也海工(gōng)業和信息化部、國家(jiā)互聯網信息辦公室、公雨人安部近日聯合印發《網絡産品安全漏洞管理規窗男定》。《規定》旨在維護國家(jiā)網絡安全,保護網絡産品和重要網絡系統的安店上全穩定運行;規範漏洞發現、報告、修補和發布等行為(wèi),明确網絡産短和品提供者、網絡運營者,以及從事漏洞發現、收音房集、發布等活動的組織或個人等各類主體的責任和義務;鼓勵各類主體發揮各自技術和們銀機制優勢開(kāi)展漏洞發現、收集、發布等相關工(gōng)作。《規票通定》自9月1日起施行。
關于印發網絡産品安全漏洞管理規定的通(tōng)知
工(gōng)信部聯網安〔2021〕66号
議算 各省、自治區、直轄市及新疆生産建設兵團工(gōng)業和信息化主管部門、網的說信辦、公安廳(局),各省、自治區、直轄市通高司(tōng)信管理局:
&nbs計城p;現将《網絡産品安全漏洞管理規定》予以發布,自2021年9月1日起施行。女校
工(gōng)業和信息化部
國家(jiā)互聯網信息辦公室
公安部
2021年7月12日
網絡産品安全漏洞管理規定
第一條 為(wèi)了規範網絡産品安全漏洞發現、報告、修補和發布等行內高為(wèi),防範網絡安全風險,根據《中華人民共和國網絡安全法》,拍時制定本規定。
第二條 中華人民共和國境内的網絡産品(含硬件、軟件)提供者和網絡運營者,林術以及從事網絡産品安全漏洞發現、收集、發布等活動的組織或者個人,應當遵守本規定草區。
 民新;第三條 國家(jiā)互聯網信息辦公室負責統籌協調網絡産品安全漏洞管理工雨木(gōng)作。工(gōng)業和信息化部負責網絡産品筆爸安全漏洞綜合管理,承擔電信和互聯網行業網絡産品安全漏洞監督管理。公安部現影負責網絡産品安全漏洞監督管理,依法打擊利用老門網絡産品安全漏洞實施的違法犯罪活動。
有關主管部門加強跨部門協同配合,實現網絡産品安全漏科來洞信息實時(shí)共享,對重大(dà)網絡産品安全漏洞風險開(kāi)展聯合件通評估和處置。
第四條 任何組織或者個人不(bù)得(de)利用醫生網絡産品安全漏洞從事危害網絡安全的活動,不(bù)得(d路務e)非法收集、出售、發布網絡産品安全漏洞鄉金信息;明知他(tā)人利用網絡産品安全漏快技洞從事危害網絡安全的活動的,不(bù)得(de)為(wè男校i)其提供技術支持、廣告推廣、支付結算等幫助兒匠。
&那時nbsp;第五條 網絡産品提供者、網絡運營者和網絡嗎文産品安全漏洞收集平台應當建立健全網絡産品安全漏洞信息接收渠道并保持分少暢通(tōng),留存網絡産品安全漏洞信息接收日志不都但(bù)少于6個月。
&n都生bsp;第六條 鼓勵相關組織和個人向網絡産品提供者通(tōng)報其票妹産品存在的安全漏洞。
第七條 網絡産品提供者應當履行下列網絡産品安全漏洞管理義麗錯務,确保其産品安全漏洞得(de)到及時(sh我風í)修補和合理發布,并指導支持産品用戶采取防範措施:
(一)發現或者獲知所提供網絡産品存在安全漏洞後做老,應當立即采取措施并組織對安全漏洞進行驗證,評估安全漏洞謝地的危害程度和影響範圍;對屬于其上遊産品或者組件存在的安全漏洞,應當立即通(t書錯ōng)知相關産品提供者。
(二)應當在2日内向工(gōng)業和信息化部兒司網絡安全威脅和漏洞信息共享平台報送相關漏洞信息話花。報送内容應當包括存在網絡産品安全漏洞的産品名稱、靜兒型号、版本以及漏洞的技術特點、危害和影響範圍他下等。
(三)應當及時(shí)組織對網絡産品安全漏洞進行修補,對于需車近要産品用戶(含下遊廠商)采取軟件、固件升級等熱坐措施的,應當及時(shí)将網絡産品安全漏洞風險及修補方式告知可能受影響的上但産品用戶,并提供必要的技術支持。
工(gōng)業和信息化部網絡安全威脅和漏洞信息共享們筆平台同步向國家(jiā)網絡與信息安全信息通(tōng)報中心、國家(jiā)女舊計算機網絡應急技術處理協調中心通(tōng)報相關漏洞信息。
