随着互联网的高速发展,网络信息安全问题泛滥,其中不乏阿里、BOSS直聘、滴滴出行等互联网头部企业涉及信息泄露、管理不当等问题,对此,多部门联合印发各规定,其中值得关注的是9月份发布的新规《网络产品安全漏洞管理规定》,即将吹起网络安全行业合规之风!
2021年7月12日,工业和信息化部、国家互联网信息办公室、公安部联合印发通知,公布《网络产品安全漏洞管理规定》,自2021年9月1日起施行。
规定明确,网络产品提供者应当履行网络产品安全漏洞管理义务,及时对漏洞进行验证并完成漏洞修补。
明确处罚条款:
第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。
第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。
第十四条 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。
第十五条 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。
适用哪些对象?
中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者;从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人。
合规要求有哪些?
网络产品提供者、网络运营者和网络产品安全漏洞收集平台,建立健全网络产品安全漏洞信息接收渠道并保持畅通;留存网络产品安全漏洞信息接收日志不少于6个月。
相关组织和个人,向网络产品提供者通报其产品存在的安全漏洞;
对各对象的安全漏洞权利义务
网络产品提供者:
发现或获知所提供网络产品存在安全漏洞后,应立即采取措施并进行验证,评估漏洞危害程度和影响范围;
对属于其上游产品或者组件存在的安全漏洞,应立即通知相关产品提供者;
在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息;
及时组织对网络产品安全漏洞进行修补,对需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持;
网络运营者:
发现或者获知其网络、信息系统及其设备存在安全漏洞后,立即采取措施,及时对安全漏洞进行验证并完成修补;
从事网络产品安全漏洞发现、收集的组织或者个人,需要遵循必要、真实、客观以及有利于防范网络安全风险的原则:
不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息,
有必要提前发布的,要与相关网络产品提供者共同评估协商、向工业和信息化部、公安部报告,最后由工业和信息化部、公安部组织评估后发布;
不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况;
不得刻意夸大网络产品安全漏洞的危害和风险,或者利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动;
不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具;
在发布网络产品安全漏洞时,应当同步发布修补或者防范措施;
在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息;
规定明确,不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。无论是由任何组织或者个人设立的,都需要向工业和信息化部备案。
哪些机构负责监督管理
国家互联网信息办公室:统筹协调网络产品安全漏洞管理工作。
工业和信息化部:综合管理网络产品安全漏洞,承担电信和互联网行业网络产品安全漏洞监督管理。
公安部:监督管理网络产品安全漏洞,依法打击利用网络产品安全漏洞实施的违法犯罪活动。
其他有关主管部门:加强跨部门协同配合;实现网络产品安全漏洞信息实时共享;对重大网络产品安全漏洞风险开展联合评估和处置。
继《网络安全法》出台后,国家又再次重拳出击,整顿网络生态环境,还广大网友一个“清朗”的网络环境,网络安全不仅涉及到每个网民、互联网从业者、互联网企业,更已上升至国家领土安全的问题,中拓互联作为基础互联网服务提供商,我们一直致力于为企事业单位提供更为优质、安全、高效的服务,让我们的每一位客户都放心!
