(CWW)为规范网络产品安全漏洞收集平台备案管理,工业和信息化部近日印发《网络产品安全漏洞收集平台备案管理办法》。《办法》所称网络产品安全漏洞收集平台,是指相关组织或者个人设立的收集非自身网络产品安全漏洞的公共互联网平台,仅用于修补自身网络产品、网络和系统安全漏洞用途的除外。
《办法》规定,漏洞收集平台备案通过工业和信息化部网络安全威胁和漏洞信息共享平台开展,采用网上备案方式进行。拟设立漏洞收集平台的组织或个人,应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞收集平台备案登记信息。主要包括:
(一)漏洞收集平台的名称、首页网址和互联网信息服务(ICP)许可或备案号,用于发布漏洞信息的相关网址、社交软件公众号等互联网发布渠道;
(资料图)
(二)主办单位或主办个人的名称或姓名、证件号码,以及漏洞收集平台主要负责人和联系人的姓名、联系方式;
(三)漏洞收集的范围和方式、漏洞验证评估规则、通知相关责任主体修补漏洞规则、漏洞发布规则、注册用户的身份核实规则及分类分级管理规则等;
(四)通过工业和信息化部通信网络安全防护管理系统,取得的网络安全等级保护备案相关材料;
(五)依据有关国家标准和行业标准,实施平台管理等情况;
(六)有关主管部门要求提交的其他需要说明的信息。
《办法》指出,工业和信息化部在收到漏洞收集平台提交的备案信息后,填报信息齐全、符合法定要求的,应当在10个工作日内予以备案,向其发放备案编号,将备案信息通报公安部和国家互联网信息办公室,并通过工业和信息化部网络安全威胁和漏洞信息共享平台向社会公布有关备案信息。拟设立漏洞收集平台的组织或个人应对所填报信息的真实性负责,发现备案信息不真实、不完整的,工业和信息化部在10个工作日内通知漏洞收集平台予以补正。完成备案的漏洞收集平台应当在其网站主页底部位置标明其备案编号。
值得注意的是,备案信息发生变化的,应当自信息变化之日起30日内通过工业和信息化部网络安全威胁和漏洞信息共享平台履行备案变更手续。不再从事漏洞收集业务的,应当在业务终止之日通过工业和信息化部网络安全威胁和漏洞信息共享平台履行备案注销手续。漏洞收集平台应在上线前完成备案,已上线运行的漏洞收集平台应在本办法施行之日起10个工作日内进行备案。
除此之外,工业和信息化部将设立举报渠道,社会公众可通过工业和信息化部网络安全威胁和漏洞信息共享平台电话、邮箱等方式,对漏洞收集平台涉嫌违反法律法规的行为进行举报。经核查属实的,将依法依规对漏洞收集平台予以处理。本办法自2023年1月1日起施行。
