首頁 / 文章發布 / 君合法評 / 君合法評詳情

網絡安全漏洞將何去何從——簡析《網絡安全漏洞管理規定(征求意見稿)》

2019.06.24 董瀟 朱彤 賈子豫

一、 監管對象、主管機構


《網絡安全法》第22條規定,網絡產品、服務的提供者……發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。


《管理規定》明確的監管對象包括網絡產品、服務提供者和網絡運營者,以及開展漏洞檢測、評估、收集、發布及相關競賽等活動的組織(以下簡稱“第三方組織”)或個人(第2條),主管機構為工信部、公安部和有關行業主管部門(第4條)。


二、 網絡安全漏洞處置流程


《管理規定》要求網絡產品、服務提供者和網絡運營者發現或獲知其網絡產品、服務、系統存在漏洞后,應當按照相應的時間采取漏洞修補或防范措施并向社會或用戶發布(第3條)。


與原國家標準相比,《管理規定》并沒有沿用其詳細的漏洞管理生命周期流程,對于漏洞發現、接受等問題進行詳細規范,調整了原標準規定的處理時間表,并且區別網絡產品和網絡服務、系統提供者漏洞修補或防范措施期限中規定的漏洞修補或防范措施期限。


《管理規定》所規定的具體流程如下:

 

流  程

要  求

驗證

網絡產品、服務提供者和網絡運營者發現或獲知其網絡產品、服務、系統存在漏洞后立即對漏洞進行驗證

漏洞修補或防范措施

相關網絡產品應當在90日內采取漏洞修補或防范措施


相關網絡服務或系統應當在10日內采取漏洞修補或防范措施

通知

需要用戶或相關技術合作方采取漏洞修補或防范措施的,應當在對相關網絡產品、服務、系統采取漏洞修補或防范措施后5日內,將漏洞風險及用戶或相關技術合作方需采取的修補或防范措施向社會發布或通過客服等方式告知所有可能受影響的用戶和相關技術合作方,提供必要的技術支持,并向工信部網絡安全威脅信息共享平臺報送相關漏洞情況


三、 第三方組織向社會發布漏洞信息


《網絡安全法》第25條要求,向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息,應當遵守國家有關規定。


而《管理規定》明確,第三方組織或個人通過網站、媒體、會議等方式向社會發布漏洞信息應當遵循必要、真實、客觀、有利于防范和應對網絡安全風險的原則(第6條)。第三方組織應當加強內部管理,履行管理義務,防范漏洞信息泄露和內部人員違規發布漏洞信息(第7條)。


特別的,此前主要收集、發布漏洞信息的中國信息安全測評中心下設的國家信息安全漏洞庫,或是國家計算機網絡應急技術處理協調中心下設的國家信息安全漏洞共享平臺也將會被視為第三方組織,需要遵守第三方組織發布漏洞的規定(第10條)。


四、 法律責任


《管理規定》第8條規定,網絡產品、服務提供者和網絡運營者未按規定采取漏洞修補或防范措施并向社會或用戶發布的,由工信部、公安部等有關部門按職責依據《網絡安全法》第56條、第59條、第60條等規定組織對其進行約談或給予行政處罰。


另,第9條規定,第三方組織違反規定向社會發布漏洞信息,由工信部、公安部等有關部門組織對其進行約談,或依據《網絡安全法》第62條、第63條等規定給予行政處罰;構成犯罪的,依法追究刑事責任;給網絡產品、服務提供者和網絡運營者造成經濟或名譽損害的,依法承擔民事責任。


五、 我們的觀察


《管理規定》作為規范性文件,在《網絡安全法》的體系下,直接明確了網絡產品、服務提供者和網絡運營者和第三方組織對于網絡安全漏洞的處理要求,明確了法律責任。對于企業將如何在實踐中做到合規處理網絡安全漏洞,我們將持續關注。

 


君合是兩大國際律師協作組織Lex MundiMultilaw中唯一的中國律師事務所成員,同時還與亞歐主要國家最優秀的一些律師事務所建立Best Friends協作伙伴關系。通過這些協作組織和伙伴,我們的優質服務得以延伸至幾乎世界每一個角落。
河南快3专家预测