布軒

通信產(chǎn)業(yè)網(wǎng)訊 為貫徹落實《中華人民共和國網(wǎng)絡安全法》，加強網(wǎng)絡安全漏洞管理，工信部會同有關部門起草了《網(wǎng)絡安全漏洞管理規(guī)定（征求意見稿）》（以下簡稱《規(guī)定》），面向社會公開征求意見，意見或建議的反饋時間截止到2019年7月18日。

《規(guī)定》指出，網(wǎng)絡產(chǎn)品、服務提供者和網(wǎng)絡運營者發(fā)現(xiàn)或獲知其網(wǎng)絡產(chǎn)品、服務、系統(tǒng)存在漏洞后，應當：（一）立即對漏洞進行驗證，對相關網(wǎng)絡產(chǎn)品應當在90日內(nèi)采取漏洞修補或防范措施，對相關網(wǎng)絡服務或系統(tǒng)應當在10日內(nèi)采取漏洞修補或防范措施;（二）需要用戶或相關技術(shù)合作方采取漏洞修補或防范措施的，應當在對相關網(wǎng)絡產(chǎn)品、服務、系統(tǒng)采取漏洞修補或防范措施后5日內(nèi)，將漏洞風險及用戶或相關技術(shù)合作方需采取的修補或防范措施向社會發(fā)布或通過客服等方式告知所有可能受影響的用戶和相關技術(shù)合作方，提供必要的技術(shù)支持，并向工業(yè)和信息化部網(wǎng)絡安全威脅信息共享平臺報送相關漏洞情況。

《規(guī)定》要求，第三方組織或個人通過網(wǎng)站、媒體、會議等方式向社會發(fā)布漏洞信息，應當遵循必要、真實、客觀、有利于防范和應對網(wǎng)絡安全風險的原則，并遵守以下規(guī)定：（一）不得在網(wǎng)絡產(chǎn)品、服務提供者和網(wǎng)絡運營者向社會或用戶發(fā)布漏洞修補或防范措施之前發(fā)布相關漏洞信息;（二）不得刻意夸大漏洞的危害和風險;（三）不得發(fā)布和提供專門用于利用網(wǎng)絡產(chǎn)品、服務、系統(tǒng)漏洞從事危害網(wǎng)絡安全活動的方法、程序和工具;（四）應當同步發(fā)布漏洞修補或防范措施。

《規(guī)定》明確，第三方組織應當加強內(nèi)部管理，履行下列管理義務，防范漏洞信息泄露和內(nèi)部人員違規(guī)發(fā)布漏洞信息：（一）明確漏洞管理部門和責任人;（二）建立漏洞信息發(fā)布內(nèi)部審核機制;（三）采取防范漏洞信息泄露的必要措施;（四）定期對內(nèi)部人員進行保密教育;（五）制定內(nèi)部問責制度。

《規(guī)定》指出，第三方組織違反本規(guī)定向社會發(fā)布漏洞信息，由工業(yè)和信息化部、公安部等有關部門組織對其進行約談，或依據(jù)《網(wǎng)絡安全法》第六十二條、第六十三條等規(guī)定給予行政處罰;構(gòu)成犯罪的，依法追究刑事責任;給網(wǎng)絡產(chǎn)品、服務提供者和網(wǎng)絡運營者造成經(jīng)濟或名譽損害的，依法承擔民事責任。

網(wǎng)絡產(chǎn)品、服務提供者和網(wǎng)絡運營者未按本規(guī)定采取漏洞修補或防范措施并向社會或用戶發(fā)布的，由工業(yè)和信息化部、公安部等有關部門按職責依據(jù)《網(wǎng)絡安全法》第五十六條、第五十九條、第六十條等規(guī)定組織對其進行約談或給予行政處罰。

《規(guī)定》強調(diào)，鼓勵第三方組織和個人獲知網(wǎng)絡產(chǎn)品、服務、系統(tǒng)存在的漏洞后，及時向國家信息安全漏洞共享平臺、國家信息安全漏洞庫等漏洞收集平臺報送有關情況。