本次草案稿尚处在申报草案期,为数众多安全可靠子公司等也正积极主动意见提议反馈金融行业意见提议与提议,热烈欢迎我们刊登他们的观点
为贯彻《中华人民共和国政府信息安全可靠法》,强化信息安全可靠安全可靠漏洞管理工作,轻工业和信息技术部报请相关职能部门草拟了《网络安全可靠安全可靠漏洞管理工作明确规定(草案稿)》(见附带),拟将规章文档方式印发,现面向市场申明草案。如有意见提议或提议,请于2019年7月18日前意见提议反馈。
联络电话:010-66022093
传 真:010-66022774
地 址:天津市东城区东长安街13号轻工业和信息技术部信息安全可靠管理工作局(Deoria:100804)。请在纸条上标明“《信息安全可靠安全可靠漏洞管理工作明确规定(草案稿)》意见提议意见提议反馈”。
轻工业和信息技术部
2019年6月1
信息安全可靠安全可靠漏洞管理工作明确规定(草案稿)
第一条 为规范信息安全可靠安全可靠漏洞(以下简称安全可靠漏洞)报告和信息发布等行为,保证网络产品、服务、系统的安全可靠漏洞得到及时修补,提高信息安全可靠防护水平,根据《国家安全可靠法》《信息安全可靠法》,制定本明确规定。
第二条 中华人民共和国政府境内网络产品、服务提供者和网络运营者,以及开展安全可靠漏洞检测、评估、收集、发布及相关竞赛等活动的组织(以下简称第三方组织)或个人,应当遵守本明确规定。
第三条 网络产品、服务提供者和网络运营者辨认出或获知其网络产品、服务、系统存在安全可靠漏洞后,应当遵守以下明确规定:
(一)立即对安全可靠漏洞进行验证,对相关网络产品应当在90日内采取安全可靠漏洞修补或防范措施,对相关网络服务或系统应当在10日内采取安全可靠漏洞修补或防范措施;
(二)需要用户或相关技术合作方采取安全可靠漏洞修补或防范措施的,应当在对相关网络产品、服务、系统采取安全可靠漏洞修补或防范措施后5日内,将安全可靠漏洞风险及用户或相关技术合作方需采取的修补或防范措施向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方,提供必要的技术支持,并向轻工业和信息技术部信息安全可靠威胁信息共享平台报送相关安全可靠漏洞情况。
第四条 轻工业和信息技术部、公安部和相关金融行业主管职能部门按照各自职责组织督促网络产品、服务提供者和网络运营者采取安全可靠漏洞修补或防范措施。
第五条 轻工业和信息技术部、公安部、国家互联网信息办公室等相关职能部门实现安全可靠漏洞信息实时共享。
第六条 第三方组织或个人通过网站、媒体、会议等方式向社会发布安全可靠漏洞信息,应当遵循必要、真实、客观、有利于防范和应对信息安全可靠风险的原则,并遵守以下明确规定:
(一)不得在网络产品、服务提供者和网络运营者向社会或用户发布安全可靠漏洞修补或防范措施之前发布相关安全可靠漏洞信息;
(二)不得刻意夸大安全可靠漏洞的危害和风险;
(三)不得发布和提供专门用于利用网络产品、服务、系统安全可靠漏洞从事危害信息安全可靠活动的方法、程序和工具;
(四)应当同步发布安全可靠漏洞修补或防范措施。
第七条 第三方组织应当强化内部管理工作,履行下列管理工作义务,防范安全可靠漏洞信息泄露和内部人员违规发布安全可靠漏洞信息:
(一)明确安全可靠漏洞管理工作职能部门和责任人;
(二)建立安全可靠漏洞信息发布内部审核机制;
(三)采取防范安全可靠漏洞信息泄露的必要措施;
(四)定期对内部人员进行保密教育;
(五)制定内部问责制度。
第八条 网络产品、服务提供者和网络运营者未按本明确规定采取安全可靠漏洞修补或防范措施并向社会或用户发布的,由轻工业和信息技术部、公安部等相关职能部门按职责依据《信息安全可靠法》第五十六条、第五十九条、第六十条等明确规定组织对其进行约谈或给予行政处罚。
