現公布《網絡產品安全漏洞管理規定》,自20265438年9月1日起施行。
工業和信息化部、國家互聯網信息辦公室、公安部
2021 7月12
網絡產品安全漏洞管理規定
第壹條為規範網絡產品安全漏洞的發現、報告、修補和發布,防範網絡安全風險,根據《中華人民共和國網絡安全法》,制定本規定。
第二條中華人民共和國境內網絡產品(包括硬件和軟件)的提供者和網絡運營者,以及從事網絡產品安全漏洞發現、收集和發布等活動的組織或者個人,應當遵守本規定。
第三條國家互聯網信息辦公室負責協調網絡產品安全漏洞管理工作。工業和信息化部負責網絡產品安全漏洞綜合管理,承擔電信和互聯網行業網絡產品安全漏洞監督管理工作。公安部負責網絡產品安全漏洞的監督管理,依法打擊利用網絡產品安全漏洞實施的違法犯罪活動。
相關主管部門要加強跨部門合作,實現網絡產品安全漏洞信息實時共享,對重大網絡產品安全漏洞風險進行聯合評估和處置。
第四條任何組織和個人不得利用網絡產品安全漏洞從事危害網絡安全的活動,不得非法收集、出售、發布網絡產品安全漏洞信息;明知他人利用網絡產品安全漏洞從事危害網絡安全活動,不得為其提供技術支持、廣告推廣、支付結算等服務。
第五條網絡產品提供者、網絡運營者和網絡產品安全漏洞收集平臺應當建立健全網絡產品安全漏洞信息接收渠道並保持暢通,保存網絡產品安全漏洞信息接收日誌不少於6個月。
第六條鼓勵有關組織和個人向網絡產品提供者舉報其產品存在的安全漏洞。
第七條網絡產品提供者應當履行下列網絡產品安全漏洞管理義務,確保其產品安全漏洞得到及時修復和合理發布,並指導和支持產品用戶采取防範措施:
(壹)發現或者獲悉所提供的網絡產品存在安全漏洞後,應當立即采取措施並組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響範圍;應立即通知相關產品供應商上遊產品或組件中存在的安全漏洞。
(2)相關漏洞信息應在2日內報送至工業和信息化部網絡安全威脅與漏洞信息共享平臺。提交的內容應當包括網絡產品漏洞的產品名稱、型號、版本、技術特征、危害和影響範圍。
(三)及時組織修復網絡產品安全漏洞,需要產品用戶(包括下遊廠商)采取升級軟件和固件等措施的,應當及時告知可能受到影響的產品用戶網絡產品安全漏洞的風險和修復方法,並提供必要的技術支持。
工信部網絡安全威脅與漏洞信息* * *享平臺向國家網絡與信息安全信息通報中心、國家計算機網絡應急技術處理協調中心報告相關漏洞信息。
鼓勵網絡產品提供者建立提供網絡產品安全漏洞的獎勵機制,對發現和舉報所提供網絡產品安全漏洞的組織或個人給予獎勵。
第八條網絡運營者發現或者獲悉其網絡、信息系統和設備存在安全漏洞後,應當立即采取措施,及時核實安全漏洞並完成修復。
第九條從事網絡產品安全漏洞發現和收集的組織或個人應當遵循必要性、真實性、客觀性和有利於防範網絡安全風險的原則,並遵守以下規定:
(壹)在網絡產品提供者提供網絡產品安全漏洞修復措施之前,不得發布漏洞信息;認為有必要提前發布的,應當與相關網絡產品提供者協商,並報工業和信息化部、公安部,由其組織評估後發布。
(二)不得公布網絡運營者正在使用的網絡、信息系統及其設備的詳細信息。
(3)不得故意誇大網絡產品安全漏洞的危害和風險,不得利用網絡產品安全漏洞信息進行惡意炒作或從事詐騙、敲詐勒索等違法犯罪活動。
(四)禁止發布或者提供專門用於利用網絡產品安全漏洞從事危害網絡安全活動的程序和工具。
(五)在發布網絡產品安全漏洞時,應同步發布修復或防範措施。
(六)國家重大活動期間,未經公安部同意,不得擅自發布網絡產品安全漏洞信息。
(七)不得向網絡產品提供者以外的境外組織或個人提供未公開的網絡產品安全漏洞信息。
(八)法律法規的其他有關規定。
第十條任何組織和個人建立的網絡產品安全漏洞收集平臺應當向工業和信息化部備案。工業和信息化部及時向公安部、國家互聯網信息辦公室通報了相關漏洞采集平臺,並公布了通過備案的漏洞采集平臺。
鼓勵發現網絡產品安全漏洞的組織或個人向工業和信息化部信息共享平臺、國家網絡與信息安全信息通報中心漏洞平臺、國家計算機網絡應急技術處理協調中心漏洞平臺、中國信息安全測評中心漏洞數據庫提交網絡產品安全漏洞信息。
第十壹條從事網絡產品安全漏洞發現和收集的機構應當加強內部管理,采取措施防止網絡產品安全漏洞信息泄露和非法發布。
第十二條網絡產品提供者未按照本規定對網絡產品安全漏洞采取補救或者報告措施的,由工業和信息化部、公安部按照各自職責進行處理;構成《中華人民共和國網絡安全法》第六十條規定情形的,依照本規定處罰。
第十三條網絡運營者未按照本條例采取措施修復或者防範網絡產品安全漏洞的,由有關主管部門依法處理;構成《中華人民共和國網絡安全法》第五十九條規定情形的,依照本規定處罰。
第十四條違反本規定收集和發布網絡產品安全漏洞信息的,由工業和信息化部、公安部根據各自職責依法處理;構成《中華人民共和國網絡安全法》第六十二條規定情形的,依照本規定處罰。
第十五條利用網絡產品安全漏洞從事危害網絡安全活動,或者為他人利用網絡產品安全漏洞從事危害網絡安全活動提供技術支持的,由公安機關依法處理;構成《中華人民共和國網絡安全法》第六十三條規定情形的,依照本規定處罰;構成犯罪的,依法追究刑事責任。
第十六條本規定自20265438年9月1日起施行。