Image
全(quan)國(guo)統一服務熱(re)線
0351-4073466

工信部、網信辦、公安部聯合印發《網絡產品安全漏洞管理規定》

編(bian)輯:2021-07-16 10:18:15

內容來源丨工信微報


工業和信(xin)息化部、國家互聯(lian)網(wang)信(xin)息辦公(gong)室、公(gong)安部近(jin)日聯(lian)合印發(fa)(fa)《網(wang)絡(luo)(luo)(luo)產(chan)(chan)品安全(quan)漏(lou)(lou)洞(dong)管(guan)理規定》。《規定》旨(zhi)在維護(hu)國家網(wang)絡(luo)(luo)(luo)安全(quan),保(bao)護(hu)網(wang)絡(luo)(luo)(luo)產(chan)(chan)品和重要網(wang)絡(luo)(luo)(luo)系統的安全(quan)穩定運行;規范漏(lou)(lou)洞(dong)發(fa)(fa)現(xian)、報告、修補和發(fa)(fa)布等行為,明確網(wang)絡(luo)(luo)(luo)產(chan)(chan)品提供者(zhe)、網(wang)絡(luo)(luo)(luo)運營者(zhe),以(yi)及從事漏(lou)(lou)洞(dong)發(fa)(fa)現(xian)、收集(ji)、發(fa)(fa)布等活動的組織或個人等各(ge)類主體的責任(ren)和義務;鼓勵(li)各(ge)類主體發(fa)(fa)揮各(ge)自(zi)技術(shu)和機制優勢(shi)開展漏(lou)(lou)洞(dong)發(fa)(fa)現(xian)、收集(ji)、發(fa)(fa)布等相(xiang)關工作。《規定》自(zi)9月1日起施行。


關于印發網絡產品安全漏洞管理規定的通知


工信部聯(lian)網安(an)〔2021〕66號


各(ge)省、自治區(qu)、直轄市及新疆生產建(jian)設兵團工(gong)業和信(xin)息化主管(guan)部門、網信(xin)辦、公安廳(局(ju)),各(ge)省、自治區(qu)、直轄市通信(xin)管(guan)理(li)局(ju):
 
  現將《網(wang)絡產品安全漏(lou)洞管理規定》予以發布,自2021年9月1日(ri)起施行。
 
工業(ye)和信息化(hua)部
國家互聯網信息辦公室
公安部
2021年7月12日
 

網絡產品安全漏洞管理規定


第一條 為(wei)了規范網(wang)(wang)絡(luo)產品安(an)(an)(an)全漏洞發現、報告、修補和(he)發布(bu)等行為(wei),防范網(wang)(wang)絡(luo)安(an)(an)(an)全風險,根(gen)據《中華人民共和(he)國網(wang)(wang)絡(luo)安(an)(an)(an)全法(fa)》,制定(ding)本規定(ding)。


第(di)二條 中華人民共和國境內的網絡產品(含硬件、軟件)提供者和網絡運營者,以及從事網絡產品安全漏洞發現、收集、發布等活動的組織或者個人,應當遵守本規定。


第三條 國家互聯網信息辦公室負責統籌協調網絡產品安全漏洞管理工作。工業和信息化部負責網絡產品安全漏洞綜合管理,承擔電信和互聯網行業網絡產品安全漏洞監督管理。公安部負責網絡產品安全漏洞監督管理,依法打擊利用網絡產品安全漏洞實施的違法犯罪活動。


有關主管部門加強跨部門協同配合,實現網絡產品安全漏洞信息實時共享,對重大網絡產品安全漏洞風險開展聯合評估和處置。


第四條 任何組織或者個人不得利用網絡產品安全漏洞從事危害網絡安全的活動,不得非法收集、出售、發布網絡產品安全漏洞信息;明知他人利用網絡產品安全漏洞從事危害網絡安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。


第五(wu)條(tiao) 網絡(luo)產(chan)品(pin)提供者、網絡(luo)運(yun)營者和網絡(luo)產(chan)品(pin)安(an)全(quan)(quan)漏(lou)洞(dong)收(shou)集平臺應當(dang)建立(li)健(jian)全(quan)(quan)網絡(luo)產(chan)品(pin)安(an)全(quan)(quan)漏(lou)洞(dong)信(xin)息(xi)接(jie)(jie)收(shou)渠道并保持暢通,留存網絡(luo)產(chan)品(pin)安(an)全(quan)(quan)漏(lou)洞(dong)信(xin)息(xi)接(jie)(jie)收(shou)日志不少于6個月。


