公開(kāi)征求對《網(wǎng)絡(luò )安全漏洞管理規定（征求意見(jiàn)稿）》的意見(jiàn)

為貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò )安全法》，加強網(wǎng)絡(luò )安全漏洞管理，工業(yè)和信息化部會(huì )同有關(guān)部門(mén)起草了《網(wǎng)絡(luò )安全漏洞管理規定（征求意見(jiàn)稿）》（見(jiàn)附件），擬以規范性文件形式印發(fā)，現面向社會(huì )公開(kāi)征求意見(jiàn)。如有意見(jiàn)或建議，請于2019年7月18日前反饋。

聯(lián)系電話(huà)：010-66022093

傳     真：010-66022774

郵     箱：wangmeifang@miit.gov.cn

地     址：北京市西城區西長(cháng)安街13號工業(yè)和信息化部網(wǎng)絡(luò )安全管理局（郵編：100804）。請在信封上注明“《網(wǎng)絡(luò )安全漏洞管理規定（征求意見(jiàn)稿）》意見(jiàn)反饋”。

附件：《網(wǎng)絡(luò )安全漏洞管理規定（征求意見(jiàn)稿）》.doc

工業(yè)和信息化部

2019年6月18日

網(wǎng)絡(luò )安全漏洞管理規定

（征求意見(jiàn)稿）

第一條 為規范網(wǎng)絡(luò )安全漏洞（以下簡(jiǎn)稱(chēng)漏洞）報告和信息發(fā)布等行為，保證網(wǎng)絡(luò )產(chǎn)品、服務(wù)、系統的漏洞得到及時(shí)修補，提高網(wǎng)絡(luò )安全防護水平，根據《國家安全法》《網(wǎng)絡(luò )安全法》，制定本規定。

第二條 中華人民共和國境內網(wǎng)絡(luò )產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò )運營(yíng)者，以及開(kāi)展漏洞檢測、評估、收集、發(fā)布及相關(guān)競賽等活動(dòng)的組織（以下簡(jiǎn)稱(chēng)第三方組織）或個(gè)人,應當遵守本規定。

第三條 網(wǎng)絡(luò )產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò )運營(yíng)者發(fā)現或獲知其網(wǎng)絡(luò )產(chǎn)品、服務(wù)、系統存在漏洞后，應當遵守以下規定：

（一）立即對漏洞進(jìn)行驗證，對相關(guān)網(wǎng)絡(luò )產(chǎn)品應當在90日內采取漏洞修補或防范措施，對相關(guān)網(wǎng)絡(luò )服務(wù)或系統應當在10日內采取漏洞修補或防范措施；

（二）需要用戶(hù)或相關(guān)技術(shù)合作方采取漏洞修補或防范措施的，應當在對相關(guān)網(wǎng)絡(luò )產(chǎn)品、服務(wù)、系統采取漏洞修補或防范措施后5日內，將漏洞風(fēng)險及用戶(hù)或相關(guān)技術(shù)合作方需采取的修補或防范措施向社會(huì )發(fā)布或通過(guò)客服等方式告知所有可能受影響的用戶(hù)和相關(guān)技術(shù)合作方，提供必要的技術(shù)支持，并向工業(yè)和信息化部網(wǎng)絡(luò )安全威脅信息共享平臺報送相關(guān)漏洞情況。

第四條 工業(yè)和信息化部、公安部和有關(guān)行業(yè)主管部門(mén)按照各自職責組織督促網(wǎng)絡(luò )產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò )運營(yíng)者采取漏洞修補或防范措施。

第五條 工業(yè)和信息化部、公安部、國家互聯(lián)網(wǎng)信息辦公室等有關(guān)部門(mén)實(shí)現漏洞信息實(shí)時(shí)共享。

第六條 第三方組織或個(gè)人通過(guò)網(wǎng)站、媒體、會(huì )議等方式向社會(huì )發(fā)布漏洞信息，應當遵循必要、真實(shí)、客觀(guān)、有利于防范和應對網(wǎng)絡(luò )安全風(fēng)險的原則，并遵守以下規定：

（一）不得在網(wǎng)絡(luò )產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò )運營(yíng)者向社會(huì )或用戶(hù)發(fā)布漏洞修補或防范措施之前發(fā)布相關(guān)漏洞信息；

（二）不得刻意夸大漏洞的危害和風(fēng)險；

（三）不得發(fā)布和提供專(zhuān)門(mén)用于利用網(wǎng)絡(luò )產(chǎn)品、服務(wù)、系統漏洞從事危害網(wǎng)絡(luò )安全活動(dòng)的方法、程序和工具；

（四）應當同步發(fā)布漏洞修補或防范措施。

第七條 第三方組織應當加強內部管理，履行下列管理義務(wù)，防范漏洞信息泄露和內部人員違規發(fā)布漏洞信息：

（一）明確漏洞管理部門(mén)和責任人；

（二）建立漏洞信息發(fā)布內部審核機制；

（三）采取防范漏洞信息泄露的必要措施；

（四）定期對內部人員進(jìn)行保密教育；

（五）制定內部問(wèn)責制度。

第八條 網(wǎng)絡(luò )產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò )運營(yíng)者未按本規定采取漏洞修補或防范措施并向社會(huì )或用戶(hù)發(fā)布的，由工業(yè)和信息化部、公安部等有關(guān)部門(mén)按職責依據《網(wǎng)絡(luò )安全法》第五十六條、第五十九條、第六十條等規定組織對其進(jìn)行約談或給予行政處罰。

第九條 第三方組織違反本規定向社會(huì )發(fā)布漏洞信息，由工業(yè)和信息化部、公安部等有關(guān)部門(mén)組織對其進(jìn)行約談，或依據《網(wǎng)絡(luò )安全法》第六十二條、第六十三條等規定給予行政處罰；構成犯罪的，依法追究刑事責任；給網(wǎng)絡(luò )產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò )運營(yíng)者造成經(jīng)濟或名譽(yù)損害的，依法承擔民事責任。

第十條 鼓勵第三方組織和個(gè)人獲知網(wǎng)絡(luò )產(chǎn)品、服務(wù)、系統存在的漏洞后，及時(shí)向國家信息安全漏洞共享平臺、國家信息安全漏洞庫等漏洞收集平臺報送有關(guān)情況。漏洞收集平臺應當遵守本規定第六條、第七條規定。

第十一條 任何組織或個(gè)人發(fā)現涉嫌違反本規定的情形，有權向工業(yè)和信息化部、公安部舉報。

第十二條 本規定自印發(fā)之日起施行。

來(lái)源：工信部