7月13日下午,工业和信息化部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》。该条例旨在维护国家网络安全,保护网络产品和重要网络系统安全稳定运行,规范漏洞发现、报告、修补和发布,明确网络产品提供商、网络运营商以及从事漏洞发现和发布的主体。收藏。参与出版、出版等活动的组织或个人等各类实体的责任和义务。通知如下:各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门、网信办、公安厅(局),各省通信管理局自治区、直辖市:《网络产品安全漏洞管理规定》发布,2021年起9月1日起施行。工业和信息化部、国家互联网信息办公室、公安部7月12日,2021年《网络产品安全漏洞管理规定》全文第一条为了规范网络产品安全漏洞的发现、报告、修复和发布行为,防范网络安全风险,根据《中华人民共和国网络安全法》的规定,制定本规定。第二条中华人民共和国境内网络产品(包括硬件和软件)的提供者、网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守由这些规定。第三条国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合治理工作,负责电信和互联网行业网络产品安全漏洞的监督管理工作。公安部负责网络产品安全漏洞的监督管理工作,依法打击利用网络产品安全漏洞的违法犯罪活动。相关主管部门加强跨部门协调配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险进行联合评估处置。第四条任何组织和个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;提供技术支持、广告推广、支付结算等协助。第五条网络产品提供者、网络运营者、网络产品安全漏洞收集平台应当建立健全接收网络产品安全漏洞信息的渠道并保持畅通,并保存网络产品安全漏洞信息接收日志不少于6个月。第六条鼓励有关组织和个人向网络产品提供者通报其产品存在的安全漏洞。第七条网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修复和发布,并引导和支持产品使用者采取预防措施:立即采取措施,组织对安全漏洞的核查,评估安全漏洞的危害程度和范围;对于其上游产品或组件的安全漏洞,应立即通知相关产品提供商。(二)相关漏洞信息应在2日内报送工信部网络安全威胁与漏洞信息共享平台。提交内容应包括产品名称、型号、版本以及网络产品安全漏洞的技术特点、危害、漏洞范围等。(三)及时组织修复网络产品安全漏洞,如需产品用户(含下游厂商)采取软件、固件升级等措施,网络产品安全漏洞风险及修复方式应及时通知可能受影响的产品用户,并提供必要的技术支持。工业和信息化部网络安全威胁与漏洞信息共享平台同时向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。鼓励网络产品提供者建立网络产品安全漏洞奖励机制,对发现和报告网络产品安全漏洞的组织和个人给予奖励。第八条网络运营者发现或者获悉其网络、信息系统和设备存在安全漏洞后,应当立即采取措施核实并及时完成安全漏洞修复。第九条从事网络产品安全漏洞发现、收集工作的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会公众发布网络产品安全漏洞信息。(一)漏洞信息不得在网络发布前发布产品提供商提供网络产品安全漏洞修复措施;认为有必要提前发布的,应当与相关网络产品提供商共同评估协商,报行业信息化部、公安部报告,评估后发布。工业和信息化部、公安部。(二)不公开网络运营者使用的网络、信息系统和设备的安全漏洞详情。(三)不故意夸大网络产品安全漏洞的危害和风险,不利用网络产品安全漏洞信息进行恶意炒作或者实施诈骗、勒索等违法犯罪活动。(四)不得发布或者提供专门利用网络产品安全漏洞设计的程序和工具,从事危害网络安全的活动。(五)发布网络产品安全漏洞时,应当同时发布修复或防范措施。(六)国家重大活动期间,未经公安部同意,不得发布网络产品安全漏洞信息。(七)不得向网络产品提供者以外的境外组织和个人提供未公开的网络产品安全漏洞信息。(八)法律、法规的其他有关规定。第十条任何组织或者个人设立网络产品安全漏洞采集平台,应当向工业和信息化部备案。工业和信息化部及时将相关漏洞采集平台通报公安部和国家互联网信息办公室,并公布通过备案的漏洞采集平台。鼓励发现网络产品安全漏洞的组织或个人向工业和信息化部网络安全威胁与漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、全国计算机网络应急技术处理协调中心举报中国信息安全中心漏洞平台测评中心漏洞库,提交网络产品安全漏洞信息。第十一条从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防止网络产品安全漏洞信息泄露、违规发布。第十二条网络产品提供者未依照本规定采取措施补救或者报告网络产品安全漏洞的,由工业和信息化部、公安部依照有关规定依法处理。他们各自的职责;构成第六十条规定情形的,依照本规定处罚。第十三条网络运营者未依照本规定采取网络产品安全漏洞修复或者防范措施的,由有关主管部门依法处理;构成犯罪的,依法追究刑事责任。构成第五十九条规定情形的,依照本条例的规定处罚。第十四条违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据职责分别予以处理;构成犯罪的,依法追究刑事责任。构成第六十二条规定情形的,依照本条例的规定处罚。第十五条利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全活动提供技术支持的,由公安机关依照法律;构成犯罪的,按照规定给予处罚;构成犯罪的,依法追究刑事责任。构成犯罪的,依法追究刑事责任。第十六条本规定自2021年9月1日起施行。
