工(gōng)信部、網信辦、公安部聯合印發《網絡産品安全漏洞管理規定》
編輯:2021-07-16 10:18:1男內5
内容來源丨工(gōng)信微報
工(gōng)信部聯網安〔2021〕66号
******條 為(wèi)了規範網絡産品安全漏洞發現、報告、事朋修補和發布等行為(wèi),防範網絡安全風險,根據《中華人民共和國網絡安銀樹全法》,制定本規定。
第二條 中華人民共和國境内的網絡産品(含硬件、軟件)提供者和網草多絡運營者,以及從事網絡産品安全漏洞發現、收集、發布等活動爸動的組織或者個人,應當遵守本規定。
第三條 國家(jiā)互聯網信息辦公室負責統籌協調網絡産品安全漏洞火拿管理工(gōng)作。工(gōng)業和電區信息化部負責網絡産品安全漏洞綜合管理,承擔電信和互聯網行業網絡議在産品安全漏洞監督管理。公安部負責網絡産品安會聽全漏洞監督管理,依法打擊利用網絡産品安全漏洞實施的違法犯罪活動。在國
有關主管部門加強跨部門協同配合,實現網絡産品安全漏洞鐵銀信息實時(shí)共享,對重大(dà)網絡産品安全漏爸輛洞風險開(kāi)展聯合評估和處置。
第四條 任何組織或者個人不(bù)得(de)利用網絡産愛弟品安全漏洞從事危害網絡安全的活動,不(bù科長)得(de)非法收集、出售、發布網絡産品做冷安全漏洞信息;明知他(tā)人利用網絡産品安全漏洞從事危害網絡安全的國老活動的,不(bù)得(de)為(wèi)日員其提供技術支持、廣告推廣、支付結算等幫助。
第五條 網絡産品提供者、網絡運營者和網絡産品安全漏洞收集平台應當建立健全網絡産說河品安全漏洞信息接收渠道并保持暢通(tōn舊城g),留存網絡産品安全漏洞信息接收日志不(bù)少于6個月。
第六條 鼓勵相關組織和個人向網絡産品提供者通(tōng男業)報其産品存在的安全漏洞。
第七條 網絡産品提供者應當履行下列網絡産品安全漏洞管兒門理義務,确保其産品安全漏洞得(de)到及時(shí)修補和合理發數鐘布,并指導支持産品用戶采取防範措施:
(一)發現或者獲知所提供網絡産品存在安全漏洞後,應當車照立即采取措施并組織對安全漏洞進行驗證,評站影估安全漏洞的危害程度和影響範圍;對屬于其上遊産品或者組件存在東南的安全漏洞,應當立即通(tōng)知相關産品提供者。
(二)應當在2日内向工(gōng)業和信息化部網絡安全威脅和漏洞信息共享平台笑司報送相關漏洞信息。報送内容應當包括存在網絡産品安全漏洞的産品校舞名稱、型号、版本以及漏洞的技術特點、危害和影響範愛慢圍等。
(三)應當及時(shí)組織對網絡産品安全工區漏洞進行修補,對于需要産品用戶(含下遊廠商)采取軟件、固件升級刀議等措施的,應當及時(shí)将網絡産品安開吃全漏洞風險及修補方式告知可能受影響的産品用事在戶,并提供必要的技術支持。
工(gōng)業和信息化部網絡安全威脅和漏洞信息共享平台同步向國家(ji去懂ā)網絡與信息安全信息通(tōng)報中心、國家(黃北jiā)計算機網絡應急技術處理協調中心通(tōng)報相關漏商城洞信息。
鼓勵網絡産品提供者建立所提供網絡産品安全漏洞獎勵機制,對林場發現并通(tōng)報所提供網絡産品安全漏洞的組織或者個人給予暗村獎勵。
第八條 網絡運營者發現或者獲知其網絡、信息系統及其設備存在安全漏洞後,應高筆當立即采取措施,及時(shí)對安全漏洞進行驗證并完成修補。
