工信部公开征求对《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》的意见
2021-09-15
来源: 中国信息安全
(征求意见稿)
第一条 为规范网络产品安全漏洞收集平台备案管理,根据《网络产品安全漏洞管理规定》,制定本办法。
第二条 中华人民共和国境内的网络产品安全漏洞收集平台的备案管理工作,适用本办法。
本办法所称网络产品安全漏洞收集平台(以下简称漏洞收集平台),是指相关组织或者个人设立的收集非自身网络产品安全漏洞的平台,仅用于修补自身网络产品、网络和系统安全漏洞用途的除外。
第三条 漏洞收集平台备案通过工业和信息化部网络安全威胁和漏洞信息共享平台开展,采用网上备案方式进行。
第四条 拟设立漏洞收集平台的组织或个人,应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报《网络产品安全漏洞收集平台备案登记表》(以下简称《备案登记表》,见附件1),提交以下信息:
(一)漏洞收集平台的名称、首页网址和互联网信息服务(ICP)备案号,用于发布漏洞信息的相关网址、社交软件公众号等互联网发布渠道;
(二)主办单位或主办个人的名称、证件号码,以及漏洞收集平台主要负责人和联系人的姓名、联系方式;
(三)主办单位注册资本、股权结构等有关情况;
(四)漏洞收集的范围和方式、漏洞验证评估规则、通知相关责任主体修补漏洞规则、漏洞发布规则、注册用户的身份核实规则及分类分级管理规则等;
(五)按照《通信网络安全防护管理办法》,通过通信网络安全防护管理系统取得定级三级的网络安全等级保护备案证明材料;
(六)依据有关国家标准和行业标准,实施平台管理等情况;
(七)签字并加盖公章的承诺书扫描件(见附件2);
(八)有关主管部门要求提交的其他需要说明的信息。
第五条 工业和信息化部在收到漏洞收集平台提交的备案信息后,经核查备案信息真实、完整的,应当在10个工作日内予以备案,向其发放备案编号,将备案信息通报公安部和国家互联网信息办公室,并通过工业和信息化部网络安全威胁和漏洞信息共享平台向社会公布有关备案信息。
备案信息不真实、不完整的,工业和信息化部在10个工作日内通知漏洞收集平台予以补正。
完成备案的漏洞收集平台应当在其网站主页底部位置标明其备案编号。
第六条 备案信息发生变化的,应当自信息变化之日起30日内向工业和信息化部变更备案。
第七条 不再从事漏洞收集业务的,应当在业务终止之日通过工业和信息化部网络安全威胁和漏洞信息共享平台履行备案注销手续。
第八条 漏洞收集平台应在上线前完成备案,已上线运行的漏洞收集平台应在本办法施行之日起10个工作日内进行备案。
第九条 工业和信息化部设立投诉举报渠道,用户可通过电话、邮箱等方式,对漏洞收集平台涉嫌违反法律法规的行为进行投诉举报。经核查属实的,将依法依规对漏洞收集平台给予处理。
第十条 本办法自2021年 月 日起施行。