各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部分、网信办、公安厅(局),各省、自治区、直辖市通信办理局:
第一条为了标准网络产品安全缝隙发现、陈述、修补和发布等行为,防备网络安全危险,根据《中华人民共和国网络安全法》,制定本规则。
第二条中华人民共和国境内的网络产品(含硬件、软件)供给者和网络运营者,以及从事网络产品安全缝隙发现、搜集、发布等活动的安排或许个人,应当恪守本规则。
第三条国家互联网信息办公室担任统筹和谐网络产品安全缝隙办理工作。工业和信息化部担任网络产品安全缝隙归纳办理,承当电信和互联网职业网络产品安全缝隙监督办理。公安部担任网络产品安全缝隙监督办理,依法打击使用网络产品安全缝隙施行的违法犯罪活动。
有关主管部分加强跨部分协同合作,完结网络产品安全缝隙信息实时同享,对重大网络产品安全缝隙危险展开联合评价和处置。
第四条任何安排或许个人不得使用网络产品安全缝隙从事损害网络安全的活动,不得不合法搜集、出售、发布网络产品安全缝隙信息;明知别人使用网络产品安全缝隙从事损害网络安全的活动的,不得为其供给技能支撑、广告推行、付出结算等协助。
第五条网络产品供给者、网络运营者和网络产品安全缝隙搜集途径应当树立健全网络产品安全缝隙信息接纳途径并坚持疏通,留存网络产品安全缝隙信息接纳日志不少于6个月。
第七条网络产品供给者应当实行下列网络产品安全缝隙办理责任,保证其产品安全缝隙得到及时修补和合理发布,并辅导支撑产品用户采纳防备办法:
(一)发现或许获悉所供给网络产品存在安全缝隙后,应当当即采纳办法并安排对安全缝隙进行验证,评价安全缝隙的损害程度和影响规模;对归于其上游产品或许组件存在的安全缝隙,应当当即告诉相关产品供给者。
(二)应当在2日内向工业和信息化部网络安全要挟和缝隙信息同享途径报送相关缝隙信息。报送内容应当包含存在网络产品安全缝隙的产品名称、类型、版别以及缝隙的技能特色、损害和影响规模等。
(三)应当及时安排对网络产品安全缝隙进行修补,关于需求产品用户(含下流厂商)采纳软件、固件晋级等办法的,应当及时将网络产品安全缝隙危险及修补方法奉告或许受影响的产品用户,并供给必要的技能支撑。
工业和信息化部网络安全要挟和缝隙信息同享途径同步向国家网络与信息安全信息通报中心、国家计算机网络应急技能处理和谐中心通报相关缝隙信息。
鼓舞网络产品供给者树立所供给网络产品安全缝隙奖赏机制,对发现并通报所供给网络产品安全缝隙的安排或许个人给予奖赏。
第八条网络运营者发现或许获悉其网络、信息系统及其设备存在安全缝隙后,应当当即采纳办法,及时对安全缝隙进行验证并完结修补。
第九条从事网络产品安全缝隙发现、搜集的安排或许个人经过网络途径、媒体、会议、比赛等方法向社会发布网络产品安全缝隙信息的,应当遵从必要、实在、客观以及有利于防备网络安全危险的准则,并恪守以下规则:
(一)不得在网络产品供给者供给网络产品安全缝隙修补办法之前发布缝隙信息;认为有必要提早发布的,应当与相关网络产品供给者一起评价洽谈,并向工业和信息化部、公安部陈述,由工业和信息化部、公安部安排评价后进行发布。
(三)不得故意夸张网络产品安全缝隙的损害和危险,不得使用网络产品安全缝隙信息施行歹意炒作或许进行欺诈、敲诈勒索等违法犯罪活动。
第十条任何安排或许个人建立的网络产品安全缝隙搜集途径,应当向工业和信息化部存案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关缝隙搜集途径,并对经过存案的缝隙搜集途径予以发布。
鼓舞发现网络产品安全缝隙的安排或许个人向工业和信息化部网络安全要挟和缝隙信息同享途径、国家网络与信息安全信息通报中心缝隙途径、国家计算机网络应急技能处理和谐中心缝隙途径、我国信息安全测评中心缝隙库报送网络产品安全缝隙信息。
第十一条从事网络产品安全缝隙发现、搜集的安排应当加强内部办理,采纳办法防备网络产品安全缝隙信息走漏和违规发布。
第十二条网络产品供给者未按本规则采纳网络产品安全缝隙弥补或许陈述办法的,由工业和信息化部、公安部根据各自责任依法处理;构成《中华人民共和国网络安全法》第六十条规则景象的,按照该规则予以处分。
第十三条网络运营者未按本规则采纳网络产品安全缝隙修补或许防备办法的,由有关主管部分依法处理;构成《中华人民共和国网络安全法》第五十九条规则景象的,按照该规则予以处分。
第十四条违反本规则搜集、发布网络产品安全缝隙信息的,由工业和信息化部、公安部根据各自责任依法处理;构成《中华人民共和国网络安全法》第六十二条规则景象的,按照该规则予以处分。
第十五条使用网络产品安全缝隙从事损害网络安全活动,或许为别人使用网络产品安全缝隙从事损害网络安全的活动供给技能支撑的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规则景象的,按照该规则予以处分;构成犯罪的,依法追究刑事责任。