《网络产品安全漏洞管理规定》2021年7月12日已由工业和信息化部、国家互联网信息办公室、公安部三部门联合印发,现予公布,自2021年9月1日起施行。
一、解读《网络产品安全漏洞管理规定》
制定目的
为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险。
法律依据
《中华人民共和国网络安全法》
三类责任主体
① 网络产品(含硬件、软件)提供者。
② 网络运营者。
③ 从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人。
三项管理职责及分工
① 国家互联网信息办公室:负责统筹协调网络产品安全漏洞管理工作。
② 工业和信息化部:负责网络产品安全漏洞综合管理,承担电信和互联网行业网络
产品安全漏洞监督管理。
③ 公安部:负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施
的违法犯罪活动。
三项活动不得从事
① 任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动。
② 不得非法收集、出售、发布网络产品安全漏洞信息。
③ 明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术
支持、广告推广、支付结算等帮助。
三类责任主体管理要求:
●网络产品提供者
接收:应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全
漏洞信息接收日志不少于6个月。
发现或者获知所提供网络产品存在安全漏洞后:
验证:应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影
响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品
提供者。
报送:应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏
洞信息。
修补:应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)
采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式
告知可能受影响的产品用户,并提供必要的技术支持。
同步:工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全
信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。
鼓励:鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所
提供网络产品安全漏洞的组织或者个人给予奖励。
- 网络运营者
接收:应当建立健全网络产品安全漏洞信息