速递|工信部网络安全管理局:《网络安全漏洞管理规定》近期将印发

稿源：网络法治国际中心 2019-08-05 18:24:12

640.webp.jpg

2019年7月30日，在北京举行的第五届互联网安全领袖峰会(CSS 2019)上，工信部网络安全管理局副局长杨宇燕在演讲中指出，互联网与实体经济融合的广度和深度不断拓展，与此同时网络安全风险和威胁也随之扩展和叠加，加速向物联网、工业互联网等新领域蔓延，网络安全形势日益复杂严峻。

对此，杨宇燕称，工信部主要围绕“三个体系”推进网络安全工作。

第一是网络基础设施防护体系。

统筹推进相关的法律、制度、标准、手段的建设，发布《电信和互联网行业网络安全工作的指导意见》等一系列的文件。

杨宇燕透露，最近《网络安全漏洞管理规定》《关于加强工业互联网安全工作的指导意见》已经向社会进行公开征求意见，将会于近期印发，以责任考核、行政监察、专项行动为抓手，构建事前防范、事中监测、事后应急“三位一体”的网络安全设施防护体系。

2019年6月18日，工信部公布《网络安全漏洞管理规定(征求意见稿)》，面向社会公开征求意见，4月份，《关于加强工业互联网安全工作的指导意见(征求意见稿)》发布。

第二是网络威胁综合治理的体系。

强化网络安全监测预警、信息共享、应急处置等手段的建设，和中央网信办、公安部等联合开展勒索病毒、恶意地址、链接等网络威胁专项治理，防范打击电信网络诈骗，为数字经济健康发展营造良好的网络环境。

第三是网络安全产业的生态体系。

聚焦政策引领、技术促进、企业扶持、生态缔造、推进产业发展指导性文件的起草。

谈及做好网络安全工作，杨宇燕提出，要发挥同业作用，带动落实网络安全责任;夯实基础能力，积极做好网络安全保障支撑;强化技术创新，不断提升网络安全核心竞争能力;深化开放合作，共建网络安全产业生态。具体包括：加强网络安全的共享通报和协同处置，欢迎积极参与工信部网络安全威胁信息共享平台的建设，加强安全能力的转化输出，为金融、能源等重点的行业领域提供安全服务，紧密围绕5G、IPv6、工业互联网、物联网等需求，加大研发投入力度，推动网络安全核心技术创新突破。

网络安全漏洞管理规定(征求意见稿)

第一条 为规范网络安全漏洞(以下简称漏洞)报告和信息发布等行为，保证网络产品、服务、系统的漏洞得到及时修补，提高网络安全防护水平，根据《国家安全法》《网络安全法》，制定本规定。

第二条 中华人民共和国境内网络产品、服务提供者和网络运营者，以及开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织(以下简称第三方组织)或个人,应当遵守本规定。

第三条 网络产品、服务提供者和网络运营者发现或获知其网络产品、服务、系统存在漏洞后，应当遵守以下规定：

(一)立即对漏洞进行验证，对相关网络产品应当在90日内采取漏洞修补或防范措施，对相关网络服务或系统应当在10日内采取漏洞修补或防范措施;

(二)需要用户或相关技术合作方采取漏洞修补或防范措施的，应当在对相关网络产品、服务、系统采取漏洞修补或防范措施后5日内，将漏洞风险及用户或相关技术合作方需采取的修补或防范措施向社会发布或通过客服等方式告知所有可能受影响的用户和相关技术合作方，提供必要的技术支持，并向工业和信息化部网络安全威胁信息共享平台报送相关漏洞情况。

第四条 工业和信息化部、公安部和有关行业主管部门按照各自职责组织督促网络产品、服务提供者和网络运营者采取漏洞修补或防范措施。

第五条 工业和信息化部、公安部、国家互联网信息办公室等有关部门实现漏洞信息实时共享。

第六条 第三方组织或个人通过网站、媒体、会议等方式向社会发布漏洞信息，应当遵循必要、真实、客观、有利于防范和应对网络安全风险的原则，并遵守以下规定：

(一)不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息;

(二)不得刻意夸大漏洞的危害和风险;

(三)不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具;

(四)应当同步发布漏洞修补或防范措施。

第七条 第三方组织应当加强内部管理，履行下列管理义务，防范漏洞信息泄露和内部人员违规发布漏洞信息：

(一)明确漏洞管理部门和责任人;

(二)建立漏洞信息发布内部审核机制;

(三)采取防范漏洞信息泄露的必要措施;

(四)定期对内部人员进行保密教育;