工信部、網信辦、公安部聯合印發《網絡産品安全漏洞管理規定》
編輯:2021-07-16 10:18:15
内容來(Come)源丨工信微報
工信部聯網安〔2021〕66号
第一(one)條 爲(for)了(Got it)規範網絡産品安全漏洞發現、報告、修補和(and)發布等行爲(for),防範網絡安全風險,根據《中華人(people)民共和(and)國網絡安全法》,制定本規定。
第二條 中華人(people)民共和(and)國境内的(of)網絡産品(含硬件、軟件)提供者和(and)網絡運營者,以(by)及從事網絡産品安全漏洞發現、收集、發布等活動的(of)組織或者個(indivual)人(people),應當遵守本規定。
第三條 國家互聯網信息辦公室負責統籌協調網絡産品安全漏洞管理工作(do)。工業和(and)信息化部負責網絡産品安全漏洞綜合管理,承擔電信和(and)互聯網行業網絡産品安全漏洞監督管理。公安部負責網絡産品安全漏洞監督管理,依法打擊利用(use)網絡産品安全漏洞實施的(of)違法犯罪活動。
有關主管部門加強跨部門協同配合,實現網絡産品安全漏洞信息實時(hour)共享,對重大(big)網絡産品安全漏洞風險開展聯合評估和(and)處置。
第四條 任何組織或者個(indivual)人(people)不(No)得利用(use)網絡産品安全漏洞從事危害網絡安全的(of)活動,不(No)得非法收集、出(out)售、發布網絡産品安全漏洞信息;明知他(he)人(people)利用(use)網絡産品安全漏洞從事危害網絡安全的(of)活動的(of),不(No)得爲(for)其提供技術支持、廣告推廣、支付結算等幫助。
第五條 網絡産品提供者、網絡運營者和(and)網絡産品安全漏洞收集平台應當建立健全網絡産品安全漏洞信息接收渠道并保持暢通,留存網絡産品安全漏洞信息接收日志不(No)少于(At)6個(indivual)月。
第六條 鼓勵相關組織和(and)個(indivual)人(people)向網絡産品提供者通報其産品存在(exist)的(of)安全漏洞。
第七條 網絡産品提供者應當履行下列網絡産品安全漏洞管理義務,确保其産品安全漏洞得到(arrive)及時(hour)修補和(and)合理發布,并指導支持産品用(use)戶采取防範措施:
(一(one))發現或者獲知所提供網絡産品存在(exist)安全漏洞後,應當立即采取措施并組織對安全漏洞進行驗證,評估安全漏洞的(of)危害程度和(and)影響範圍;對屬于(At)其上遊産品或者組件存在(exist)的(of)安全漏洞,應當立即通知相關産品提供者。
(二)應當在(exist)2日内向工業和(and)信息化部網絡安全威脅和(and)漏洞信息共享平台報送相關漏洞信息。報送内容應當包括存在(exist)網絡産品安全漏洞的(of)産品名稱、型号、版本以(by)及漏洞的(of)技術特點、危害和(and)影響範圍等。
(三)應當及時(hour)組織對網絡産品安全漏洞進行修補,對于(At)需要(want)産品用(use)戶(含下遊廠商)采取軟件、固件升級等措施的(of),應當及時(hour)将網絡産品安全漏洞風險及修補方式告知可能受影響的(of)産品用(use)戶,并提供必要(want)的(of)技術支持。
工業和(and)信息化部網絡安全威脅和(and)漏洞信息共享平台同步向國家網絡與信息安全信息通報中心、國家計算機網絡應急技術處理協調中心通報相關漏洞信息。
鼓勵網絡産品提供者建立所提供網絡産品安全漏洞獎勵機制,對發現并通報所提供網絡産品安全漏洞的(of)組織或者個(indivual)人(people)給予獎勵。
第八條 網絡運營者發現或者獲知其網絡、信息系統及其設備存在(exist)安全漏洞後,應當立即采取措施,及時(hour)對安全漏洞進行驗證并完成修補。
