一、《网络产品安全漏洞管理规定》(下面称为《规定》)颁布的意义和含义是怎样的?
依据《网络安全法》有关漏洞管理有关规定,工业和信息化部、我国互联网信息公司办公室、公安部联手制订《规定》,具体含义是维护我国网络安全,确保网络产品和关键应用系统的安全稳定运行;标准化漏洞挖掘、汇报、修复和发布等方法,确立网络产品服务提供者、网络运营人、及其从业漏洞挖掘、搜集、发布等工作的组织或个人等各种行为主体的责任和义务;激励各种行为主体充分发挥各自技术和机制优势开展漏洞挖掘、搜集、发布等有关工作。《规定》的颁布将促进网络产品安全漏洞管理方面的系统化、标准化、制度化,提升 有关行为主体漏洞管理水平,帮助建设标准化井然有序、活力四射的漏洞搜集和发布营销渠道,预防网络安全重大风险,确保我国网络安全。
二、《规定》制订环节是啥样的?
二零一九年,工业和信息化部会与有关部门创建了专项起草组,深层次实地调研、研讨、论述工作,探讨解析国内国外漏洞管理现况,整理各层面漏洞管理需要,征求网络安全行业专家人士意见和建议,创建《规定》征询建议。以后,数次面对网络产品服务提供者、网络运营人、网络安全公司、专业组织征询建议,并于二零一九年6月向社会公布征询建议,组织有关部门和机关事业单位汇集探讨,各个方面实施多方提议,创建《规定》修改稿,经工业和信息化部和有关部门审议利用后颁布。
三、《规定》中网络产品服务提供者,网络运营人,从业漏洞挖掘、搜集、披露等工作的组织或个人有哪几个方面责任和义务?
网络产品服务提供者和网络运营人是本身产品和系统漏洞的责任主体,要创建通畅的漏洞信息接收营销渠道,马上对漏洞开展查验并进行漏洞修复。与此同时,《规定》还对网络产品服务提供者明确提出了漏洞上报的具体期限规定,及其对产品用户给予技术支持的责任。针对从业漏洞挖掘、搜集、发布等工作的组织和个人,《规定》确立了其经评估商议后可提早披露产品漏洞、不可发布网络运营人漏洞关键点、同步发布修复预防措施、不可将未公开漏洞给予给产品服务提供者之外的境外组织或是个人等八项具体规定。
四、《规定》里将马上修复网络产品安全漏洞做为网络产品服务提供者理应执行的安全责任,其具体考量是怎样的?
网络产品漏洞信息可利用互联网平台、网媒、多媒体等方法在社会上迅速传递,影响很多网络用户利益,有必要采取一定的有效措施防止安全风险增加或是防止危害发生。《网络安全法》明确提出,网络产品服务提供者挖掘其网络产品存有安全缺陷、漏洞等安全风险时,理应马上实施防范措施,依照规定马上通知用户并向有关主管机构汇报。因而,《规定》规定网络产品服务提供者于2日内向工业和信息化部上报漏洞信息,并马上开展修复,将修复方法通知可能受影响的产品用户。
五、《规定》对漏洞搜集平台的管理规定是怎样的?
近些年,许多专业组织、公司和社会团体等创建了从业漏洞挖掘和搜集的漏洞搜集平台,在具体工作中一部分漏洞搜集平台也普遍存在内部运营不标准化、私自发布漏洞等问题,急待加强管理。因此,《规定》确立对漏洞搜集平台实施备案管理,由工业和信息化部对利用备案的漏洞搜集平台给予公布,并规定漏洞搜集平台采取一定的有效措施预防漏洞信息泄露和违反规定发布。
六、下一阶段怎么推动有关工作?
《规定》颁布后,工业和信息化部将从现行政策贯彻落实、机制健全、数据平台各个方面抓好落实。一个是提高现行政策贯彻落实,搞好对有关公司组织的现行政策咨询和工作具体指导,帮助漏洞搜集平台依照法律规定依规开展漏洞搜集和发布。二是健全有关工作方案,建立健全漏洞评估、发布、通报等关键环节的工作方案,确立漏洞搜集平台备案方法和上报内容。三是提高工业和信息化部网络安全威胁和漏洞信息共享平台建设,搞好与别的漏洞平台、漏洞库的信息共享,提高平台技术支撑能力。
《网络产品安全漏洞管理规定》
第一条 为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,根据《中华人民共和国网络安全法》,制定本规定。
第二条 中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守本规定。
第三条 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。
有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。
第四条 任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。
第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。
第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。
鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
(八)法律法规的其他相关规定。
第十条 任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。
鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。
第十一条 从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。
第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。
第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。
第十四条 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。
第十五条 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。
第十六条 本规定自2021年9月1日起施行。