方应严格按照协议约定范围开展工作，不得超越授权访问或操作系统数据。23.2第三方须在服务开始前7日向丙方提交详细工作计划，包括人员配置、技术方案及应急预案。23.3第三方对其提供的服务成果承担质量保证责任，保证期自服务验收合格之日起不少于2年。第二十四条第三方权利保障24.1第三方有权要求甲方或乙方提供与介入事项相关的必要技术资料及操作权限。24.2第三方因履行协议产生的合理费用（含差旅、检测、专家咨询等），由提出引入需求方先行垫付，最终按责任比例分摊。24.3第三方在紧急情况下为避免损失扩大，可先行采取必要措施，但需在行动后2小时内向三方书面说明情况。第二十五条责任划分细则25.1因第三方技术缺陷导致的安全事件：（1）若甲方或乙方未尽到资质审查义务，甲乙双方承担60%连带责任，第三方承担40%；（2）若丙方审查失职，丙方承担30%监管责任，剩余部分按前款比例划分。25.2第三方擅自操作引发系统故障的，第三方承担全额赔偿责任，且丙方有权永久禁止其参与电力系统相关项目。第二十六条信息保密要求26.1第三方须签署专项保密协议，保密义务期限自服务结束之日起持续10年。26.2第三方人员进入核心区域需实行双人陪同制，所有操作记录须实时至丙方监管平台。第二十七条第三方服务验收27.1验收委员会由甲方2名代表、乙方1名代表、丙方1名代表及外部专家1名组成。27.2验收未通过的，第三方应在20个工作日内完成整改，逾期每日按合同总额的0.5%支付违约金。第二十八条保险与担保28.1第三方应投保职业责任险，单次事故保额不低于人民币_________元，并将丙方列为共同受益人。28.2重大系统改造类第三方须提供银行履约保函，担保金额不低于合同标的额的30%。第二十九条第三方替代机制（1）原第三方丧失从业资质；（2）累计3次未通过整改验收；（3）发生重大泄密或伪造数据行为。29.2替代第三方产生的额外费用由原第三方承担，丙方可从其履约保证金中直接扣除。第三十条争议解决条款30.1涉及第三方的争议，优先通过丙方组织的专项协调会解决，协调期不超过30日。30.2协调未果的，任何一方可向_________仲裁委员会申请仲裁，仲裁地为_________。第三十一条知识产权特别约定31.1第三方在服务过程中形成的专利、著作权等成果，所有权归甲乙双方共同所有，第三方享有署名权。31.2第三方不得将服务过程中获取的技术信息用于其他商业项目，违者按合同总额的3倍支付惩罚性赔偿金。第三十二条协议附件更新附件三：《第三方介入审批流程图》附件四：《四方权利义务确认书（范本）》附件五：《第三方保密承诺书》第三十三条效力衔接条款33.1本部分条款与原协议条款冲突时，以本部分条款为准。33.2丙方保留对本部分条款的最终解释权，解释口径以国家网络安全法及相关实施细则为依据。合同签署页甲方（供电方）：___________________________注册地址：_______________________________法定代表人（签字）：_____________________签署日期：_________年_________月_________日乙方（运维方）：___________________________注册地址：_______________________________法定代表人（签字）：_____________________签署日期：_________年_________月_________日丙方（监管方）：___________________________注册地址：_______________