4000-110-253
重磅|工信部《網絡安全漏洞管理(lǐ)規定 (征求意見稿) 》(全文). 2019-06-19
為(wèi)貫徹落實《中華人(rén)民共和(hé)國網絡安全法》,加強網絡安全漏洞管理(lǐ),工業和(hé)信息化部會(huì)同有(yǒu)關部門(mén)起草了《網絡安全漏洞管理(lǐ)規定(征求意見稿)》(見附件),拟以規範性文件形式印發,現面向社會(huì)公開(kāi)征求意見。如有(yǒu)意見或建議,請(qǐng)于2019年7月18日前反饋。
聯系電(diàn)話(huà):010-66022093
傳 真:010-66022774
郵 箱:wangmeifang@miit.gov.cn
地 址:北京市西城區(qū)西長安街(jiē)13号工業和(hé)信息化部網絡安全管理(lǐ)局(郵編:100804)。請(qǐng)在信封上(shàng)注明(míng)“《網絡安全漏洞管理(lǐ)規定(征求意見稿)》意見反饋”。
附件:《網絡安全漏洞管理(lǐ)規定(征求意見稿)》.docx
工業和(hé)信息化部
2019年6月1
網絡安全漏洞管理(lǐ)規定(征求意見稿)
第一條 為(wèi)規範網絡安全漏洞(以下簡稱漏洞)報告和(hé)信息發布等行(xíng)為(wèi),保證網絡産品、服務、系統的漏洞得(de)到及時(shí)修補,提高(gāo)網絡安全防護水(shuǐ)平,根據《國家(jiā)安全法》《網絡安全法》,制(zhì)定本規定。
第二條 中華人(rén)民共和(hé)國境內(nèi)網絡産品、服務提供者和(hé)網絡運營者,以及開(kāi)展漏洞檢測、評估、收集、發布及相關競賽等活動的組織(以下簡稱第三方組織)或個(gè)人(rén),應當遵守本規定。
第三條 網絡産品、服務提供者和(hé)網絡運營者發現或獲知其網絡産品、服務、系統存在漏洞後,應當遵守以下規定:
(一)立即對漏洞進行(xíng)驗證,對相關網絡産品應當在90日內(nèi)采取漏洞修補或防範措施,對相關網絡服務或系統應當在10日內(nèi)采取漏洞修補或防範措施;
(二)需要用戶或相關技(jì)術(shù)合作(zuò)方采取漏洞修補或防範措施的,應當在對相關網絡産品、服務、系統采取漏洞修補或防範措施後5日內(nèi),将漏洞風險及用戶或相關技(jì)術(shù)合作(zuò)方需采取的修補或防範措施向社會(huì)發布或通(tōng)過客服等方式告知所有(yǒu)可(kě)能受影(yǐng)響的用戶和(hé)相關技(jì)術(shù)合作(zuò)方,提供必要的技(jì)術(shù)支持,并向工業和(hé)信息化部網絡安全威脅信息共享平台報送相關漏洞情況。
第四條 工業和(hé)信息化部、公安部和(hé)有(yǒu)關行(xíng)業主管部門(mén)按照各自職責組織督促網絡産品、服務提供者和(hé)網絡運營者采取漏洞修補或防範措施。
第五條 工業和(hé)信息化部、公安部、國家(jiā)互聯網信息辦公室等有(yǒu)關部門(mén)實現漏洞信息實時(shí)共享。
第六條 第三方組織或個(gè)人(rén)通(tōng)過網站(zhàn)、媒體(tǐ)、會(huì)議等方式向社會(huì)發布漏洞信息,應當遵循必要、真實、客觀、有(yǒu)利于防範和(hé)應對網絡安全風險的原則,并遵守以下規定:
(一)不得(de)在網絡産品、服務提供者和(hé)網絡運營者向社會(huì)或用戶發布漏洞修補或防範措施之前發布相關漏洞信息;
(二)不得(de)刻意誇大(dà)漏洞的危害和(hé)風險;
(三)不得(de)發布和(hé)提供專門(mén)用于利用網絡産品、服務、系統漏洞從事危害網絡安全活動的方法、程序和(hé)工具;
(四)應當同步發布漏洞修補或防範措施。
第七條 第三方組織應當加強內(nèi)部管理(lǐ),履行(xíng)下列管理(lǐ)義務,防範漏洞信息洩露和(hé)內(nèi)部人(rén)員違規發布漏洞信息:
(一)明(míng)确漏洞管理(lǐ)部門(mén)和(hé)責任人(rén);
(二)建立漏洞信息發布內(nèi)部審核機制(zhì);
(三)采取防範漏洞信息洩露的必要措施;
(四)定期對內(nèi)部人(rén)員進行(xíng)保密教育;
(五)制(zhì)定內(nèi)部問責制(zhì)度。
第八條 網絡産品、服務提供者和(hé)網絡運營者未按本規定采取漏洞修補或防範措施并向社會(huì)或用戶發布的,由工業和(hé)信息化部、公安部等有(yǒu)關部門(mén)按職責依據《網絡安全法》第五十六條、第五十九條、第六十條等規定組織對其進行(xíng)約談或給予行(xíng)政處罰。
第九條 第三方組織違反本規定向社會(huì)發布漏洞信息,由工業和(hé)信息化部、公安部等有(yǒu)關部門(mén)組織對其進行(xíng)約談,或依據《網絡安全法》第六十二條、第六十三條等規定給予行(xíng)政處罰;構成犯罪的,依法追究刑事責任;給網絡産品、服務提供者和(hé)網絡運營者造成經濟或名譽損害的,依法承擔民事責任。
第十條 鼓勵第三方組織和(hé)個(gè)人(rén)獲知網絡産品、服務、系統存在的漏洞後,及時(shí)向國家(jiā)信息安全漏洞共享平台、國家(jiā)信息安全漏洞庫等漏洞收集平台報送有(yǒu)關情況。漏洞收集平台應當遵守本規定第六條、第七條規定。
第十一條 任何組織或個(gè)人(rén)發現涉嫌違反本規定的情形,有(yǒu)權向工業和(hé)信息化部、公安部舉報。
第十二條 本規定自印發之日起施行(xíng)。
