球王会
球王会_球王会体育_球王会官网
全国客服热线
4008-888-888
《网络产品安全漏洞管理规定》中三类责任主体

《网络产品安全漏洞管理规定》中三类责任主体

  为规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,2021年7月12日,工业和信息化部、国家互联网信息办公室及公安部三部门联合发布

  《规定》主要对网络产品(含硬件、软件)提供者、网络运营者、从事网络产品安全漏洞发现、收集、发布等活动的组织或个人三类责任主体进行管理约束。

  网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体;从事网络产品安全漏洞发现、收集、发布等活动的组织或个人是对漏洞实施各种行为的责任主体。在《规定》中,明确提出了对这三类主体的责任约束和行为规范。

  漏洞接收与留存:应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。

  验证评估:应当立即采取措施并组织对安全漏洞进行验证并评估危害与影响。若该漏洞属于上游产品或组件的安全漏洞,应立即通知相关产品提供者。

  报送:应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。

  修复:应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

  漏洞接收与留存:应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存漏洞信息接收日志不少于6个月。

  验证修补:发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。

  3)明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

  1)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。

  2)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。

  3)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

  4)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

  6)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。

  7)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

  从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。

  备案:应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。

  漏洞接收与留存:应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。

  网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。

  网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。

  违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。

  利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。

  政府相关部门成立专项起草组,对漏洞管理开展调研工作,起草漏洞管理规定,旨在通过漏洞管理去加强重要领域数据资源、重要网络和信息系统的安全保障。现《规定》的出台明确了网络产品提供者、网络运营者以及从事漏洞相关活动的组织或个人在漏洞管理方面的责任和义务,并由工业和信息化部、国家互联网信息办公室及公安部三部门共同对责任主体的漏洞发现、报告、修补和发布等行为进行监督和约束,将网络产品安全漏洞可能产生的安全风险实施集中管控,使国家对网络安全风险的管控能力进一步提升。

  当前关键信息基础设施、数字化产业都是国家重点关注、发展和保护对象,同样它们也是网络威胁组织紧密关注并试图攻克的对象,而其中未被发现、修复的网络产品安全漏洞将是发动供应链攻击的有力突破口之一。利用安全漏洞对网络产品植入恶意代码的攻击手段,往往能造成大面积的感染,危害极大。供应链攻击的常态化已是网络空间的重大威胁趋势,亟需思考应对策略,以保障国家网络安全。

  《规定》通过对网络产品提供者、网络运营商、以及漏洞披露方的行为进行规范,强调各方主体责任,进一步控制网络产品安全漏洞所带来的安全威胁,从漏洞规范的角度去保障我国在关键信息基础设施和数字化产业发展路上的网络安全。

  《规定》的出台是我国在漏洞管理方面的重大突破,落实了《中华人民共和国网络安全法》对网络产品安全漏洞管理的要求;推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平;引导建设规范有序的漏洞收集和发布渠道,使我国的漏洞管理体系逐步完善,将牵引各方机构联合建立健全适合我国网络空间的漏洞管理机制。

  如今,网络信息技术日新月异,在深刻改变着全球经济格局和利益格局之际,也无时无刻不在影响着各个国家的安全格局。“没有网络安全就没有国家安全”,随着一系列法律法规的出台和完善,可以看出我国在持续建设网络强国目标的决心,也相信我国网络安全事业将在法律法规的加持下健康飞速发展。返回搜狐,查看更多

相关产品推荐

在线客服 :

服务热线:4008-888-888

电子邮箱: 9490489@qq.com

公司地址:江苏省南京市玄武区玄武湖

友情链接:
Copyright © 2002-2017 球王会 版权所有