為貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò )安全法》�,加強網(wǎng)絡(luò )安全漏洞管理��,工業(yè)和信息化部會(huì )同有關(guān)部門(mén)起草了《網(wǎng)絡(luò )安全漏洞管理規定(征求意見(jiàn)稿)》(見(jiàn)附件)��,擬以規范性文件形式印發(fā)����,現面向社會(huì )公開(kāi)征求意見(jiàn)���。如有意見(jiàn)或建議�����,請于2019年7月18日前反饋���。
聯(lián)系電話(huà):010-66022093
傳 真:010-66022774
郵 箱:wangmeifang@miit.gov.cn
地 址:北京市西城區西長(cháng)安街13號工業(yè)和信息化部網(wǎng)絡(luò )安全管理局(郵編:100804)�����。請在信封上注明“《網(wǎng)絡(luò )安全漏洞管理規定(征求意見(jiàn)稿)》意見(jiàn)反饋”���。
附件:《網(wǎng)絡(luò )安全漏洞管理規定(征求意見(jiàn)稿)》
工業(yè)和信息化部
2019年6月18日
網(wǎng)絡(luò )安全漏洞管理規定
(征求意見(jiàn)稿)
第一條 為規范網(wǎng)絡(luò )安全漏洞(以下簡(jiǎn)稱(chēng)漏洞)報告和信息發(fā)布等行為�,保證網(wǎng)絡(luò )產(chǎn)品��、服務(wù)���、系統的漏洞得到及時(shí)修補����,提高網(wǎng)絡(luò )安全防護水平���,根據《國家安全法》《網(wǎng)絡(luò )安全法》�,制定本規定����。
第二條 中華人民共和國境內網(wǎng)絡(luò )產(chǎn)品�、服務(wù)提供者和網(wǎng)絡(luò )運營(yíng)者�,以及開(kāi)展漏洞檢測���、評估�、收集��、發(fā)布及相關(guān)競賽等活動(dòng)的組織(以下簡(jiǎn)稱(chēng)第三方組織)或個(gè)人,應當遵守本規定���。
第三條 網(wǎng)絡(luò )產(chǎn)品�����、服務(wù)提供者和網(wǎng)絡(luò )運營(yíng)者發(fā)現或獲知其網(wǎng)絡(luò )產(chǎn)品����、服務(wù)�、系統存在漏洞后���,應當遵守以下規定:
?。ㄒ唬┝⒓磳β┒催M(jìn)行驗證���,對相關(guān)網(wǎng)絡(luò )產(chǎn)品應當在90日內采取漏洞修補或防范措施����,對相關(guān)網(wǎng)絡(luò )服務(wù)或系統應當在10日內采取漏洞修補或防范措施�;
?����。ǘ┬枰脩?hù)或相關(guān)技術(shù)合作方采取漏洞修補或防范措施的����,應當在對相關(guān)網(wǎng)絡(luò )產(chǎn)品�����、服務(wù)�、系統采取漏洞修補或防范措施后5日內�,將漏洞風(fēng)險及用戶(hù)或相關(guān)技術(shù)合作方需采取的修補或防范措施向社會(huì )發(fā)布或通過(guò)客服等方式告知所有可能受影響的用戶(hù)和相關(guān)技術(shù)合作方�����,提供必要的技術(shù)支持�����,并向工業(yè)和信息化部網(wǎng)絡(luò )安全威脅信息共享平臺報送相關(guān)漏洞情況����。
第四條 工業(yè)和信息化部���、公安部和有關(guān)行業(yè)主管部門(mén)按照各自職責組織督促網(wǎng)絡(luò )產(chǎn)品�、服務(wù)提供者和網(wǎng)絡(luò )運營(yíng)者采取漏洞修補或防范措施����。