第九条 第三方组织违反本明确规定向社会发布安全可靠漏洞信息,由轻工业和信息技术部、公安部等相关职能部门组织对其进行约谈,或依据《网络安全法》第六十二条、第六十三条等明确规定给予行政处罚;构成犯罪的,依法追究刑事责任;给网络产品、服务提供者和网络运营者造成经济或名誉损害的,依法承担民事责任。
第十条 鼓励第三方组织和个人获知网络产品、服务、系统存在的安全可靠漏洞后,及时向国家信息安全可靠安全可靠漏洞共享平台、国家信息安全可靠安全可靠漏洞库等安全可靠漏洞收集平台报送相关情况。安全可靠漏洞收集平台应当遵守本明确规定第六条、第七条明确规定。
第十一条 任何组织或个人辨认出涉嫌违反本明确规定的情形,有权向工业和信息技术部、公安部举报。
第十二条 本明确规定自印发之日起施行。
360子公司董事长兼CEO周鸿祎曾在去年初就曾提出,安全可靠漏洞是信息安全可靠的“命门”。软硬件系统安全可靠漏洞使得攻击者可以利用安全可靠漏洞窃取信息或者控制、破坏目标系统,从而引发各种信息安全可靠问题,作为中国最大的信息安全可靠子公司,360集团一年新辨认出的信息安全可靠安全可靠漏洞就超过8万个。
为强化信息安全可靠安全可靠漏洞管理工作,降低被攻击风险,提高我国信息安全可靠防护能力,在此提议:
一、建立安全可靠漏洞管理工作全流程监督处罚制度
尽快制定覆盖信息安全可靠安全可靠漏洞辨认出、审核、披露、通报、修复、追责等全流程的管理工作细则,强制要求安全可靠漏洞必须及时修复,对安全可靠漏洞修复时间以及违规处罚措施予以明确明确规定。此外,应建立监督检查机制和力量,及时辨认出未及时修复安全可靠漏洞的行为,并追究相关单位和责任人责任。
二、强制执行重要信息系统上线前安全可靠漏洞检测
对涉及国计民生、国家关键信息基础设施的重大信息系统工程和项目,一方面在其上线运行或交付使用之前,应强制要求进行信息安全可靠安全可靠漏洞的自检和备案,尤其应强化源代码层面的安全可靠缺陷和安全可靠漏洞检测。另一方面,国家信息安全可靠主管职能部门应对上线系统进行抽检,辨认出问题及时整改。同时,应引导和鼓励软硬件系统开发企业强化安全可靠开发规范和流程,尽量在源头避免信息安全可靠安全可靠漏洞的出现。
三、强制召回存在重大信息安全可靠安全可靠漏洞产品
对存在严重信息安全可靠安全可靠漏洞,可能导致大规模用户隐私泄露、人身伤害或者影响民生服务、关键基础设施正常运行的软硬件产品,尤其是物联网、智能汽车等产品,应借鉴汽车金融行业的做法,对存在重大信息安全可靠安全可靠漏洞产品的实施强制召回,避免造成更大的损失。
四、鼓励政企单位采用众测众包方式辨认出和收集安全可靠漏洞
信息安全可靠安全可靠漏洞的挖掘和辨认出具有一定的偶然性,需要集合民间智慧。提议借鉴美国在安全可靠安全可靠漏洞收集和挖掘方面的做法。一方面,强化政企单位与专业信息安全可靠企业的深度合作,充分利用信息安全可靠企业的安全可靠漏洞挖掘能力和情报优势,帮助政企单位及早辨认出和修复安全可靠漏洞。另一方面,在安全可靠可控的前提下,鼓励政企单位采用众测众包方式,充分发动民间安全可靠研究力量辨认出和收集安全可靠漏洞,提高信息安全可靠整体防护能力。
本次草案稿发布后,在安全可靠圈内掀起了较大的波澜:一方面对企业的管理工作和问责强化,可能有助于推动企业完善安全可靠漏洞修复流程,加快安全可靠漏洞修复速度;一方面对个人安全可靠漏洞研究与利用发布进行管控,也可能会限制安全可靠漏洞研究的发展。关于这个草案稿,你是如何看待的,又有什么意见提议和提议?热烈欢迎我们在评论区刊登他们的观点。
我们将从官网原文评论中选出三条点赞最高且非灌水的原创评论,送上安全可靠客定制吉祥物公仔一个(请处在登陆状态评论,活动截止6月24日)
