聯(lián)系電話：010-66022093

　　傳    真：010-66022774

　　郵    箱：wangmeifang@miit.gov.cn

　　地    址：北京市西城區(qū)西長(zhǎng)安街13號(hào)工業(yè)和信息化部網(wǎng)絡(luò)安全管理局（郵編：100804）。請(qǐng)?jiān)谛欧馍献⒚?ldquo;《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見稿）》意見反饋”。

　　工業(yè)和信息化部

　　2019年6月18日

　　網(wǎng)絡(luò)安全漏洞管理規(guī)定

　�。ㄕ髑笠庖姼澹�

　　第一條  為規(guī)范網(wǎng)絡(luò)安全漏洞（以下簡(jiǎn)稱漏洞）報(bào)告和信息發(fā)布等行為，保證網(wǎng)絡(luò)產(chǎn)品、服務(wù)、系統(tǒng)的漏洞得到及時(shí)修補(bǔ)，提高網(wǎng)絡(luò)安全防護(hù)水平，根據(jù)《國家安全法》《網(wǎng)絡(luò)安全法》，制定本規(guī)定。

　　第二條  中華人民共和國境內(nèi)網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營者，以及開展漏洞檢測(cè)、評(píng)估、收集、發(fā)布及相關(guān)競(jìng)賽等活動(dòng)的組織（以下簡(jiǎn)稱第三方組織）或個(gè)人，應(yīng)當(dāng)遵守本規(guī)定。

　　第三條  網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營者發(fā)現(xiàn)或獲知其網(wǎng)絡(luò)產(chǎn)品、服務(wù)、系統(tǒng)存在漏洞后，應(yīng)當(dāng)遵守以下規(guī)定：

　�。ㄒ唬┝⒓磳�(duì)漏洞進(jìn)行驗(yàn)證，對(duì)相關(guān)網(wǎng)絡(luò)產(chǎn)品應(yīng)當(dāng)在90日內(nèi)采取漏洞修補(bǔ)或防范措施，對(duì)相關(guān)網(wǎng)絡(luò)服務(wù)或系統(tǒng)應(yīng)當(dāng)在10日內(nèi)采取漏洞修補(bǔ)或防范措施；

　�。ǘ�）需要用戶或相關(guān)技術(shù)合作方采取漏洞修補(bǔ)或防范措施的，應(yīng)當(dāng)在對(duì)相關(guān)網(wǎng)絡(luò)產(chǎn)品、服務(wù)、系統(tǒng)采取漏洞修補(bǔ)或防范措施后5日內(nèi)，將漏洞風(fēng)險(xiǎn)及用戶或相關(guān)技術(shù)合作方需采取的修補(bǔ)或防范措施向社會(huì)發(fā)布或通過客服等方式告知所有可能受影響的用戶和相關(guān)技術(shù)合作方，提供必要的技術(shù)支持，并向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)報(bào)送相關(guān)漏洞情況。

　　第四條  工業(yè)和信息化部、公安部和有關(guān)行業(yè)主管部門按照各自職責(zé)組織督促網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營者采取漏洞修補(bǔ)或防范措施。

　　第五條  工業(yè)和信息化部、公安部、國家互聯(lián)網(wǎng)信息辦公室等有關(guān)部門實(shí)現(xiàn)漏洞信息實(shí)時(shí)共享。

　　第六條  第三方組織或個(gè)人通過網(wǎng)站、媒體、會(huì)議等方式向社會(huì)發(fā)布漏洞信息，應(yīng)當(dāng)遵循必要、真實(shí)、客觀、有利于防范和應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的原則，并遵守以下規(guī)定：

　　（一）不得在網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營者向社會(huì)或用戶發(fā)布漏洞修補(bǔ)或防范措施之前發(fā)布相關(guān)漏洞信息；

　�。ǘ�）不得刻意夸大漏洞的危害和風(fēng)險(xiǎn)；

　　（三）不得發(fā)布和提供專門用于利用網(wǎng)絡(luò)產(chǎn)品、服務(wù)、系統(tǒng)漏洞從事危害網(wǎng)絡(luò)安全活動(dòng)的方法、程序和工具；

　�。ㄋ模�應(yīng)當(dāng)同步發(fā)布漏洞修補(bǔ)或防范措施。

　　第七條  第三方組織應(yīng)當(dāng)加強(qiáng)內(nèi)部管理，履行下列管理義務(wù)，防范漏洞信息泄露和內(nèi)部人員違規(guī)發(fā)布漏洞信息：

　　（一）明確漏洞管理部門和責(zé)任人；

　　（二）建立漏洞信息發(fā)布內(nèi)部審核機(jī)制；

　�。ㄈ�）采取防范漏洞信息泄露的必要措施；

　�。ㄋ模┒ㄆ趯�(duì)內(nèi)部人員進(jìn)行保密教育；

　�。ㄎ澹┲贫▋�(nèi)部問責(zé)制度。

　　第八條  網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營者未按本規(guī)定采取漏洞修補(bǔ)或防范措施并向社會(huì)或用戶發(fā)布的，由工業(yè)和信息化部、公安部等有關(guān)部門按職責(zé)依據(jù)《網(wǎng)絡(luò)安全法》第五十六條、第五十九條、第六十條等規(guī)定組織對(duì)其進(jìn)行約談或給予行政處罰。

　　第九條  第三方組織違反本規(guī)定向社會(huì)發(fā)布漏洞信息，由工業(yè)和信息化部、公安部等有關(guān)部門組織對(duì)其進(jìn)行約談，或依據(jù)《網(wǎng)絡(luò)安全法》第六十二條、第六十三條等規(guī)定給予行政處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任；給網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營者造成經(jīng)濟(jì)或名譽(yù)損害的，依法承擔(dān)民事責(zé)任。

　　第十條  鼓勵(lì)第三方組織和個(gè)人獲知網(wǎng)絡(luò)產(chǎn)品、服務(wù)、系統(tǒng)存在的漏洞后，及時(shí)向國家信息安全漏洞共享平臺(tái)、國家信息安全漏洞庫等漏洞收集平臺(tái)報(bào)送有關(guān)情況。漏洞收集平臺(tái)應(yīng)當(dāng)遵守本規(guī)定第六條、第七條規(guī)定。

　　第十一條    任何組織或個(gè)人發(fā)現(xiàn)涉嫌違反本規(guī)定的情形，有權(quán)向工業(yè)和信息化部、公安部舉報(bào)。

　　第十二條    本規(guī)定自印發(fā)之日起施行。