合規(guī)之風(fēng)已起 | 解讀《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》
網(wǎng)絡(luò)安全行業(yè)合規(guī)之風(fēng)已起。
- 6月10日,中華人民共和國(guó)第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議通過《中華人民共和國(guó)數(shù)據(jù)安全法》,并請(qǐng)于2021年9月1日起施行。
- 7月10日,國(guó)家互聯(lián)網(wǎng)信息辦公室同有關(guān)部門修訂了《網(wǎng)絡(luò)安全審查辦法》,并向社會(huì)公開征求意見。
- 最新消息,工業(yè)和信息化部、國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部三部門聯(lián)合印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,并將于自2021年9月1日起施行。
本文主要對(duì)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》進(jìn)行要點(diǎn)解讀,幫助讀者更快理解相關(guān)法規(guī)條款。
制定目的
- 規(guī)范網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行
- 防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
規(guī)定適用哪些對(duì)象
- 中華人民共和國(guó)境內(nèi)的網(wǎng)絡(luò)產(chǎn)品(含硬件、軟件)提供者和網(wǎng)絡(luò)運(yùn)營(yíng)者
- 從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集、發(fā)布等活動(dòng)的組織或者個(gè)人
重點(diǎn)合規(guī)舉措
網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者和網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái):
- 建立健全網(wǎng)絡(luò)產(chǎn)品安全漏洞信息接收渠道并保持暢通
- 留存網(wǎng)絡(luò)產(chǎn)品安全漏洞信息接收日志不少于6個(gè)月
相關(guān)組織和個(gè)人:
- 向網(wǎng)絡(luò)產(chǎn)品提供者通報(bào)其產(chǎn)品存在的安全漏洞
各個(gè)對(duì)象的安全漏洞管理義務(wù)
網(wǎng)絡(luò)產(chǎn)品提供者:
- 發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后,需立即采取措施并進(jìn)行安全漏洞驗(yàn)證、評(píng)估漏洞危害程度和影響范圍
- 對(duì)屬于其上游產(chǎn)品或者組件存在的安全漏洞,應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者
- 在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息。報(bào)送內(nèi)容包括存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱、型號(hào)、版本以及漏洞的技術(shù)特點(diǎn)、危害和影響范圍等。
- 及時(shí)組織對(duì)網(wǎng)絡(luò)產(chǎn)品安全漏洞進(jìn)行修補(bǔ),對(duì)于需要產(chǎn)品用戶(含下游廠商)采取軟件、固件升級(jí)等措施的,應(yīng)當(dāng)及時(shí)將網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險(xiǎn)及修補(bǔ)方式告知可能受影響的產(chǎn)品用戶,并提供必要的技術(shù)支持。
上述規(guī)定以漏洞管理出發(fā),規(guī)范了網(wǎng)絡(luò)產(chǎn)品提供者對(duì)于供應(yīng)鏈上下游的風(fēng)險(xiǎn)評(píng)估與處置義務(wù)。
網(wǎng)絡(luò)運(yùn)營(yíng)者:
- 發(fā)現(xiàn)或者獲知其網(wǎng)絡(luò)、信息系統(tǒng)及其設(shè)備存在安全漏洞后,立即采取措施,及時(shí)對(duì)安全漏洞進(jìn)行驗(yàn)證并完成修補(bǔ)。
從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集的組織或者個(gè)人:
需要遵循必要、真實(shí)、客觀以及有利于防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的原則:
- 不得在網(wǎng)絡(luò)產(chǎn)品提供者提供網(wǎng)絡(luò)產(chǎn)品安全漏洞修補(bǔ)措施之前發(fā)布漏洞信息。
- 有必要提前發(fā)布的,要與相關(guān)網(wǎng)絡(luò)產(chǎn)品提供者共同評(píng)估協(xié)商、向工業(yè)和信息化部、公安部報(bào)告,最后由工業(yè)和信息化部、公安部組織評(píng)估后發(fā)布。
- 不得發(fā)布網(wǎng)絡(luò)運(yùn)營(yíng)者在用的網(wǎng)絡(luò)、信息系統(tǒng)及其設(shè)備存在安全漏洞的細(xì)節(jié)情況。
- 不得刻意夸大網(wǎng)絡(luò)產(chǎn)品安全漏洞的危害和風(fēng)險(xiǎn),或者利用網(wǎng)絡(luò)產(chǎn)品安全漏洞信息實(shí)施惡意炒作或者進(jìn)行詐騙、敲詐勒索等違法犯罪活動(dòng)。
- 不得發(fā)布或者提供專門用于利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全活動(dòng)的程序和工具。
- 在發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞時(shí),應(yīng)當(dāng)同步發(fā)布修補(bǔ)或者防范措施。
