网络安全行业合规风起云涌。6月10日,中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,自2021年9月1日起施行。7月10日,国家互联网信息办公室和相关部门修改《网络安全审查办法》并公开征求社会意见。最新消息,工业和信息化部、国家网信办、公安部联合印发?,自2021年9月1日起实施。本文主要解读的要点帮助读者更快速地了解相关法规和规定。制定本条例的目的是规范网络产品安全漏洞的发现、报告、修复和发布等行为。本规定适用对象为境内网络产品(包括硬件和软件)提供者和网络运营者。中华人民共和国从事网络产品安全漏洞发现工作,网络产品提供商、网络运营商、网络产品安全漏洞收集平台:建立健全网络产品安全漏洞信息接收渠道,保持畅通。保留接收网络产品安全漏洞信息的日志。小于6个月相关组织和个人:通知网络产品提供者其产品存在安全漏洞各对象的安全漏洞管理义务网络产品提供者:发现或得知其提供的网络产品存在安全漏洞后,需立即采取措施并进行安全漏洞验证,评估漏洞程度和漏洞影响范围。对属于其上游产品或组件的安全漏洞,应立即通知相关产品提供者在2日内向工业和信息化部网络安全威胁与漏洞信息共享平台报告。发送相关漏洞信息。提交内容包括产品名称、型号、版本以及网络产品安全漏洞的技术特征、危害、漏洞范围等。及时组织修复网络产品安全漏洞。对于需要采取软件、固件升级等措施的产品使用者(含下游厂商),应当及时告知可能受到网络产品安全漏洞风险影响的产品使用者和修复方式,并提供必要信息。技术支援。上述规定从漏洞管理入手,规范了网络产品提供商对供应链上下游的风险评估和处置义务。网络运营者:发现或者知悉其网络、信息系统和设备存在安全漏洞后,应当立即采取措施,及时核实和修复安全漏洞。从事网络产品安全漏洞发现和收集的组织或个人:需遵循必要性、真实性、客观性、有利于防范网络安全风险的原则:网络产品提供者提供网络产品安全漏洞修复前,不得发布漏洞信息措施。如需提前发布,需与相关网络产品提供商共同评估协商,报工信部、公安部,最后由工信部和公安部报备。公安部组织评审放行。网络运营者使用的网络、信息系统和设备的安全漏洞详情不得公开。不得故意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息进行恶意炒作或者实施诈骗、勒索等违法犯罪活动。不得发布或者提供专门利用网络产品安全漏洞设计的程序和工具,从事危害网络安全的活动。发布网络产品安全漏洞时,应当同步发布补丁或防范措施。在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。不得向网络产品提供者以外的境外组织和个人提供未公开的网络产品安全漏洞信息。其中,属于“从事网络产品安全漏洞发现、收集工作的组织或者个人”范围内的网络产品安全漏洞收集平台,无论是任何组织或者个人设立的,都需要向工信部备案工业和信息技术部。工业和信息化部及时向公安部和国家互联网信息办公室通报相关漏洞收集平台,并公布哪些机构负责对通过备案的漏洞收集平台进行监督管理。国家互联网信息办公室:统筹管理网络产品安全漏洞。工业和信息化部:综合治理网络产品安全漏洞,承担电信和互联网行业网络产品安全漏洞监督管理工作。公安部:监督管理网络产品安全漏洞,依法打击利用网络产品安全漏洞的违法犯罪活动。其他相关主管部门:加强跨部门协调配合;实现网络产品安全漏洞信息的实时共享;对重大网络产品安全漏洞风险进行联合评估处置。其他违法行为利用网络产品安全漏洞,从事危害网络安全的活动。明知他人利用网络产品安全漏洞,非法收集、销售、发布网络产品安全漏洞信息,从事危害网络安全活动的。帮助付款和结算。处罚条款第十二条:网络产品提供者未依照本规定采取措施补救或者报告网络产品安全漏洞的,由工业和信息化部、公安部依照有关规定处理。依法依各自职责;构成第六十条规定情形的,依照本规定处罚。第十三条网络运营者未依照本规定采取网络产品安全漏洞修复或者预防措施的,由有关主管部门依法处理;构成犯罪的,依法追究刑事责任。构成第五十九条规定情形的,依照本规定处罚。第十四条违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据职责分别予以处理;构成犯罪的,依法追究刑事责任。构成第六十二条规定情形的,依照本条例的规定处罚。第十五条利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全活动提供技术支持的,由公安机关依照法律;构成犯罪的,按照规定给予处罚;构成犯罪的,依法追究刑事责任。构成犯罪的,依法追究刑事责任。的出台意义在于,凝聚了各方的责任和义务,为网络产品提供者、网络运营者、从事网络产品安全漏洞发现、收集、发布、发布的组织或个人指明了合规方向。等。同时,明确了相关政府部门的监管职责。此外,通过对违规行为的定义和处罚的明确,有助于进一步规范安全漏洞管理的生命周期。随着的正式实施,网络安全行业将迎来更加清晰的监管体系,而漏洞收集平台和白帽子也将承担更大的社会责任,有望发挥更大的社会价值。
