近日,工(gōng)业和信息化部、國(guó)家互联网信息办(bàn)公(gōng)室和公(gōng)安(ān)部联合印发《网络产(chǎn)品安(ān)全漏洞管理(lǐ)规定》(以下简称《规定》)。《规定》依据《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》制定,明确了网络产(chǎn)品提供者和网络运营者是自身产(chǎn)品和系统漏洞的责任主體(tǐ),要建立畅通的漏洞信息接收渠道,及时对漏洞进行验证并完成漏洞修补。同时,《规定》还对网络产(chǎn)品提供者提出了漏洞报送的具(jù)體(tǐ)时限要求,以及对产(chǎn)品用(yòng)户提供技(jì )术支持的义務(wù)。对于从事漏洞发现、收集、发布等活动的组织和个人,《规定》规范了网络产(chǎn)品安(ān)全漏洞发现、报告、修补和发布等行為(wèi),可(kě)有(yǒu)效防范网络安(ān)全风险。《规定》将于2021年9月1日起施行。
网络产(chǎn)品安(ān)全漏洞管理(lǐ)责任与义務(wù)
网络产(chǎn)品提供者
接收:应当建立健全网络产(chǎn)品安(ān)全漏洞信息接收渠道并保持畅通,留存网络产(chǎn)品安(ān)全漏洞信息接收日志(zhì)不少于6个月。
发现与验证:发现或者获知所提供网络产(chǎn)品存在安(ān)全漏洞后,应当立即采取措施并组织对安(ān)全漏洞进行验证,评估安(ān)全漏洞的危害程度和影响范围;对属于其上游产(chǎn)品或者组件存在的安(ān)全漏洞,应当立即通知相关产(chǎn)品提供者。
报送:应当在2日内向工(gōng)业和信息化部网络安(ān)全威胁和漏洞信息共享平台报送相关漏洞信息。
修补与告知:应当及时组织对网络产(chǎn)品安(ān)全漏洞进行修补,应当及时将网络产(chǎn)品安(ān)全漏洞风险及修补方式告知可(kě)能(néng)受影响的产(chǎn)品用(yòng)户,并提供必要的技(jì )术支持。
鼓励网络产(chǎn)品提供者建立所提供网络产(chǎn)品安(ān)全漏洞奖励机制,对发现并通报所提供网络产(chǎn)品安(ān)全漏洞的组织或者个人给予奖励。
网络运营者
漏洞收集平台
鼓励发现网络产(chǎn)品安(ān)全漏洞的组织或者个人向以下平台报送网络产(chǎn)品安(ān)全漏洞信息:
工(gōng)业和信息化部网络安(ān)全威胁和漏洞信息共享平台
國(guó)家网络与信息安(ān)全信息通报中(zhōng)心漏洞平台
國(guó)家计算机网络应急技(jì )术处理(lǐ)协调中(zhōng)心漏洞平台
中(zhōng)國(guó)信息安(ān)全测评中(zhōng)心漏洞库
漏洞发布要求
01
不得在网络产(chǎn)品提供者提供网络产(chǎn)品安(ān)全漏洞修补措施之前发布漏洞信息;认為(wèi)有(yǒu)必要提前发布的,应当与相关网络产(chǎn)品提供者共同评估协商(shāng),并向工(gōng)业和信息化部、公(gōng)安(ān)部报告,由工(gōng)业和信息化部、公(gōng)安(ān)部组织评估后进行发布。
02
不得发布网络运营者在用(yòng)的网络、信息系统及其设备存在安(ān)全漏洞的细节情况。
03
不得刻意夸大网络产(chǎn)品安(ān)全漏洞的危害和风险,不得利用(yòng)网络产(chǎn)品安(ān)全漏洞信息实施恶意炒作(zuò)或者进行诈骗、敲诈勒索等违法犯罪活动。
04
不得发布或者提供专门用(yòng)于利用(yòng)网络产(chǎn)品安(ān)全漏洞从事危害网络安(ān)全活动的程序和工(gōng)具(jù)。
05
在发布网络产(chǎn)品安(ān)全漏洞时,应当同步发布修补或者防范措施。
06
在國(guó)家举办(bàn)重大活动期间,未经公(gōng)安(ān)部同意,不得擅自发布网络产(chǎn)品安(ān)全漏洞信息。
07
不得将未公(gōng)开的网络产(chǎn)品安(ān)全漏洞信息向网络产(chǎn)品提供者之外的境外组织或者个人提供。
08
法律法规的其他(tā)相关规定。
相关罚则
01
网络产(chǎn)品提供者未按本规定采取网络产(chǎn)品安(ān)全漏洞补救或者报告措施的,由工(gōng)业和信息化部、公(gōng)安(ān)部依据各自职责依法处理(lǐ)。
02
网络运营者未按本规定采取网络产(chǎn)品安(ān)全漏洞修补或者防范措施的,由有(yǒu)关主管部门依法处理(lǐ)。
03
违反本规定收集、发布网络产(chǎn)品安(ān)全漏洞信息的,由工(gōng)业和信息化部、公(gōng)安(ān)部依据各自职责依法处理(lǐ)。
04
利用(yòng)网络产(chǎn)品安(ān)全漏洞从事危害网络安(ān)全活动,或者為(wèi)他(tā)人利用(yòng)网络产(chǎn)品安(ān)全漏洞从事危害网络安(ān)全的活动提供技(jì )术支持的,由公(gōng)安(ān)机关依法处理(lǐ)。
05
如构成《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。
(部分(fēn)内容来源:网信中(zhōng)國(guó))