信息來源:安全內(nèi)參
工業(yè)和信息化部關(guān)于印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)備案管理辦法》的通知
工信部網(wǎng)安〔2022〕146號(hào)
各省�����、自治區(qū)�����、直轄市及新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門�����,各省�����、自治區(qū)�、直轄市通信管理局�,有關(guān)網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)運(yùn)營單位:
現(xiàn)將《網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)備案管理辦法》印發(fā)給你們,請認(rèn)真遵照執(zhí)行���。
工業(yè)和信息化部
2022年10月25日
網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)備案管理辦法
第一條 為規(guī)范網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)備案管理�,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》����,制定本辦法。
第二條 中華人民共和國境內(nèi)的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)的備案管理工作����,適用本辦法。
本辦法所稱網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)(以下簡稱漏洞收集平臺(tái))��,是指相關(guān)組織或者個(gè)人設(shè)立的收集非自身網(wǎng)絡(luò)產(chǎn)品安全漏洞的公共互聯(lián)網(wǎng)平臺(tái)�����,僅用于修補(bǔ)自身網(wǎng)絡(luò)產(chǎn)品���、網(wǎng)絡(luò)和系統(tǒng)安全漏洞用途的除外。
第三條 漏洞收集平臺(tái)備案通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)開展�,采用網(wǎng)上備案方式進(jìn)行。
第四條 擬設(shè)立漏洞收集平臺(tái)的組織或個(gè)人�,應(yīng)當(dāng)通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)如實(shí)填報(bào)網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺(tái)備案登記信息,主要包括:
(一)漏洞收集平臺(tái)的名稱�����、首頁網(wǎng)址和互聯(lián)網(wǎng)信息服務(wù)(ICP)許可或備案號(hào)��,用于發(fā)布漏洞信息的相關(guān)網(wǎng)址�����、社交軟件公眾號(hào)等互聯(lián)網(wǎng)發(fā)布渠道�����;
(二)主辦單位或主辦個(gè)人的名稱或姓名�����、證件號(hào)碼�,以及漏洞收集平臺(tái)主要負(fù)責(zé)人和聯(lián)系人的姓名、聯(lián)系方式����;
(三)漏洞收集的范圍和方式、漏洞驗(yàn)證評估規(guī)則�、通知相關(guān)責(zé)任主體修補(bǔ)漏洞規(guī)則、漏洞發(fā)布規(guī)則��、注冊用戶的身份核實(shí)規(guī)則及分類分級(jí)管理規(guī)則等�;
(四)通過工業(yè)和信息化部通信網(wǎng)絡(luò)安全防護(hù)管理系統(tǒng)�,取得的網(wǎng)絡(luò)安全等級(jí)保護(hù)備案相關(guān)材料;
(五)依據(jù)有關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)����,實(shí)施平臺(tái)管理等情況�;
(六)有關(guān)主管部門要求提交的其他需要說明的信息��。
第五條 工業(yè)和信息化部在收到漏洞收集平臺(tái)提交的備案信息后��,填報(bào)信息齊全����、符合法定要求的,應(yīng)當(dāng)在10個(gè)工作日內(nèi)予以備案�����,向其發(fā)放備案編號(hào)�,將備案信息通報(bào)公安部和國家互聯(lián)網(wǎng)信息辦公室,并通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)向社會(huì)公布有關(guān)備案信息����。
擬設(shè)立漏洞收集平臺(tái)的組織或個(gè)人應(yīng)對所填報(bào)信息的真實(shí)性負(fù)責(zé),發(fā)現(xiàn)備案信息不真實(shí)�、不完整的,工業(yè)和信息化部在10個(gè)工作日內(nèi)通知漏洞收集平臺(tái)予以補(bǔ)正�����。
完成備案的漏洞收集平臺(tái)應(yīng)當(dāng)在其網(wǎng)站主頁底部位置標(biāo)明其備案編號(hào)���。
第六條 備案信息發(fā)生變化的���,應(yīng)當(dāng)自信息變化之日起30日內(nèi)通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)履行備案變更手續(xù)。
第七條 不再從事漏洞收集業(yè)務(wù)的����,應(yīng)當(dāng)在業(yè)務(wù)終止之日通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)履行備案注銷手續(xù)。
第八條 漏洞收集平臺(tái)應(yīng)在上線前完成備案�����,已上線運(yùn)行的漏洞收集平臺(tái)應(yīng)在本辦法施行之日起10個(gè)工作日內(nèi)進(jìn)行備案��。
第九條 工業(yè)和信息化部設(shè)立舉報(bào)渠道����,社會(huì)公眾可通過工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)電話、郵箱等方式�����,對漏洞收集平臺(tái)涉嫌違反法律法規(guī)的行為進(jìn)行舉報(bào)�����。經(jīng)核查屬實(shí)的,將依法依規(guī)對漏洞收集平臺(tái)予以處理����。
第十條 本辦法自2023年1月1日起施行。