- 在國(guó)家舉辦重大活動(dòng)期間,未經(jīng)公安部同意,不得擅自發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息。
不得將未公開的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息向網(wǎng)絡(luò)產(chǎn)品提供者之外的境外組織或者個(gè)人提供。
其中,法規(guī)“從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集的組織或者個(gè)人”范圍內(nèi)的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái),無論是由任何組織或者個(gè)人設(shè)立的,都需要向工業(yè)和信息化部備案。工業(yè)和信息化部及時(shí)向公安部、國(guó)家互聯(lián)網(wǎng)信息辦公室通報(bào)相關(guān)漏洞收集平臺(tái),并對(duì)通過備案的漏洞收集平臺(tái)予以公布
哪些機(jī)構(gòu)負(fù)責(zé)監(jiān)督管理
- 國(guó)家互聯(lián)網(wǎng)信息辦公室:統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理工作。
- 工業(yè)和信息化部:綜合管理網(wǎng)絡(luò)產(chǎn)品安全漏洞,承擔(dān)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)產(chǎn)品安全漏洞監(jiān)督管理。
- 公安部:監(jiān)督管理網(wǎng)絡(luò)產(chǎn)品安全漏洞,依法打擊利用網(wǎng)絡(luò)產(chǎn)品安全漏洞實(shí)施的違法犯罪活動(dòng)。
- 其他有關(guān)主管部門:加強(qiáng)跨部門協(xié)同配合;實(shí)現(xiàn)網(wǎng)絡(luò)產(chǎn)品安全漏洞信息實(shí)時(shí)共享;對(duì)重大網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險(xiǎn)開展聯(lián)合評(píng)估和處置。
其他違規(guī)行為
- 利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全的活動(dòng)
- 非法收集、出售、發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息
- 明知他人利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全的活動(dòng)的,還為其提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助。
處罰條款
- 第十二條 網(wǎng)絡(luò)產(chǎn)品提供者未按本規(guī)定采取網(wǎng)絡(luò)產(chǎn)品安全漏洞補(bǔ)救或者報(bào)告措施的,由工業(yè)和信息化部、公安部依據(jù)各自職責(zé)依法處理;構(gòu)成《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第六十條規(guī)定情形的,依照該規(guī)定予以處罰。
- 第十三條 網(wǎng)絡(luò)運(yùn)營(yíng)者未按本規(guī)定采取網(wǎng)絡(luò)產(chǎn)品安全漏洞修補(bǔ)或者防范措施的,由有關(guān)主管部門依法處理;構(gòu)成《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五十九條規(guī)定情形的,依照該規(guī)定予以處罰。
- 第十四條 違反本規(guī)定收集、發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息的,由工業(yè)和信息化部、公安部依據(jù)各自職責(zé)依法處理;構(gòu)成《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第六十二條規(guī)定情形的,依照該規(guī)定予以處罰。
- 第十五條 利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全活動(dòng),或者為他人利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全的活動(dòng)提供技術(shù)支持的,由公安機(jī)關(guān)依法處理;構(gòu)成《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第六十三條規(guī)定情形的,依照該規(guī)定予以處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。
《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》的出臺(tái)意義在于,壓實(shí)了各方的責(zé)任與義務(wù),為網(wǎng)絡(luò)產(chǎn)品提供者,網(wǎng)絡(luò)運(yùn)營(yíng)者,從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集、發(fā)布等活動(dòng)的組織或者個(gè)人指明了合規(guī)方向,同時(shí)界定了相關(guān)政府部門的監(jiān)管職責(zé)。此外,通過對(duì)違規(guī)行為的界定以及處罰的明確,幫助進(jìn)一步規(guī)范安全漏洞管理的生命周期。
隨著《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》正式施行,網(wǎng)絡(luò)安全行業(yè)將迎來更清晰的規(guī)范體系,而漏洞收集平臺(tái)和白帽子也將在承擔(dān)更大的社會(huì)責(zé)任的同時(shí),有望發(fā)揮出更大的社會(huì)價(jià)值。
