打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫

新(xīn)闻与活动

亚信安(ān)全最新(xīn)资讯与活动。

一文(wén)读懂《网络产(chǎn)品安(ān)全漏洞管理(lǐ)规定》
发布时间 :2021年07月14日
类型 :勒索软件
分(fēn)享:

近日,工(gōng)业和信息化部、國(guó)家互联网信息办(bàn)公(gōng)室和公(gōng)安(ān)部联合印发《网络产(chǎn)品安(ān)全漏洞管理(lǐ)规定》(以下简称《规定》)。《规定》依据《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》制定,明确了网络产(chǎn)品提供者和网络运营者是自身产(chǎn)品和系统漏洞的责任主體(tǐ),要建立畅通的漏洞信息接收渠道,及时对漏洞进行验证并完成漏洞修补。同时,《规定》还对网络产(chǎn)品提供者提出了漏洞报送的具(jù)體(tǐ)时限要求,以及对产(chǎn)品用(yòng)户提供技(jì )术支持的义務(wù)。对于从事漏洞发现、收集、发布等活动的组织和个人,《规定》规范了网络产(chǎn)品安(ān)全漏洞发现、报告、修补和发布等行為(wèi),可(kě)有(yǒu)效防范网络安(ān)全风险。《规定》将于2021年9月1日起施行。



网络产(chǎn)品安(ān)全漏洞管理(lǐ)责任与义務(wù)


网络产(chǎn)品提供者

  • 接收:应当建立健全网络产(chǎn)品安(ān)全漏洞信息接收渠道并保持畅通,留存网络产(chǎn)品安(ān)全漏洞信息接收日志(zhì)不少于6个月。

  • 发现与验证:发现或者获知所提供网络产(chǎn)品存在安(ān)全漏洞后,应当立即采取措施并组织对安(ān)全漏洞进行验证,评估安(ān)全漏洞的危害程度和影响范围;对属于其上游产(chǎn)品或者组件存在的安(ān)全漏洞,应当立即通知相关产(chǎn)品提供者。

  • 报送:应当在2日内向工(gōng)业和信息化部网络安(ān)全威胁和漏洞信息共享平台报送相关漏洞信息。

  • 修补与告知:应当及时组织对网络产(chǎn)品安(ān)全漏洞进行修补,应当及时将网络产(chǎn)品安(ān)全漏洞风险及修补方式告知可(kě)能(néng)受影响的产(chǎn)品用(yòng)户,并提供必要的技(jì )术支持。

  • 鼓励网络产(chǎn)品提供者建立所提供网络产(chǎn)品安(ān)全漏洞奖励机制,对发现并通报所提供网络产(chǎn)品安(ān)全漏洞的组织或者个人给予奖励。


网络运营者

  • 接收:应当建立健全网络产(chǎn)品安(ān)全漏洞信息接收渠道并保持畅通,留存网络产(chǎn)品安(ān)全漏洞信息接收日志(zhì)不少于6个月。

  • 发现与修补:发现或者获知其网络、信息系统及其设备存在安(ān)全漏洞后,应当立即采取措施,及时对安(ān)全漏洞进行验证并完成修补。


漏洞收集平台

  • 任何组织或者个人设立的网络产(chǎn)品安(ān)全漏洞收集平台,都应当向工(gōng)业和信息化部备案。

  • 工(gōng)业和信息化部向公(gōng)安(ān)部、國(guó)家互联网信息办(bàn)公(gōng)室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公(gōng)布。

鼓励发现网络产(chǎn)品安(ān)全漏洞的组织或者个人向以下平台报送网络产(chǎn)品安(ān)全漏洞信息:

  • 工(gōng)业和信息化部网络安(ān)全威胁和漏洞信息共享平台

  • 國(guó)家网络与信息安(ān)全信息通报中(zhōng)心漏洞平台

  • 國(guó)家计算机网络应急技(jì )术处理(lǐ)协调中(zhōng)心漏洞平台

  • 中(zhōng)國(guó)信息安(ān)全测评中(zhōng)心漏洞库


  • 从事网络产(chǎn)品安(ān)全漏洞发现、收集的组织应当加强内部管理(lǐ),采取措施防范网络产(chǎn)品安(ān)全漏洞信息泄露和违规发布。



漏洞发布要求



01


不得在网络产(chǎn)品提供者提供网络产(chǎn)品安(ān)全漏洞修补措施之前发布漏洞信息;认為(wèi)有(yǒu)必要提前发布的,应当与相关网络产(chǎn)品提供者共同评估协商(shāng),并向工(gōng)业和信息化部、公(gōng)安(ān)部报告,由工(gōng)业和信息化部、公(gōng)安(ān)部组织评估后进行发布。


02


不得发布网络运营者在用(yòng)的网络、信息系统及其设备存在安(ān)全漏洞的细节情况。


03


不得刻意夸大网络产(chǎn)品安(ān)全漏洞的危害和风险,不得利用(yòng)网络产(chǎn)品安(ān)全漏洞信息实施恶意炒作(zuò)或者进行诈骗、敲诈勒索等违法犯罪活动。


04


不得发布或者提供专门用(yòng)于利用(yòng)网络产(chǎn)品安(ān)全漏洞从事危害网络安(ān)全活动的程序和工(gōng)具(jù)。


05


在发布网络产(chǎn)品安(ān)全漏洞时,应当同步发布修补或者防范措施。


06


在國(guó)家举办(bàn)重大活动期间,未经公(gōng)安(ān)部同意,不得擅自发布网络产(chǎn)品安(ān)全漏洞信息。


07


不得将未公(gōng)开的网络产(chǎn)品安(ān)全漏洞信息向网络产(chǎn)品提供者之外的境外组织或者个人提供。


08


法律法规的其他(tā)相关规定。




相关罚则



01


网络产(chǎn)品提供者未按本规定采取网络产(chǎn)品安(ān)全漏洞补救或者报告措施的,由工(gōng)业和信息化部、公(gōng)安(ān)部依据各自职责依法处理(lǐ)。


02


网络运营者未按本规定采取网络产(chǎn)品安(ān)全漏洞修补或者防范措施的,由有(yǒu)关主管部门依法处理(lǐ)。

03


违反本规定收集、发布网络产(chǎn)品安(ān)全漏洞信息的,由工(gōng)业和信息化部、公(gōng)安(ān)部依据各自职责依法处理(lǐ)。


04


利用(yòng)网络产(chǎn)品安(ān)全漏洞从事危害网络安(ān)全活动,或者為(wèi)他(tā)人利用(yòng)网络产(chǎn)品安(ān)全漏洞从事危害网络安(ān)全的活动提供技(jì )术支持的,由公(gōng)安(ān)机关依法处理(lǐ)。


05


如构成《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。


(部分(fēn)内容来源:网信中(zhōng)國(guó))

分(fēn)享到微信
X