第六條(tiao) 鼓勵相關組(zu)織和(he)個人向網絡(luo)產品(pin)提供者通報其(qi)產品(pin)存在(zai)的安全(quan)漏(lou)洞。


第七條 網(wang)絡(luo)產品(pin)提(ti)供者應當履行下(xia)列(lie)網(wang)絡(luo)產品(pin)安全(quan)漏洞管理(li)義務,確保(bao)其產品(pin)安全(quan)漏洞得到及時修(xiu)補和合(he)理(li)發布,并指導支持產品(pin)用戶采取防范措施(shi):


(一)發現或(huo)者(zhe)獲知(zhi)所提供網絡產品(pin)存在(zai)(zai)安(an)(an)全(quan)(quan)漏(lou)洞后,應當(dang)立即采取措施并組織對安(an)(an)全(quan)(quan)漏(lou)洞進行驗證,評估安(an)(an)全(quan)(quan)漏(lou)洞的危害程度和(he)影響范圍;對屬于其(qi)上(shang)游產品(pin)或(huo)者(zhe)組件存在(zai)(zai)的安(an)(an)全(quan)(quan)漏(lou)洞,應當(dang)立即通知(zhi)相關產品(pin)提供者(zhe)。  


(二)應當在(zai)2日內(nei)向工(gong)業和信息化(hua)部網絡(luo)安全威脅和漏(lou)洞信息共(gong)享平臺報送相關漏(lou)洞信息。報送內(nei)容應當包括存(cun)在(zai)網絡(luo)產品(pin)安全漏(lou)洞的產品(pin)名稱、型(xing)號、版(ban)本以及漏(lou)洞的技術(shu)特點、危害(hai)和影響(xiang)范圍等。


(三)應當(dang)及時(shi)組織(zhi)對網絡(luo)產品安(an)全(quan)漏洞進(jin)行修(xiu)補,對于需(xu)要產品用(yong)戶(hu)(含下游(you)廠商(shang))采取軟(ruan)件(jian)、固件(jian)升級等措(cuo)施的(de)(de),應當(dang)及時(shi)將網絡(luo)產品安(an)全(quan)漏洞風險及修(xiu)補方式(shi)告知(zhi)可能受(shou)影(ying)響的(de)(de)產品用(yong)戶(hu),并提供(gong)必要的(de)(de)技術(shu)支持。


工業和信息化部網絡安全威脅和漏洞信息共享平臺同步向國家網絡與信息安全信息通報中心、國家計算機網絡應急技術處理協調中心通報相關漏洞信息。


鼓勵網絡產品提供者建立所提供網絡產品安全漏洞獎勵機制,對發現并通報所提供網絡產品安全漏洞的組織或者個人給予獎勵。


第八(ba)條 網絡運營者發現或者獲知其網絡、信息系統及其設備存在安全漏洞后,應當立即采取措施,及時對安全漏洞進行驗證并完成修補。


第九條(tiao) 從事網(wang)絡(luo)產品(pin)安全漏(lou)洞(dong)發現、收(shou)集(ji)的組織或者個人通過(guo)網(wang)絡(luo)平臺、媒體、會議、競賽等方式向社會發布網(wang)絡(luo)產品(pin)安全漏(lou)洞(dong)信息的,應當(dang)遵(zun)(zun)循必要、真實、客觀以及有利(li)于防(fang)范網(wang)絡(luo)安全風險的原則,并遵(zun)(zun)守以下規定:


(一)不(bu)得在網絡產(chan)品(pin)提(ti)供者提(ti)供網絡產(chan)品(pin)安(an)全漏(lou)洞(dong)修補措施之前發布漏(lou)洞(dong)信息(xi);認(ren)為有必要提(ti)前發布的,應(ying)當與相關網絡產(chan)品(pin)提(ti)供者共同評(ping)估協商,并向工業(ye)和信息(xi)化部(bu)、公(gong)安(an)部(bu)報告,由工業(ye)和信息(xi)化部(bu)、公(gong)安(an)部(bu)組織評(ping)估后(hou)進(jin)行發布。


(二(er))不(bu)得(de)發布網(wang)絡運營者在(zai)(zai)用(yong)的網(wang)絡、信息系統及其(qi)設備存(cun)在(zai)(zai)安全漏(lou)洞的細節情況。


(三)不得刻(ke)意夸(kua)大(da)網(wang)絡(luo)(luo)產品(pin)安(an)全漏洞的危(wei)害(hai)和風險,不得利用網(wang)絡(luo)(luo)產品(pin)安(an)全漏洞信(xin)息實施惡意炒作或者進(jin)行詐(zha)騙、敲詐(zha)勒(le)索等(deng)違法犯(fan)罪活(huo)動。


