為貫徹落實《中華人民共和國網絡安全法》，加強網絡安全漏洞管理，工業和信息化部會同有關部門起草了《網絡安全漏洞管理規定（征求意見稿）》（見附件），擬以規范性文件形式印發，現面向社會公開征求意見。如有意見或建議，請于2019年7月18日前反饋。

聯系電話：010-66022093

傳    真：010-66022774

郵    箱：wangmeifang@miit.gov.cn

地    址：北京市西城區西長安街13號工業和信息化部網絡安全管理局（郵編：100804）。請在信封上注明“《網絡安全漏洞管理規定（征求意見稿）》意見反饋”。

附件：《網絡安全漏洞管理規定（征求意見稿）》.doc

工業和信息化部

2019年6月18日

網絡安全漏洞管理規定

（征求意見稿）

第一條  為規范網絡安全漏洞（以下簡稱漏洞）報告和信息發布等行為，保證網絡產品、服務、系統的漏洞得到及時修補，提高網絡安全防護水平，根據《國家安全法》《網絡安全法》，制定本規定。

第二條  中華人民共和國境內網絡產品、服務提供者和網絡運營者，以及開展漏洞檢測、評估、收集、發布及相關競賽等活動的組織（以下簡稱第三方組織）或個人,應當遵守本規定。

第三條  網絡產品、服務提供者和網絡運營者發現或獲知其網絡產品、服務、系統存在漏洞后，應當遵守以下規定：

（一）立即對漏洞進行驗證，對相關網絡產品應當在90日內采取漏洞修補或防范措施，對相關網絡服務或系統應當在10日內采取漏洞修補或防范措施；

（二）需要用戶或相關技術合作方采取漏洞修補或防范措施的，應當在對相關網絡產品、服務、系統采取漏洞修補或防范措施后5日內，將漏洞風險及用戶或相關技術合作方需采取的修補或防范措施向社會發布或通過客服等方式告知所有可能受影響的用戶和相關技術合作方，提供必要的技術支持，并向工業和信息化部網絡安全威脅信息共享平臺報送相關漏洞情況。

第四條  工業和信息化部、公安部和有關行業主管部門按照各自職責組織督促網絡產品、服務提供者和網絡運營者采取漏洞修補或防范措施。

第五條  工業和信息化部、公安部、國家互聯網信息辦公室等有關部門實現漏洞信息實時共享。

第六條  第三方組織或個人通過網站、媒體、會議等方式向社會發布漏洞信息，應當遵循必要、真實、客觀、有利于防范和應對網絡安全風險的原則，并遵守以下規定：

（一）不得在網絡產品、服務提供者和網絡運營者向社會或用戶發布漏洞修補或防范措施之前發布相關漏洞信息；

（二）不得刻意夸大漏洞的危害和風險；

（三）不得發布和提供專門用于利用網絡產品、服務、系統漏洞從事危害網絡安全活動的方法、程序和工具；

    （四）應當同步發布漏洞修補或防范措施。

第七條  第三方組織應當加強內部管理，履行下列管理義務，防范漏洞信息泄露和內部人員違規發布漏洞信息：

（一）明確漏洞管理部門和責任人；

（二）建立漏洞信息發布內部審核機制；

（三）采取防范漏洞信息泄露的必要措施；

（四）定期對內部人員進行保密教育；

（五）制定內部問責制度。

第八條  網絡產品、服務提供者和網絡運營者未按本規定采取漏洞修補或防范措施并向社會或用戶發布的，由工業和信息化部、公安部等有關部門按職責依據《網絡安全法》第五十六條、第五十九條、第六十條等規定組織對其進行約談或給予行政處罰。

第九條  第三方組織違反本規定向社會發布漏洞信息，由工業和信息化部、公安部等有關部門組織對其進行約談，或依據《網絡安全法》第六十二條、第六十三條等規定給予行政處罰；構成犯罪的，依法追究刑事責任；給網絡產品、服務提供者和網絡運營者造成經濟或名譽損害的，依法承擔民事責任。

第十條  鼓勵第三方組織和個人獲知網絡產品、服務、系統存在的漏洞后，及時向國家信息安全漏洞共享平臺、國家信息安全漏洞庫等漏洞收集平臺報送有關情況。漏洞收集平臺應當遵守本規定第六條、第七條規定。

第十一條   任何組織或個人發現涉嫌違反本規定的情形，有權向工業和信息化部、公安部舉報。

第十二條   本規定自印發之日起施行。

責任編輯：韓希宇