第九條 從事網絡産品安全漏洞發現、收集的(of)組織或者個(indivual)人(people)通過網絡平台、媒體、會議、競賽等方式向社會發布網絡産品安全漏洞信息的(of),應當遵循必要(want)、真實、客觀以(by)及有利于(At)防範網絡安全風險的(of)原則,并遵守以(by)下規定:
(一(one))不(No)得在(exist)網絡産品提供者提供網絡産品安全漏洞修補措施之前發布漏洞信息;認爲(for)有必要(want)提前發布的(of),應當與相關網絡産品提供者共同評估協商,并向工業和(and)信息化部、公安部報告,由工業和(and)信息化部、公安部組織評估後進行發布。
(二)不(No)得發布網絡運營者在(exist)用(use)的(of)網絡、信息系統及其設備存在(exist)安全漏洞的(of)細節情況。
(三)不(No)得刻意誇大(big)網絡産品安全漏洞的(of)危害和(and)風險,不(No)得利用(use)網絡産品安全漏洞信息實施惡意炒作(do)或者進行詐騙、敲詐勒索等違法犯罪活動。
(四)不(No)得發布或者提供專門用(use)于(At)利用(use)網絡産品安全漏洞從事危害網絡安全活動的(of)程序和(and)工具。
(五)在(exist)發布網絡産品安全漏洞時(hour),應當同步發布修補或者防範措施。
(六)在(exist)國家舉辦重大(big)活動期間,未經公安部同意,不(No)得擅自發布網絡産品安全漏洞信息。
(七)不(No)得将未公開的(of)網絡産品安全漏洞信息向網絡産品提供者之外的(of)境外組織或者個(indivual)人(people)提供。
(八)法律法規的(of)其他(he)相關規定。
第十條 任何組織或者個(indivual)人(people)設立的(of)網絡産品安全漏洞收集平台,應當向工業和(and)信息化部備案。工業和(and)信息化部及時(hour)向公安部、國家互聯網信息辦公室通報相關漏洞收集平台,并對通過備案的(of)漏洞收集平台予以(by)公布。
鼓勵發現網絡産品安全漏洞的(of)組織或者個(indivual)人(people)向工業和(and)信息化部網絡安全威脅和(and)漏洞信息共享平台、國家網絡與信息安全信息通報中心漏洞平台、國家計算機網絡應急技術處理協調中心漏洞平台、中國信息安全測評中心漏洞庫報送網絡産品安全漏洞信息。
第十一(one)條 從事網絡産品安全漏洞發現、收集的(of)組織應當加強内部管理,采取措施防範網絡産品安全漏洞信息洩露和(and)違規發布。
第十二條 網絡産品提供者未按本規定采取網絡産品安全漏洞補救或者報告措施的(of),由工業和(and)信息化部、公安部依據各自職責依法處理;構成《中華人(people)民共和(and)國網絡安全法》第六十條規定情形的(of),依照該規定予以(by)處罰。
第十三條 網絡運營者未按本規定采取網絡産品安全漏洞修補或者防範措施的(of),由有關主管部門依法處理;構成《中華人(people)民共和(and)國網絡安全法》第五十九條規定情形的(of),依照該規定予以(by)處罰。
第十四條 違反本規定收集、發布網絡産品安全漏洞信息的(of),由工業和(and)信息化部、公安部依據各自職責依法處理;構成《中華人(people)民共和(and)國網絡安全法》第六十二條規定情形的(of),依照該規定予以(by)處罰。
第十五條 利用(use)網絡産品安全漏洞從事危害網絡安全活動,或者爲(for)他(he)人(people)利用(use)網絡産品安全漏洞從事危害網絡安全的(of)活動提供技術支持的(of),由公安機關依法處理;構成《中華人(people)民共和(and)國網絡安全法》第六十三條規定情形的(of),依照該規定予以(by)處罰;構成犯罪的(of),依法追究刑事責任。
第十六條 本規定自2021年9月1日起施行。
咨詢熱線:0351-4073466
地(land)址:(北區)山西省太原市迎澤區新建南路文源巷24号文源公務中心5層
(南區)太原市小店區南中環街529 号清控創新基地(land)A座4層