(四(si))不得發布或者提供專門用(yong)于利用(yong)網(wang)絡產品安(an)全(quan)漏洞從事(shi)危害網(wang)絡安(an)全(quan)活動的程(cheng)序和(he)工具(ju)。


(五(wu))在(zai)發布網絡產品(pin)安(an)全(quan)漏洞時,應(ying)當同步發布修補或(huo)者防范措施。


(六)在國家(jia)舉辦重大(da)活(huo)動期間(jian),未經公(gong)安部(bu)同意(yi),不(bu)得擅自發布網(wang)絡產品安全漏洞信息。


(七)不得(de)將(jiang)未公開的網絡(luo)產(chan)(chan)品安全漏(lou)洞信息向網絡(luo)產(chan)(chan)品提(ti)供者(zhe)(zhe)之外(wai)的境外(wai)組織或者(zhe)(zhe)個(ge)人提(ti)供。


(八)法(fa)律(lv)法(fa)規(gui)的其他相(xiang)關規(gui)定。


第十條 任何組(zu)織或者個人設(she)立的網絡產品安全漏洞收集平臺,應(ying)當向工(gong)業和信息化部(bu)(bu)備(bei)案。工(gong)業和信息化部(bu)(bu)及時向公安部(bu)(bu)、國(guo)家互聯網信息辦公室通報(bao)相關漏洞收集平臺,并對通過備(bei)案的漏洞收集平臺予(yu)以公布。


鼓勵發現網絡產品安全漏洞的組織或者個人向工業和信息化部網絡安全威脅和漏洞信息共享平臺、國家網絡與信息安全信息通報中心漏洞平臺、國家計算機網絡應急技術處理協調中心漏洞平臺、中國信息安全測評中心漏洞庫報送網絡產品安全漏洞信息。


第十一條 從事網絡產品安全漏洞發現、收集的組織應當加強內部管理,采取措施防范網絡產品安全漏洞信息泄露和違規發布。


第十二條(tiao) 網絡產品提供者未按本規定采取網絡產品安全漏洞補救或者報告措施的,由工業和信息化部、公安部依據各自職責依法處理;構成《中華人民共和國網絡安全法》第六十條規定情形的,依照該規定予以處罰。


第(di)十三條 網(wang)(wang)絡運(yun)營者未按本規(gui)定(ding)采取網(wang)(wang)絡產品安(an)全(quan)漏洞修補或者防范措施的(de),由(you)有關主管(guan)部門依(yi)法(fa)(fa)處理;構成《中(zhong)華人民共(gong)和國網(wang)(wang)絡安(an)全(quan)法(fa)(fa)》第五十九(jiu)條規(gui)定(ding)情(qing)形的(de),依(yi)照該規(gui)定(ding)予以處罰。


第十四條 違反本規(gui)定(ding)收集、發布網(wang)絡產品安全(quan)漏洞信息的(de),由(you)工(gong)業和信息化部、公安部依(yi)據各自職責依(yi)法(fa)處(chu)理;構成《中華(hua)人民共和國網(wang)絡安全(quan)法(fa)》第六十(shi)二條(tiao)規(gui)定(ding)情形的(de),依(yi)照該規(gui)定(ding)予以(yi)處(chu)罰。


第十五條 利用網(wang)絡(luo)(luo)產品安(an)全(quan)漏洞從事危害(hai)(hai)網(wang)絡(luo)(luo)安(an)全(quan)活動,或者為他人利用網(wang)絡(luo)(luo)產品安(an)全(quan)漏洞從事危害(hai)(hai)網(wang)絡(luo)(luo)安(an)全(quan)的活動提供(gong)技術(shu)支持的,由(you)公(gong)安(an)機關依法(fa)處理;構成《中華人民共和國網(wang)絡(luo)(luo)安(an)全(quan)法(fa)》第六十(shi)三條規定情形的,依照(zhao)該規定予以處罰;構成犯罪的,依法(fa)追究(jiu)刑事責任。


第十六(liu)條(tiao) 本規定自2021年9月1日起施行。



Image
Image
版權所有:山西科信源(yuan)科技股份有限公(gong)司
咨詢熱線:0351-4073466?
地址:(北(bei)區)山(shan)西省(sheng)太原市迎澤區新建南(nan)路文(wen)源巷24號文(wen)源公(gong)務中心5層
? ? ? ? ? ?(南區(qu))太(tai)原(yuan)市(shi)小(xiao)店(dian)區(qu)南中環(huan)街529 號清(qing)控(kong)創新基地A座4層(ceng)
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團