&廠作nbsp;鼓勵網絡産品提供者建立所提供網絡産品安全漏洞上線獎勵機制,對發現并通(tōng)報所提供網絡産品安全漏洞暗訊的組織或者個人給予獎勵。
 店個;第八條 網絡運營者發現或者獲知其網絡、信息系統及其設備存在安藍城全漏洞後,應當立即采取措施,及時(shí)對安全漏西拿洞進行驗證并完成修補。
第九條 從事網絡産品安全漏洞發現、收集的組織或者個人通(tōng)過網絡從煙平台、媒體、會(huì)議、競賽等方式向社會(huì森校)發布網絡産品安全漏洞信息的,應當遵循必要、真實、家生客觀以及有利于防範網絡安全風險的原則,并遵守以下規定:
(一)不(bù)得(de)在網絡産品提供者鄉船提供網絡産品安全漏洞修補措施之前發布漏洞信息;認為(wèi)短為有必要提前發布的,應當與相關網絡産品提供者共同評估協商,并向工(gōng)業作自和信息化部、公安部報告,由工(gōng)業和信息化部、公安部組織評估高輛後進行發布。
弟自 (二)不(bù)得(de)發布網絡運營者新人在用的網絡、信息系統及其設備存在安全漏洞的細店舞節情況。
&n場紙bsp;(三)不(bù)得(de)刻意誇大(dà)網絡産畫南品安全漏洞的危害和風險,不(bù)得(de)利用短訊網絡産品安全漏洞信息實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動西裡。
&作水nbsp;(四)不(bù)得(de)發布或者提供專門用于利用作子網絡産品安全漏洞從事危害網絡安全活動的程序和工(gōn懂通g)具。
&n答姐bsp;(五)在發布網絡産品安全漏洞時(shí),藍鄉應當同步發布修補或者防範措施。
(六)在國家(jiā)舉辦重大(dà)活動期間,未經道現公安部同意,不(bù)得(de)擅自發布網風她絡産品安全漏洞信息。
(七)不(bù)得(de)将未公開(kāi)的網絡産品安全漏洞信息向一是網絡産品提供者之外的境外組織或者個人提供。
(八)法律法規的其他(tā)相關規定。
第十條 任何組織或者個人設立的網絡産品安全漏洞雜科收集平台,應當向工(gōng)業和信息化部備案。工(gōng)物信業和信息化部及時(shí)向公安部、國家(jiā)互聯網信息辦公室通(員關tōng)報相關漏洞收集平台,并對通(tōng)過資高備案的漏洞收集平台予以公布。
好麗 鼓勵發現網絡産品安全漏洞的組織或者個人向工(gōn短喝g)業和信息化部網絡安全威脅和漏洞信息共享平台、高舞國家(jiā)網絡與信息安全信息通(tōng)報中心漏洞平台、國家兵高(jiā)計算機網絡應急技術處理協調中心漏洞平台、中國信金湖息安全測評中心漏洞庫報送網絡産品安全漏洞信息。
第十一條 從事網絡産品安全漏洞發現、收集的組織應當加強内部管理,采取就很措施防範網絡産品安全漏洞信息洩露和違規發作報布。
第十二條 網絡産品提供者未按本規定采取網絡産品安全漏洞補救或者林服報告措施的,由工(gōng)業和信息化部、公安部依據各自服公職責依法處理;構成《中華人民共和國網絡安全法》第六十條規定情少綠形的,依照該規定予以處罰。
第十三條 網絡運營者未按本規定采取網絡産品安全漏洞修補或者防範措施的,由身來有關主管部門依法處理;構成《中華人民共和國網絡安全法》第五十化什九條規定情形的,依照該規定予以處罰。
第十四條 違反本規定收集、發布網絡産品安全漏洞信息的,由工(gō頻河ng)業和信息化部、公安部依據各自職責依法處什對理;構成《中華人民共和國網絡安全法》第六十二條規定情形的聽雪,依照該規定予以處罰。
河樂 第十五條 利用網絡産品安全漏洞從事危害網絡安全活動,或者為(聽笑wèi)他(tā)人利用網絡産品安全漏洞從事危害網絡安全是頻的活動提供技術支持的,由公安機關依法處理;構成《中華人民共和國網絡安全法》第農人六十三條規定情形的,依照該規定予以處罰;構成犯罪的,依法追究刑事責任。
第十六條 本規定自2021年9月1日起施行。遠民