信息化觀察網(wǎng)

本文來自網(wǎng)信河北。

從工業(yè)和信息化部獲悉，為規(guī)范網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺備案管理，工業(yè)和信息化部近日印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺備案管理辦法》。辦法規(guī)定，漏洞收集平臺備案通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺開展，采用網(wǎng)上備案方式進(jìn)行。

辦法所稱網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺，是指相關(guān)組織或者個人設(shè)立的收集非自身網(wǎng)絡(luò)產(chǎn)品安全漏洞的公共互聯(lián)網(wǎng)平臺，僅用于修補(bǔ)自身網(wǎng)絡(luò)產(chǎn)品、網(wǎng)絡(luò)和系統(tǒng)安全漏洞用途的除外。辦法明確，擬設(shè)立漏洞收集平臺的組織或個人，應(yīng)當(dāng)通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺如實填報網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺備案登記信息。辦法自2023年1月1日起施行。

關(guān)于印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺備案管理辦法》的通知

工信部網(wǎng)安〔2022〕146號

各省、自治區(qū)、直轄市及新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門，各省、自治區(qū)、直轄市通信管理局，有關(guān)網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺運營單位：

現(xiàn)將《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺備案管理辦法》印發(fā)給你們，請認(rèn)真遵照執(zhí)行。

工業(yè)和信息化部

2022年10月25日

網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺備案管理辦法

第一條為規(guī)范網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺備案管理，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，制定本辦法。

第二條中華人民共和國境內(nèi)的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺的備案管理工作，適用本辦法。

本辦法所稱網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺（以下簡稱漏洞收集平臺），是指相關(guān)組織或者個人設(shè)立的收集非自身網(wǎng)絡(luò)產(chǎn)品安全漏洞的公共互聯(lián)網(wǎng)平臺，僅用于修補(bǔ)自身網(wǎng)絡(luò)產(chǎn)品、網(wǎng)絡(luò)和系統(tǒng)安全漏洞用途的除外。

第三條漏洞收集平臺備案通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺開展，采用網(wǎng)上備案方式進(jìn)行。

第四條擬設(shè)立漏洞收集平臺的組織或個人，應(yīng)當(dāng)通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺如實填報網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺備案登記信息，主要包括：

（一）漏洞收集平臺的名稱、首頁網(wǎng)址和互聯(lián)網(wǎng)信息服務(wù)（ICP）許可或備案號，用于發(fā)布漏洞信息的相關(guān)網(wǎng)址、社交軟件公眾號等互聯(lián)網(wǎng)發(fā)布渠道；

（二）主辦單位或主辦個人的名稱或姓名、證件號碼，以及漏洞收集平臺主要負(fù)責(zé)人和聯(lián)系人的姓名、聯(lián)系方式；

（三）漏洞收集的范圍和方式、漏洞驗證評估規(guī)則、通知相關(guān)責(zé)任主體修補(bǔ)漏洞規(guī)則、漏洞發(fā)布規(guī)則、注冊用戶的身份核實規(guī)則及分類分級管理規(guī)則等；

（四）通過工業(yè)和信息化部通信網(wǎng)絡(luò)安全防護(hù)管理系統(tǒng)，取得的網(wǎng)絡(luò)安全等級保護(hù)備案相關(guān)材料；

（五）依據(jù)有關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，實施平臺管理等情況；

（六）有關(guān)主管部門要求提交的其他需要說明的信息。

第五條工業(yè)和信息化部在收到漏洞收集平臺提交的備案信息后，填報信息齊全、符合法定要求的，應(yīng)當(dāng)在10個工作日內(nèi)予以備案，向其發(fā)放備案編號，將備案信息通報公安部和國家互聯(lián)網(wǎng)信息辦公室，并通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺向社會公布有關(guān)備案信息。

擬設(shè)立漏洞收集平臺的組織或個人應(yīng)對所填報信息的真實性負(fù)責(zé)，發(fā)現(xiàn)備案信息不真實、不完整的，工業(yè)和信息化部在10個工作日內(nèi)通知漏洞收集平臺予以補(bǔ)正。

完成備案的漏洞收集平臺應(yīng)當(dāng)在其網(wǎng)站主頁底部位置標(biāo)明其備案編號。

第六條備案信息發(fā)生變化的，應(yīng)當(dāng)自信息變化之日起30日內(nèi)通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺履行備案變更手續(xù)。

第七條不再從事漏洞收集業(yè)務(wù)的，應(yīng)當(dāng)在業(yè)務(wù)終止之日通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺履行備案注銷手續(xù)。

第八條漏洞收集平臺應(yīng)在上線前完成備案，已上線運行的漏洞收集平臺應(yīng)在本辦法施行之日起10個工作日內(nèi)進(jìn)行備案。

第九條工業(yè)和信息化部設(shè)立舉報渠道，社會公眾可通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺電話、郵箱等方式，對漏洞收集平臺涉嫌違反法律法規(guī)的行為進(jìn)行舉報。經(jīng)核查屬實的，將依法依規(guī)對漏洞收集平臺予以處理。

第十條本辦法自2023年1月1日起施行。