网络产品安全漏洞管理规则概述

为了构建安全的网络环境，防范潜在的网络安全风险，工业和信息化部、国家互联网信息办公室、公安部联合制定了《网络产品安全漏洞管理规定》（以下简称“规定”），旨在规范网络产品安全漏洞的发现、报告、修补和发布流程。

适用对象

此规定适用于在中国境内的网络产品提供者和网络运营者，以及从事网络产品安全漏洞发现、收集、发布等活动的组织或个人。

管理部门与职责

• 国家互联网信息办公室负责统筹网络产品安全漏洞管理工作。
• 工业和信息化部承担电信和互联网行业网络产品安全漏洞的监督管理。
• 公安部负责网络产品安全漏洞的监督管理，严厉打击利用安全漏洞实施的违法犯罪活动。

禁止行为

• 利用安全漏洞从事非法活动：任何组织或个人不得利用网络产品安全漏洞危害网络安全，不得非法收集、出售、发布安全漏洞信息，或为这类行为提供支持。

信息管理与披露

• 网络产品提供者应建立健全漏洞信息接收渠道，并保留接收日志至少6个月。
• 鼓励通报：鼓励相关组织和个人向网络产品提供者报告产品存在的安全漏洞。

补救措施

• 立即响应：一旦发现或得知产品存在安全漏洞，网络产品提供者需立即采取措施，并验证漏洞，评估其危害和影响范围。
• 信息上报：在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报告漏洞信息，内容需包括产品名称、型号、版本、漏洞的技术特点、危害和影响范围等。
• 修补与通知：及时修补漏洞，并告知可能受影响的用户，提供技术支持。

发布规则

• 发布前评估：网络产品安全漏洞信息的发布需遵循必要、真实、客观的原则，且须在提供修补措施前发布，必要时需与网络产品提供者协商，并向相关部门报告。
• 限制发布内容：避免发布网络运营者正在使用的网络、信息系统及其设备的详细安全漏洞信息，避免夸大漏洞危害，禁止提供用于危害网络安全的程序和工具。

合规与责任

• 违规处理：网络产品提供者、网络运营者未按规定采取措施的，将由相关主管部门依法处理；违反规定的组织或个人将受到相应处罚。

执行与监督

• 收集平台管理：网络产品安全漏洞收集平台需向工业和信息化部备案，并接受监管。
• 法律责任：利用安全漏洞从事非法活动，或为此类活动提供支持的，将依法处理，情节严重者将追究刑事责任。

实施日期

此规定自2021年9月1日起正式施行。

免责声明

本页面内容基于原创、合作媒体供稿和第三方作者投稿，仅供读者参考，不保证信息的绝对准确性。若认为内容涉及知识产权或不实问题，可按照规定流程向相关机构提出通知。