為貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》��,加強(qiáng)網(wǎng)絡(luò)安全漏洞管理��,工業(yè)和信息化部會同有關(guān)部門起草了《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》(見附件)���,擬以規(guī)范性文件形式印發(fā),現(xiàn)面向社會公開征求意見�����。如有意見或建議�,請于2019年7月18日前反饋。
聯(lián)系電話:010-66022093
傳 真:010-66022774
郵 箱:wangmeifang@miit.gov.cn
地 址:北京市西城區(qū)西長安街13號工業(yè)和信息化部網(wǎng)絡(luò)安全管理局(郵編:100804)�����。請?jiān)谛欧馍献⒚鳌啊毒W(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》意見反饋”。
附件:《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》
工業(yè)和信息化部
2019年6月18日
網(wǎng)絡(luò)安全漏洞管理規(guī)定
(征求意見稿)
第一條為規(guī)范網(wǎng)絡(luò)安全漏洞(以下簡稱漏洞)報告和信息發(fā)布等行為�����,保證網(wǎng)絡(luò)產(chǎn)品��、服務(wù)�、系統(tǒng)的漏洞得到及時修補(bǔ)����,提高網(wǎng)絡(luò)安全防護(hù)水平�����,根據(jù)《國家安全法》《網(wǎng)絡(luò)安全法》���,制定本規(guī)定���。
第二條中華人民共和國境內(nèi)網(wǎng)絡(luò)產(chǎn)品����、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營者,以及開展漏洞檢測、評估����、收集���、發(fā)布及相關(guān)競賽等活動的組織(以下簡稱第三方組織)或個人,應(yīng)當(dāng)遵守本規(guī)定�。
第三條網(wǎng)絡(luò)產(chǎn)品��、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營者發(fā)現(xiàn)或獲知其網(wǎng)絡(luò)產(chǎn)品����、服務(wù)���、系統(tǒng)存在漏洞后����,應(yīng)當(dāng)遵守以下規(guī)定:
(一)立即對漏洞進(jìn)行驗(yàn)證�,對相關(guān)網(wǎng)絡(luò)產(chǎn)品應(yīng)當(dāng)在90日內(nèi)采取漏洞修補(bǔ)或防范措施��,對相關(guān)網(wǎng)絡(luò)服務(wù)或系統(tǒng)應(yīng)當(dāng)在10日內(nèi)采取漏洞修補(bǔ)或防范措施�����;
(二)需要用戶或相關(guān)技術(shù)合作方采取漏洞修補(bǔ)或防范措施的,應(yīng)當(dāng)在對相關(guān)網(wǎng)絡(luò)產(chǎn)品、服務(wù)��、系統(tǒng)采取漏洞修補(bǔ)或防范措施后5日內(nèi),將漏洞風(fēng)險及用戶或相關(guān)技術(shù)合作方需采取的修補(bǔ)或防范措施向社會發(fā)布或通過客服等方式告知所有可能受影響的用戶和相關(guān)技術(shù)合作方���,提供必要的技術(shù)支持,并向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅信息共享平臺報送相關(guān)漏洞情況�。
第四條工業(yè)和信息化部�����、公安部和有關(guān)行業(yè)主管部門按照各自職責(zé)組織督促網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營者采取漏洞修補(bǔ)或防范措施��。
第五條工業(yè)和信息化部�、公安部、國家互聯(lián)網(wǎng)信息辦公室等有關(guān)部門實(shí)現(xiàn)漏洞信息實(shí)時共享��。
第六條第三方組織或個人通過網(wǎng)站�����、媒體����、會議等方式向社會發(fā)布漏洞信息���,應(yīng)當(dāng)遵循必要���、真實(shí)���、客觀、有利于防范和應(yīng)對網(wǎng)絡(luò)安全風(fēng)險的原則�,并遵守以下規(guī)定:
(一)不得在網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營者向社會或用戶發(fā)布漏洞修補(bǔ)或防范措施之前發(fā)布相關(guān)漏洞信息����;
(二)不得刻意夸大漏洞的危害和風(fēng)險�;
(三)不得發(fā)布和提供專門用于利用網(wǎng)絡(luò)產(chǎn)品��、服務(wù)�、系統(tǒng)漏洞從事危害網(wǎng)絡(luò)安全活動的方法�、程序和工具;
(四)應(yīng)當(dāng)同步發(fā)布漏洞修補(bǔ)或防范措施。
第七條第三方組織應(yīng)當(dāng)加強(qiáng)內(nèi)部管理,履行下列管理義務(wù)���,防范漏洞信息泄露和內(nèi)部人員違規(guī)發(fā)布漏洞信息:
(一)明確漏洞管理部門和責(zé)任人��;
(二)建立漏洞信息發(fā)布內(nèi)部審核機(jī)制�����;
(三)采取防范漏洞信息泄露的必要措施�;
(四)定期對內(nèi)部人員進(jìn)行保密教育;
(五)制定內(nèi)部問責(zé)制度�。
第八條網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營者未按本規(guī)定采取漏洞修補(bǔ)或防范措施并向社會或用戶發(fā)布的����,由工業(yè)和信息化部�、公安部等有關(guān)部門按職責(zé)依據(jù)《網(wǎng)絡(luò)安全法》第五十六條、第五十九條����、第六十條等規(guī)定組織對其進(jìn)行約談或給予行政處罰。
第九條第三方組織違反本規(guī)定向社會發(fā)布漏洞信息�����,由工業(yè)和信息化部��、公安部等有關(guān)部門組織對其進(jìn)行約談�,或依據(jù)《網(wǎng)絡(luò)安全法》第六十二條、第六十三條等規(guī)定給予行政處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任;給網(wǎng)絡(luò)產(chǎn)品�����、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營者造成經(jīng)濟(jì)或名譽(yù)損害的��,依法承擔(dān)民事責(zé)任�。
第十條鼓勵第三方組織和個人獲知網(wǎng)絡(luò)產(chǎn)品、服務(wù)、系統(tǒng)存在的漏洞后,及時向國家信息安全漏洞共享平臺���、國家信息安全漏洞庫等漏洞收集平臺報送有關(guān)情況�����。漏洞收集平臺應(yīng)當(dāng)遵守本規(guī)定第六條��、第七條規(guī)定�。
第十一條任何組織或個人發(fā)現(xiàn)涉嫌違反本規(guī)定的情形��,有權(quán)向工業(yè)和信息化部�、公安部舉報��。
第十二條本規(guī)定自印發(fā)之日起施行�����。
