6月18日，工業和資訊化部公佈《網路安全漏洞管理規定（徵求意見稿）》，面向社會公開徵求意見。

工業和資訊化部公開徵求對

《網路安全漏洞管理規定（徵求意見稿）》的意見

　　為貫徹落實《中華人民共和國網路安全法》，加強網路安全漏洞管理，工業和資訊化部會同有關部門起草了《網路安全漏洞管理規定（徵求意見稿）》（見附件），擬以規範性文件形式印發，現面向社會公開徵求意見。如有意見或建議，請於2019年7月18日前反饋。

　　聯繫電話：010-66022093

　　傳真：010-66022774

　　郵箱：wangmeifang@miit.gov.cn

　　地址：北京市西城區西長安街13號工業和資訊化部網路安全管理局（郵編：100804）。請在信封上註明“《網路安全漏洞管理規定（徵求意見稿）》意見反饋”。

　　工業和資訊化部

　　2019年6月18日

網路安全漏洞管理規定（徵求意見稿）

　　第一條為規範網路安全漏洞（以下簡稱漏洞）報告和資訊發佈等行為，保證網路産品、服務、系統的漏洞得到及時修補，提高網路安全防護水準，根據《國家安全法》《網路安全法》，制定本規定。

　　第二條中華人民共和國境內網路産品、服務提供者和網路運營者，以及開展漏洞檢測、評估、收集、發佈及相關競賽等活動的組織（以下簡稱第三方組織）或個人,應當遵守本規定。

　　第三條網路産品、服務提供者和網路運營者發現或獲知其網路産品、服務、系統存在漏洞後，應當遵守以下規定：

　　（一）立即對漏洞進行驗證，對相關網路産品應當在90日內採取漏洞修補或防範措施，對相關網路服務或系統應當在10日內採取漏洞修補或防範措施；

　　（二）需要用戶或相關技術合作方採取漏洞修補或防範措施的，應當在對相關網路産品、服務、系統採取漏洞修補或防範措施後5日內，將漏洞風險及用戶或相關技術合作方需採取的修補或防範措施向社會發佈或通過客服等方式告知所有可能受影響的用戶和相關技術合作方，提供必要的技術支援，並向工業和資訊化部網路安全威脅資訊共用平臺報送相關漏洞情況。

　　第四條工業和資訊化部、公安部和有關行業主管部門按照各自職責組織督促網路産品、服務提供者和網路運營者採取漏洞修補或防範措施。

　　第五條工業和資訊化部、公安部、國家網際網路信息辦公室等有關部門實現漏洞資訊實時共用。

　　第六條第三方組織或個人通過網站、媒體、會議等方式向社會發佈漏洞資訊，應當遵循必要、真實、客觀、有利於防範和應對網路安全風險的原則，並遵守以下規定：

　　（一）不得在網路産品、服務提供者和網路運營者向社會或用戶發佈漏洞修補或防範措施之前發佈相關漏洞資訊；

　　（二）不得刻意誇大漏洞的危害和風險；

　　（三）不得發佈和提供專門用於利用網路産品、服務、系統漏洞從事危害網路安全活動的方法、程式和工具；

　　（四）應當同步發佈漏洞修補或防範措施。

　　第七條第三方組織應當加強內部管理，履行下列管理義務，防範漏洞資訊洩露和內部人員違規發佈漏洞資訊：

　　（一）明確漏洞管理部門和責任人；

　　（二）建立漏洞資訊發佈內部審核機制；

　　（三）採取防範漏洞資訊洩露的必要措施；

　　（四）定期對內部人員進行保密教育；

　　（五）制定內部問責制度。

　　第八條網路産品、服務提供者和網路運營者未按本規定採取漏洞修補或防範措施並向社會或用戶發佈的，由工業和資訊化部、公安部等有關部門按職責依據《網路安全法》第五十六條、第五十九條、第六十條等規定組織對其進行約談或給予行政處罰。

　　第九條第三方組織違反本規定向社會發佈漏洞資訊，由工業和資訊化部、公安部等有關部門組織對其進行約談，或依據《網路安全法》第六十二條、第六十三條等規定給予行政處罰；構成犯罪的，依法追究刑事責任；給網路産品、服務提供者和網路運營者造成經濟或名譽損害的，依法承擔民事責任。

　　第十條鼓勵第三方組織和個人獲知網路産品、服務、系統存在的漏洞後，及時向國家資訊安全漏洞共用平臺、國家資訊安全漏洞庫等漏洞收集平臺報送有關情況。漏洞收集平臺應當遵守本規定第六條、第七條規定。

　　第十一條任何組織或個人發現涉嫌違反本規定的情形，有權向工業和資訊化部、公安部舉報。

　　第十二條本規定自印發之日起施行。

未經允許不得轉載：網信浙江 » 工信部發佈《網路安全漏洞管理規定(徵求意見稿)》