第五條 工業(yè)和信息化部�、公安部��、國家互聯(lián)網(wǎng)信息辦公室等有關(guān)部門(mén)實(shí)現漏洞信息實(shí)時(shí)共享����。
第六條 第三方組織或個(gè)人通過(guò)網(wǎng)站��、媒體�����、會(huì )議等方式向社會(huì )發(fā)布漏洞信息��,應當遵循必要���、真實(shí)�、客觀(guān)�、有利于防范和應對網(wǎng)絡(luò )安全風(fēng)險的原則�,并遵守以下規定:
?�。ㄒ唬┎坏迷诰W(wǎng)絡(luò )產(chǎn)品����、服務(wù)提供者和網(wǎng)絡(luò )運營(yíng)者向社會(huì )或用戶(hù)發(fā)布漏洞修補或防范措施之前發(fā)布相關(guān)漏洞信息�;
?����。ǘ┎坏每桃饪浯舐┒吹奈:惋L(fēng)險�;
?���。ㄈ┎坏冒l(fā)布和提供專(zhuān)門(mén)用于利用網(wǎng)絡(luò )產(chǎn)品�、服務(wù)�、系統漏洞從事危害網(wǎng)絡(luò )安全活動(dòng)的方法��、程序和工具�����;
?����。ㄋ模斖桨l(fā)布漏洞修補或防范措施����。
第七條 第三方組織應當加強內部管理���,履行下列管理義務(wù)���,防范漏洞信息泄露和內部人員違規發(fā)布漏洞信息:
?。ㄒ唬┟鞔_漏洞管理部門(mén)和責任人��;
?���。ǘ┙⒙┒葱畔l(fā)布內部審核機制��;
?��。ㄈ┎扇》婪堵┒葱畔⑿孤兜谋匾胧?�;
?��。ㄋ模┒ㄆ趯炔咳藛T進(jìn)行保密教育�;
?。ㄎ澹┲贫▋炔繂?wèn)責制度��。
第八條 網(wǎng)絡(luò )產(chǎn)品�、服務(wù)提供者和網(wǎng)絡(luò )運營(yíng)者未按本規定采取漏洞修補或防范措施并向社會(huì )或用戶(hù)發(fā)布的�,由工業(yè)和信息化部��、公安部等有關(guān)部門(mén)按職責依據《網(wǎng)絡(luò )安全法》第五十六條�����、第五十九條��、第六十條等規定組織對其進(jìn)行約談或給予行政處罰��。
第九條 第三方組織違反本規定向社會(huì )發(fā)布漏洞信息��,由工業(yè)和信息化部���、公安部等有關(guān)部門(mén)組織對其進(jìn)行約談��,或依據《網(wǎng)絡(luò )安全法》第六十二條�、第六十三條等規定給予行政處罰�;構成犯罪的��,依法追究刑事責任����;給網(wǎng)絡(luò )產(chǎn)品���、服務(wù)提供者和網(wǎng)絡(luò )運營(yíng)者造成經(jīng)濟或名譽(yù)損害的�����,依法承擔民事責任�。
第十條 鼓勵第三方組織和個(gè)人獲知網(wǎng)絡(luò )產(chǎn)品���、服務(wù)���、系統存在的漏洞后�,及時(shí)向國家信息安全漏洞共享平臺�����、國家信息安全漏洞庫等漏洞收集平臺報送有關(guān)情況����。漏洞收集平臺應當遵守本規定第六條�����、第七條規定���。
第十一條 任何組織或個(gè)人發(fā)現涉嫌違反本規定的情形����,有權向工業(yè)和信息化部���、公安部舉報���。
第十二條 本規定自印發(fā)之日起施行���。
轉自:工信部網(wǎng)站
【版權及免責聲明】凡本網(wǎng)所屬版權作品�,轉載時(shí)須獲得授權并注明來(lái)源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”�����,違者本網(wǎng)將保留追究其相關(guān)法律責任的權力�����。凡轉載文章及企業(yè)宣傳資訊��,僅代表作者個(gè)人觀(guān)點(diǎn)�,不代表本網(wǎng)觀(guān)點(diǎn)和立場(chǎng)�����。版權事宜請聯(lián)系:010-65363056�����。
延伸閱讀
