返回首页

三部门发布网络产品安全漏洞管理规定

李雁争 上海证券报

    工业和信息化部、国家互联网信息办公室、公安部近日印发《网络产品安全漏洞管理规定》(以下简称《规定》)。《规定》要求,任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

  《规定》明确了网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体,要建立畅通的漏洞信息接收渠道,及时对漏洞进行验证并完成漏洞修补。同时,《规定》还对网络产品提供者提出了漏洞报送的具体时限要求,以及对产品用户提供技术支持的义务。

  对于从事漏洞发现、收集、发布等活动的组织和个人,《规定》明确了其经评估协商后可提前披露产品漏洞、不得发布网络运营者漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等具体要求。

  由于网络产品漏洞信息可通过网络平台、媒体、会议等方式在社会上快速传播,危害大量网络用户权益,有必要采取措施防止风险扩大或者避免损害发生。《网络安全法》明确指出,网络产品提供者发现其网络产品存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。因此,《规定》要求网络产品提供者于2日内向工业和信息化部报送漏洞信息,并及时进行修补,将修补方式告知可能受影响的产品用户。

  近年来,不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的平台,在实际工作中部分漏洞收集平台也暴露出内部运营不规范、擅自发布漏洞等问题,亟需加强管理。为此,《规定》要求,任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。

  《规定》还要求,从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。

  工业和信息化部网络安全管理局人士表示,《规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平,引导建设规范有序、充满活力的漏洞收集和发布渠道,防范网络安全重大风险,保障国家网络安全。

  《规定》自2021年9月1日起施行。工业和信息化部将从政策宣贯、机制完善、平台建设多方面抓好落实。

中证网声明:凡本网注明“来源:中国证券报·中证网”的所有作品,版权均属于中国证券报、中证网。中国证券报·中证网与作品作者联合声明,任何组织未经中国证券报、中证网以及作者书面授权不得转载、摘编或利用其它方式使用上述作品。凡本网注明来源非中国证券报·中证网的作品,均转载自其它媒体,转载目的在于更好服务读者、传递信息之需,并不代表本网赞同其观点,本网亦不对其真实性负责,持异议者应与原出处单位主张权利。