為貫徹落實《中華人民共和國網(wǎng)絡安全法》���,加強網(wǎng)絡安全漏洞管理�����,工業(yè)和信息化部會同有關部門起草了《網(wǎng)絡安全漏洞管理規(guī)定(征求意見稿)》(見附件)�,擬以規(guī)范性文件形式印發(fā),現(xiàn)面向社會公開征求意見����。如有意見或建議,請于2019年7月18日前反饋�。
聯(lián)系電話:010-66022093
傳 真:010-66022774
郵 箱:wangmeifang@miit.gov.cn
地 址:北京市西城區(qū)西長安街13號工業(yè)和信息化部網(wǎng)絡安全管理局(郵編:100804)。請在信封上注明“《網(wǎng)絡安全漏洞管理規(guī)定(征求意見稿)》意見反饋”����。
附件:《網(wǎng)絡安全漏洞管理規(guī)定(征求意見稿)》
工業(yè)和信息化部
2019年6月18日
網(wǎng)絡安全漏洞管理規(guī)定
(征求意見稿)
第一條 為規(guī)范網(wǎng)絡安全漏洞(以下簡稱漏洞)報告和信息發(fā)布等行為,保證網(wǎng)絡產品���、服務�����、系統(tǒng)的漏洞得到及時修補��,提高網(wǎng)絡安全防護水平���,根據(jù)《國家安全法》《網(wǎng)絡安全法》�����,制定本規(guī)定��。
第二條 中華人民共和國境內網(wǎng)絡產品��、服務提供者和網(wǎng)絡運營者���,以及開展漏洞檢測、評估��、收集�����、發(fā)布及相關競賽等活動的組織(以下簡稱第三方組織)或個人,應當遵守本規(guī)定���。
第三條 網(wǎng)絡產品���、服務提供者和網(wǎng)絡運營者發(fā)現(xiàn)或獲知其網(wǎng)絡產品、服務��、系統(tǒng)存在漏洞后�����,應當遵守以下規(guī)定:
?����。ㄒ唬┝⒓磳β┒催M行驗證��,對相關網(wǎng)絡產品應當在90日內采取漏洞修補或防范措施����,對相關網(wǎng)絡服務或系統(tǒng)應當在10日內采取漏洞修補或防范措施;
?��。ǘ┬枰脩艋蛳嚓P技術合作方采取漏洞修補或防范措施的��,應當在對相關網(wǎng)絡產品�����、服務����、系統(tǒng)采取漏洞修補或防范措施后5日內,將漏洞風險及用戶或相關技術合作方需采取的修補或防范措施向社會發(fā)布或通過客服等方式告知所有可能受影響的用戶和相關技術合作方����,提供必要的技術支持,并向工業(yè)和信息化部網(wǎng)絡安全威脅信息共享平臺報送相關漏洞情況����。
第四條 工業(yè)和信息化部、公安部和有關行業(yè)主管部門按照各自職責組織督促網(wǎng)絡產品�����、服務提供者和網(wǎng)絡運營者采取漏洞修補或防范措施���。
第五條 工業(yè)和信息化部��、公安部�����、國家互聯(lián)網(wǎng)信息辦公室等有關部門實現(xiàn)漏洞信息實時共享�。
第六條 第三方組織或個人通過網(wǎng)站�、媒體、會議等方式向社會發(fā)布漏洞信息�,應當遵循必要���、真實、客觀�、有利于防范和應對網(wǎng)絡安全風險的原則����,并遵守以下規(guī)定:
(一)不得在網(wǎng)絡產品��、服務提供者和網(wǎng)絡運營者向社會或用戶發(fā)布漏洞修補或防范措施之前發(fā)布相關漏洞信息�;
(二)不得刻意夸大漏洞的危害和風險��;
?����。ㄈ┎坏冒l(fā)布和提供專門用于利用網(wǎng)絡產品����、服務、系統(tǒng)漏洞從事危害網(wǎng)絡安全活動的方法���、程序和工具��;
?。ㄋ模斖桨l(fā)布漏洞修補或防范措施。
第七條 第三方組織應當加強內部管理��,履行下列管理義務��,防范漏洞信息泄露和內部人員違規(guī)發(fā)布漏洞信息:
?�。ㄒ唬┟鞔_漏洞管理部門和責任人�;
(二)建立漏洞信息發(fā)布內部審核機制�;
(三)采取防范漏洞信息泄露的必要措施����;
(四)定期對內部人員進行保密教育�;
(五)制定內部問責制度�。
第八條 網(wǎng)絡產品、服務提供者和網(wǎng)絡運營者未按本規(guī)定采取漏洞修補或防范措施并向社會或用戶發(fā)布的�����,由工業(yè)和信息化部�����、公安部等有關部門按職責依據(jù)《網(wǎng)絡安全法》第五十六條、第五十九條��、第六十條等規(guī)定組織對其進行約談或給予行政處罰���。
第九條 第三方組織違反本規(guī)定向社會發(fā)布漏洞信息,由工業(yè)和信息化部����、公安部等有關部門組織對其進行約談,或依據(jù)《網(wǎng)絡安全法》第六十二條�、第六十三條等規(guī)定給予行政處罰;構成犯罪的���,依法追究刑事責任�����;給網(wǎng)絡產品���、服務提供者和網(wǎng)絡運營者造成經(jīng)濟或名譽損害的,依法承擔民事責任�。
第十條 鼓勵第三方組織和個人獲知網(wǎng)絡產品����、服務���、系統(tǒng)存在的漏洞后�,及時向國家信息安全漏洞共享平臺��、國家信息安全漏洞庫等漏洞收集平臺報送有關情況����。漏洞收集平臺應當遵守本規(guī)定第六條、第七條規(guī)定�。
第十一條 任何組織或個人發(fā)現(xiàn)涉嫌違反本規(guī)定的情形,有權向工業(yè)和信息化部�、公安部舉報。
第十二條 本規(guī)定自印發(fā)之日起施行���。
轉自:工信部網(wǎng)站
【版權及免責聲明】凡本網(wǎng)所屬版權作品�����,轉載時須獲得授權并注明來源“中國產業(yè)經(jīng)濟信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關法律責任的權力�。凡轉載文章及企業(yè)宣傳資訊�,僅代表作者個人觀點,不代表本網(wǎng)觀點和立場���。版權事宜請聯(lián)系:010-65363056�。
延伸閱讀
