工業和信息化部、國家互聯網信息辦公室、公安部近日印發《網絡產品安全漏洞管理規定》(以下簡稱《規定》),自2021年9月1日起施行。《規定》要求,從事網絡產品安全漏洞發現、收集的組織或者個人通過網絡平臺、媒體、會議、競賽等方式向社會發布網絡產品安全漏洞信息的,應當遵循必要、真實、客觀以及有利于防范網絡安全風險的原則,明確不得刻意夸大網絡產品安全漏洞的危害和風險,不得利用網絡產品安全漏洞信息實施惡意炒作或者進行詐騙、敲詐勒索等違法犯罪活動等8項具體要求。
《規定》明確了網絡產品提供者和網絡運營者是自身產品和系統漏洞的責任主體,要建立暢通的漏洞信息接收渠道,及時對漏洞進行驗證并完成漏洞修補。同時,《規定》還對網絡產品提供者提出了漏洞報送的具體時限要求,以及對產品用戶提供技術支持的義務。
對于從事漏洞發現、收集、發布等活動的組織和個人,《規定》還明確不得在網絡產品提供者提供網絡產品安全漏洞修補措施之前發布漏洞信息;認為有必要提前發布的,應當與相關網絡產品提供者共同評估協商,并向工業和信息化部、公安部報告,由工業和信息化部、公安部組織評估后進行發布。不得發布網絡運營者在用的網絡、信息系統及其設備存在安全漏洞的細節情況。不得發布或者提供專門用于利用網絡產品安全漏洞從事危害網絡安全活動的程序和工具等。
當前,不少專業機構、企業和社會組織等建立了從事漏洞發現和收集的平臺,在實際工作中部分漏洞收集平臺也暴露出內部運營不規范、擅自發布漏洞等問題,亟需加強管理。為此,《規定》要求,任何組織或者個人設立的網絡產品安全漏洞收集平臺,應當向工業和信息化部備案。 從事網絡產品安全漏洞發現、收集的組織應當加強內部管理,采取措施防范網絡產品安全漏洞信息泄露和違規發布。
(來源:中國信用)