网络安全行业合规之风已起。
- 6月10日,中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,并请于2021年9月1日起施行。
- 7月10日,国家互联网信息办公室同有关部门修订了《网络安全审查办法》,并向社会公开征求意见。
- 最新消息,工业和信息化部、国家互联网信息办公室、公安部三部门联合印发《网络产品安全漏洞管理规定》,并将于自2021年9月1日起施行。
本文主要对《网络产品安全漏洞管理规定》进行要点解读,帮助读者更快理解相关法规条款。
制定目的
- 规范网络产品安全漏洞发现、报告、修补和发布等行
- 防范网络安全风险
规定适用哪些对象
- 中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者
- 从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人
重点合规举措
网络产品提供者、网络运营者和网络产品安全漏洞收集平台:
- 建立健全网络产品安全漏洞信息接收渠道并保持畅通
- 留存网络产品安全漏洞信息接收日志不少于6个月
相关组织和个人:
- 向网络产品提供者通报其产品存在的安全漏洞
各个对象的安全漏洞管理义务
网络产品提供者:
- 发现或者获知所提供网络产品存在安全漏洞后,需立即采取措施并进行安全漏洞验证、评估漏洞危害程度和影响范围
- 对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者
- 在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
- 及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
上述规定以漏洞管理出发,规范了网络产品提供者对于供应链上下游的风险评估与处置义务。
网络运营者:
- 发现或者获知其网络、信息系统及其设备存在安全漏洞后,立即采取措施,及时对安全漏洞进行验证并完成修补。
从事网络产品安全漏洞发现、收集的组织或者个人:
需要遵循必要、真实、客观以及有利于防范网络安全风险的原则:
- 不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。
- 有必要提前发布的,要与相关网络产品提供者共同评估协商、向工业和信息化部、公安部报告,最后由工业和信息化部、公安部组织评估后发布。
- 不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
- 不得刻意夸大网络产品安全漏洞的危害和风险,或者利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
- 不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
- 在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
- 在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
其中,法规“从事网络产品安全漏洞发现、收集的组织或者个人”范围内的网络产品安全漏洞收集平台,无论是由任何组织或者个人设立的,都需要向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布
哪些机构负责监督管理
- 国家互联网信息办公室:统筹协调网络产品安全漏洞管理工作。
- 工业和信息化部:综合管理网络产品安全漏洞,承担电信和互联网行业网络产品安全漏洞监督管理。
- 公安部:监督管理网络产品安全漏洞,依法打击利用网络产品安全漏洞实施的违法犯罪活动。
- 其他有关主管部门:加强跨部门协同配合;实现网络产品安全漏洞信息实时共享;对重大网络产品安全漏洞风险开展联合评估和处置。
其他违规行为
- 利用网络产品安全漏洞从事危害网络安全的活动
- 非法收集、出售、发布网络产品安全漏洞信息
- 明知他人利用网络产品安全漏洞从事危害网络安全的活动的,还为其提供技术支持、广告推广、支付结算等帮助。
处罚条款
- 第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。
- 第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。
- 第十四条 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。
- 第十五条 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。
《网络产品安全漏洞管理规定》的出台意义在于,压实了各方的责任与义务,为网络产品提供者,网络运营者,从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人指明了合规方向,同时界定了相关政府部门的监管职责。此外,通过对违规行为的界定以及处罚的明确,帮助进一步规范安全漏洞管理的生命周期。
随着《网络产品安全漏洞管理规定》正式施行,网络安全行业将迎来更清晰的规范体系,而漏洞收集平台和白帽子也将在承担更大的社会责任的同时,有望发挥出更大的社会价值。