工業(yè)和信息化部�����、國家互聯(lián)網信息辦公室�����、公安部近日聯(lián)合印發(fā)《網絡產品安全漏洞管理規(guī)定》(以下簡稱《規(guī)定》)?�!兑?guī)定》旨在維護國家網絡安全����,保護網絡產品和重要網絡系統(tǒng)的安全穩(wěn)定運行;規(guī)范漏洞發(fā)現(xiàn)��、報告��、修補和發(fā)布等行為�����,明確網絡產品提供者���、網絡運營者�,以及從事漏洞發(fā)現(xiàn)�����、收集���、發(fā)布等活動的組織或個人等各類主體的責任和義務����;鼓勵各類主體發(fā)揮各自技術和機制優(yōu)勢,開展漏洞發(fā)現(xiàn)����、收集、發(fā)布等相關工作����。
《規(guī)定》指出,任何組織或者個人不得利用網絡產品安全漏洞從事危害網絡安全的活動����,不得非法收集、出售�、發(fā)布網絡產品安全漏洞信息;明知他人利用網絡產品安全漏洞從事危害網絡安全的活動的����,不得為其提供技術支持��、廣告推廣�、支付結算等幫助。
《規(guī)定》明確,網絡產品提供者應當履行下列網絡產品安全漏洞管理義務�����,確保其產品安全漏洞得到及時修補和合理發(fā)布�,并指導支持產品用戶采取防范措施:一、發(fā)現(xiàn)或者獲知所提供網絡產品存在安全漏洞后���,應當立即采取措施并組織對安全漏洞進行驗證�����,評估安全漏洞的危害程度和影響范圍����;對屬于其上游產品或者組件存在的安全漏洞���,應當立即通知相關產品提供者��。二����、應當在兩日內向工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息��。報送內容應當包括存在網絡產品安全漏洞的產品名稱、型號��、版本以及漏洞的技術特點���、危害和影響范圍等�����。三����、應當及時組織對網絡產品安全漏洞進行修補�����,對于需要產品用戶(含下游廠商)采取軟件�、固件升級等措施的,應當及時將網絡產品安全漏洞風險及修補方式告知可能受影響的產品用戶��,并提供必要的技術支持����。
《規(guī)定》要求,從事網絡產品安全漏洞發(fā)現(xiàn)����、收集的組織或者個人通過網絡平臺、媒體��、會議�、競賽等方式向社會發(fā)布網絡產品安全漏洞信息的,應當遵循必要�����、真實�����、客觀以及有利于防范網絡安全風險的原則��,并遵守以下規(guī)定:一��、不得在網絡產品提供者提供網絡產品安全漏洞修補措施之前發(fā)布漏洞信息����;認為有必要提前發(fā)布的,應當與相關網絡產品提供者共同評估協(xié)商���,并向工業(yè)和信息化部�����、公安部報告�����,由工業(yè)和信息化部�����、公安部組織評估后進行發(fā)布����。二、不得發(fā)布網絡運營者在用的網絡�、信息系統(tǒng)及其設備存在安全漏洞的細節(jié)情況。三�、不得刻意夸大網絡產品安全漏洞的危害和風險,不得利用網絡產品安全漏洞信息實施惡意炒作或者進行詐騙�、敲詐勒索等違法犯罪活動。四����、不得發(fā)布或者提供專門用于利用網絡產品安全漏洞從事危害網絡安全活動的程序和工具。五����、在發(fā)布網絡產品安全漏洞時��,應當同步發(fā)布修補或者防范措施。六���、在國家舉辦重大活動期間�����,未經公安部同意��,不得擅自發(fā)布網絡產品安全漏洞信息���。七、不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境外組織或者個人提供���。八�����、法律法規(guī)的其他相關規(guī)定��。
《規(guī)定》自9月1日起施行����。
轉自:人民郵電報
【版權及免責聲明】凡本網所屬版權作品,轉載時須獲得授權并注明來源“中國產業(yè)經濟信息網”�,違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業(yè)宣傳資訊����,僅代表作者個人觀點,不代表本網觀點和立場���。版權事宜請聯(lián)系:010-65363056�。
延伸閱讀
