工业和信息化部 国度互联网信息办公室 公安部关于印发网络产品安全缝隙治理划定的通知
工信部联网安〔2021〕66号
各省、自治区、直辖市及新疆出产建设兵团工业和信息化主管部门、网信办、公安厅(局)�����,各省、自治区、直辖市通讯治理局:
现将《网络产品安全缝隙治理划定》予以颁布�����,自2021年9月1日起执行�����。
工业和信息化部 国度互联网信息办公室 公安部 2021年7月12日 |
网络产品安全缝隙治理划定
第一条 为了规范网络产品安全缝隙发现、汇报、建补和颁布等行为�����,防备网络安全风险�����,凭据《中华人民共和国网络安全法》�����,造订本划定�����。
第二条 中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者�����,以及从事网络产品安全缝隙发现、网络、颁布等活动的组织或者幼我�����,该当遵守本划定�����。
第三条 国度互联网信息办公室掌管两全协调网络产品安全缝隙治理工作�����。工业和信息化部掌管网络产品安全缝隙综合治理�����,承担电信和互联网行业网络产品安全缝隙监督治理�����。公安部掌管网络产品安全缝隙监督治理�����,依法进攻利用网络产品安全缝隙执行的违法犯罪活动�����。
有关主管部门加强跨部门协同共同�����,实现网络产品安全缝隙信息实时共享�����,对沉大网络产品安全缝隙风险发展结合评估和措置�����。
第四条 任何组织或者幼我不得利用网络产品安全缝隙从事风险网络安全的活动�����,不得犯法网络、销售、颁布网络产品安全缝隙信息��������;明知他人利用网络产品安全缝隙从事风险网络安全的活动的�����,不得为其提供技术支持、告白推广、支付结算等援手�����。
第五条 网络产品提供者、网络运营者和网络产品安全缝隙网络平台该当成立健全网络产品安全缝隙信息接管渠路并维持通顺�����,留存网络产品安全缝隙信息接管日志不少于6个月�����。
第六条 激励有关组织和幼我向网络产品提供者传递其产品存在的安全缝隙�����。
第七条 网络产品提供者该当推广下列网络产品安全缝隙治理使命�����,确保其产品安全缝隙得到实时建补和合理颁布�����,并领导支持产品用户采取防备措施:
(一)发现或者获知所提供网络产品存在安全缝隙后�����,该当当即采取措施并组织对安全缝隙进行验证�����,评估安全缝隙的风险水平和影响领域��������;对属于其上游产品或者组件存在的安全缝隙�����,该当当即通知有关产品提供者�����。
(二)该当在2日内向工业和信息化部网络安全威胁和缝隙信息共享平台报送有关缝隙信息�����。报送内容该当蕴含存在网络产品安全缝隙的产品名称、型号、版本以及缝隙的技术特点、风险和影响领域等�����。
(三)该当实时组织对网络产品安全缝隙进行建补�����,对于必要产品用户(含下游厂商)采取软件、固件升级等措施的�����,该当实时将网络产品安全缝隙风险及建补方式奉告可能受影响的产品用户�����,并提供必要的技术支持�����。
工业和信息化部网络安全威胁和缝隙信息共享平台同步向国度网络与信息安全信息传递中心、国度推算机网络应急技术处置协调中心传递有关缝隙信息�����。
激励网络产品提供者成立所提供网络产品安全缝隙嘉奖机造�����,对发现并传递所提供网络产品安全缝隙的组织或者幼我赐与嘉奖�����。
第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全缝隙后�����,该当当即采取措施�����,实时对安全缝隙进行验证并实现建补�����。
第九条 从事网络产品安全缝隙发现、网络的组织或者幼我通过网络平台、媒体、会议、较量等方式向社会颁布网络产品安全缝隙信息的�����,该当遵循必要、真实、客观以及有利于防备网络安全风险的准则�����,并遵守以下划定:
(一)不得在网络产品提供者提供网络产品安全缝隙建补措施之前颁布缝隙信息��������;以为有必要提前颁布的�����,该当与有关网络产品提供者共同评估协商�����,并向工业和信息化部、公安部汇报�����,由工业和信息化部、公安部组织评估后进行颁布�����。
(二)不得颁布网络运营者在用的网络、信息系统及其设备存在安全缝隙的细节情况�����。
(三)不得刻意夸大网络产品安全缝隙的风险微风险�����,不得利用网络产品安全缝隙信息执行恶意炒作或者进行诳骗、诓骗勒索等违法犯罪活动�����。
(四)不得颁布或者提供专门用于利用网络产品安全缝隙从事风险网络安全活动的法式和工具�����。
(五)在颁布网络产品安全缝隙时�����,该当同步颁布建补或者防备措施�����。
(六)在国度进行沉大活动期间�����,未经公安部赞成�����,不得擅自颁布网络产品安全缝隙信息�����。
(七)不得将未公开的网络产品安全缝隙信息向网络产品提供者之表的境表组织或者幼我提供�����。
(八)司法律规的其他有关划定�����。
第十条 任何组织或者幼我设立的网络产品安全缝隙网络平台�����,该当向工业和信息化部登记�����。工业和信息化部实时向公安部、国度互联网信息办公室传递有关缝隙网络平台�����,并对通过登记的缝隙网络平台予以颁布�����。
激励发现网络产品安全缝隙的组织或者幼我向工业和信息化部网络安全威胁和缝隙信息共享平台、国度网络与信息安全信息传递中心缝隙平台、国度推算机网络应急技术处置协调中心缝隙平台、中国信息安全测评中心缝隙库报送网络产品安全缝隙信息�����。
第十一条 从事网络产品安全缝隙发现、网络的组织该当加强内部治理�����,采取措施防备网络产品安全缝隙信息泄露和违规颁布�����。
第十二条 网络产品提供者未按本划定采取网络产品安全缝隙补救或者汇报措施的�����,由工业和信息化部、公安部凭据各自职责依法处置��������;组成《中华人民共和国网络安全法》第六十条划定情景的�����,遵循该划定予以处罚�����。
第十三条 网络运营者未按本划定采取网络产品安全缝隙建补或者防备措施的�����,由有关主管部门依法处置��������;组成《中华人民共和国网络安全法》第五十九条划定情景的�����,遵循该划定予以处罚�����。
第十四条 违反本划定网络、颁布网络产品安全缝隙信息的�����,由工业和信息化部、公安部凭据各自职责依法处置��������;组成《中华人民共和国网络安全法》第六十二条划定情景的�����,遵循该划定予以处罚�����。
第十五条 利用网络产品安全缝隙从事风险网络安全活动�����,或者为他人利用网络产品安全缝隙从事风险网络安全的活动提供技术支持的�����,由公安机关依法处置��������;组成《中华人民共和国网络安全法》第六十三条划定情景的�����,遵循该划定予以处罚��������;组成犯罪的�����,依法查究刑事责任�����。
第十六条 本划定自2021年9月1日起执行�����。
公安登记号:44030502000376