第九條 從事網絡産品安全漏洞發現、收集的組織或者個人通(tōng)過南一網絡平台、媒體、會(huì)議、競賽等方式向社會(huì)發布網絡産品安全漏在村洞信息的,應當遵循必要、真實、客觀以及有利于防範網絡安全風險的原則,并遵守以熱如下規定:
(一)不(bù)得(de)在網絡産品提供者提明音供網絡産品安全漏洞修補措施之前發布漏洞信息;認為(w白嗎èi)有必要提前發布的,應當與相關網絡産自見品提供者共同評估協商,并向工(gōng)業和兵吧信息化部、公安部報告,由工(gōng)業場裡和信息化部、公安部組織評估後進行發布。
(二)不(bù)得(de)發布網絡運營者在用的網絡、信息系統及其設備是歌存在安全漏洞的細節情況。
(三)不(bù)得(de)刻意誇大(dà)網絡産品員道安全漏洞的危害和風險,不(bù)得(de)利用網絡産品安全漏洞信息實施惡意樹購炒作或者進行詐騙、敲詐******等違法犯罪活動。
(四)不(bù)得(de)發布或者提供專頻內門用于利用網絡産品安全漏洞從事危害網絡安森中全活動的程序和工(gōng)具。
(五)在發布網絡産品安全漏洞時(shí),應當同步發布修補或者防範措施。著電
(六)在國家(jiā)舉辦重大(dà)活動期間,未經公安部同意快好,不(bù)得(de)擅自發布網絡産品安全漏洞信息。
(七)不(bù)得(de)将未公開(kāi)的網絡産品安全漏洞信息向網她個絡産品提供者之外的境外組織或者個人提供。
(八)法律法規的其他(tā)相關規定。
第十條 任何組織或者個人設立的網絡産品安全漏洞收集平台什鐘,應當向工(gōng)業和信息化部備案。工(gō冷開ng)業和信息化部及時(shí)向公安部、國家(jiā)互聯網信息了中辦公室通(tōng)報相關漏洞收集平台,并對通(tōng)過備案外坐的漏洞收集平台予以公布。
鼓勵發現網絡産品安全漏洞的組織或者個人向工(gōng)業和信息化部網絡安全威脅愛離和漏洞信息共享平台、國家(jiā)網絡與信息安音理全信息通(tōng)報中心漏洞平台、國家(jiā)計算機網絡應急技術處理協調中樹醫心漏洞平台、中國信息安全測評中心漏洞庫報送網絡産品安全漏洞信新醫息。
第十一條 從事網絡産品安全漏洞發現、收集的組織應當加拿哥強内部管理,采取措施防範網絡産品安全漏洞信息文服洩露和違規發布。
第十二條 網絡産品提供者未按本規定采取網絡産品安全漏洞補救或者報告措施的,由日微工(gōng)業和信息化部、公安部依據各自職責依法處理;購樹構成《中華人民共和國網絡安全法》第六十條規定個頻情形的,依照該規定予以處罰。
第十三條 網絡運營者未按本規定采取網絡産品安全漏洞修補或者防範措公開施的,由有關主管部門依法處理;構成《中華人民共和友街國網絡安全法》第五十九條規定情形的,依照冷音該規定予以處罰。
第十四條 違反本規定收集、發布網絡産品安全漏洞信息的,由工(gōng)業和信息化部、站讀公安部依據各自職責依法處理;構成《中華人民共和國網絡安全法》第可月六十二條規定情形的,依照該規定予以處罰。
第十五條 利用網絡産品安全漏洞從事危害網絡安全活動鄉到,或者為(wèi)他(tā)人利用網絡産品安全漏洞從事危害網絡書學安全的活動提供技術支持的,由公安機關依法處理;構成《中華人民共和國網絡安全法會高》第六十三條規定情形的,依照該規定予以處罰;構成犯罪的,依法追究西是刑事責任。
第十六條 本規定自2021年9月1日起施行。
咨詢熱線:0351-4073466
地址:(北區)山西省太原市迎澤區新建南路文源巷24号文木謝源公務中心5層
(南區)太原市小店新草區南中環街(jiē)529 号清控創新基地A座4兵到層