点选下方“我国网络安全” 可订户
申明征询对《网络安全安全漏洞管理工作明确规定(草案稿)》的意见提议
为贯彻《中华人民共和国政府网络管理法》,强化网络安全安全漏洞管理工作,轻工业和重要信息技术部报请相关职能部门草拟了《网络安全安全漏洞管理工作明确规定(草案稿)》(见附带),拟将规章文档方式印发,现面向市场申明草案。如有意见提议或提议,请于2019年7月18日前意见反馈。
联络电话:010-66022093
传 真:010-66022774
地 址:天津市东城区东长安街13号轻工业和重要信息技术部网络安全管理工作局(Deoria:100804)。请在纸条上标明“《网络安全安全漏洞管理工作明确规定(征询意见稿)》意见提议意见反馈”。
附带:《网络安全安全漏洞管理工作明确规定(草案稿)》.doc
轻工业和重要信息技术部
2019年6月18日
网络安全安全漏洞管理工作明确规定
(草案稿)
第二条为规范化网络安全安全漏洞(下列全称安全漏洞)调查报告和重要信息正式发布等犯罪行为,确保软件产品、服务项目、控制系统的安全漏洞获得及时处理修整,提升网络安全防雷水准,依照《北欧国家管理法》《网络管理法》,制订本明确规定。
第三条中华人民共和国政府全境软件产品、服务项目提供者和网络运营者,以及开展安全漏洞检测、评估、收集、正式发布及相关竞赛等活动的组织(下列全称第三方组织)或个人,应当遵守本明确规定。
第三条 软件产品、服务项目提供者和网络运营者辨认出或获知其软件产品、服务项目、控制系统存在安全漏洞后,应当遵守下列明确规定:
(一)立即对安全漏洞进行验证,对相关软件产品应当在90日内采取安全漏洞修整或防范措施,对相关网络服务项目或控制系统应当在10日内采取安全漏洞修整或防范措施;
(二)需要用户或相关技术合作方采取安全漏洞修整或防范措施的,应当在对相关软件产品、服务项目、控制系统采取安全漏洞修整或防范措施后5日内,将安全漏洞风险及用户或相关技术合作方需采取的修整或防范措施向社会正式发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方,提供必要的技术支持,并向轻工业和重要信息技术部网络安全威胁重要信息共享平台报送相关安全漏洞情况。
第四条 轻工业和重要信息技术部、公安部和相关行业主管职能部门按照各自职责组织督促软件产品、服务项目提供者和网络运营者采取安全漏洞修整或防范措施。
第五条轻工业和重要信息技术部、公安部、北欧国家互联网重要信息办公室等相关职能部门实现安全漏洞重要信息实时共享。
第六条 第三方组织或个人通过网站、媒体、会议等方式向社会正式发布安全漏洞重要信息,应当遵循必要、真实、客观、有利于防范和应对网络安全风险的原则,并遵守下列明确规定:
(一)不得在网络产品、服务项目提供者和网络运营者向社会或用户正式发布安全漏洞修整或防范措施之前正式发布相关安全漏洞重要信息;
(二)不得刻意夸大安全漏洞的危害和风险;
(三)不得正式发布和提供专门用于利用软件产品、服务项目、控制系统安全漏洞从事危害网络安全活动的方法、程序和工具;
(四)应当同步正式发布安全漏洞修整或防范措施。
第七条 第三方组织应当强化内部管理工作,履行下列管理工作义务,防范安全漏洞重要信息泄露和内部人员违规正式发布安全漏洞重要信息:
(一)明确安全漏洞管理工作职能部门和责任人;
(二)建立安全漏洞重要信息发布内部审核机制;
(三)采取防范安全漏洞重要信息泄露的必要措施;
(四)定期对内部人员进行保密教育;
(五)制订内部问责制度。
第八条软件产品、服务项目提供者和网络运营者未按本明确规定采取安全漏洞修整或防范措施并向社会或用户正式发布的,由轻工业和重要信息技术部、公安部等相关职能部门按职责依据《网络管理法》第五十六条、第五十九条、第六十条等明确规定组织对其进行约谈或给予行政处罚。
第九条 第三方组织违反本明确规定向社会正式发布安全漏洞重要信息,由轻工业和重要信息技术部、公安部等相关职能部门组织对其进行约谈,或依据《网络管理法》第六十二条、第六十三条等明确规定给予行政处罚;构成犯罪的,依法追究刑事责任;给软件产品、服务项目提供者和网络运营者造成经济或名誉损害的,依法承担民事责任。
第十条 鼓励第三方组织和个人获知软件产品、服务项目、控制系统存在的安全漏洞后,及时处理向北欧国家网络安全安全漏洞共享平台、北欧国家网络安全安全漏洞库等安全漏洞收集平台报送相关情况。安全漏洞收集平台应当遵守本明确规定第六条、第七条明确规定。
第十一条任何组织或个人辨认出涉嫌违反本明确规定的情形,有权向轻工业和重要信息技术部、公安部举报。
第十二条 本明确规定自印发之日起施行。
更多网络安全精彩视频,尽在《话说安全》!
