(征求意見稿)
第一條 為規范網絡產品安全漏洞收集平臺備案管理,根據《網絡產品安全漏洞管理規定》,制定本辦法。
第二條 中華人民共和國境內的網絡產品安全漏洞收集平臺的備案管理工作,適用本辦法。
本辦法所稱網絡產品安全漏洞收集平臺(以下簡稱漏洞收集平臺),是指相關組織或者個人設立的收集非自身網絡產品安全漏洞的平臺,僅用于修補自身網絡產品、網絡和系統安全漏洞用途的除外。
第三條 漏洞收集平臺備案通過工業和信息化部網絡安全威脅和漏洞信息共享平臺開展,采用網上備案方式進行。
第四條 擬設立漏洞收集平臺的組織或個人,應當通過工業和信息化部網絡安全威脅和漏洞信息共享平臺如實填報《網絡產品安全漏洞收集平臺備案登記表》(以下簡稱《備案登記表》,見附件1),提交以下信息:
(一)漏洞收集平臺的名稱、首頁網址和互聯網信息服務(ICP)備案號,用于發布漏洞信息的相關網址、社交軟件公眾號等互聯網發布渠道;
(二)主辦單位或主辦個人的名稱、證件號碼,以及漏洞收集平臺主要負責人和聯系人的姓名、聯系方式;
(三)主辦單位注冊資本、股權結構等有關情況;
(四)漏洞收集的范圍和方式、漏洞驗證評估規則、通知相關責任主體修補漏洞規則、漏洞發布規則、注冊用戶的身份核實規則及分類分級管理規則等;
(五)按照《通信網絡安全防護管理辦法》,通過通信網絡安全防護管理系統取得定級三級的網絡安全等級保護備案證明材料;
(六)依據有關國家標準和行業標準,實施平臺管理等情況;
(七)簽字并加蓋公章的承諾書掃描件(見附件2);
(八)有關主管部門要求提交的其他需要說明的信息。
第五條 工業和信息化部在收到漏洞收集平臺提交的備案信息后,經核查備案信息真實、完整的,應當在10個工作日內予以備案,向其發放備案編號,將備案信息通報公安部和國家互聯網信息辦公室,并通過工業和信息化部網絡安全威脅和漏洞信息共享平臺向社會公布有關備案信息。
備案信息不真實、不完整的,工業和信息化部在10個工作日內通知漏洞收集平臺予以補正。
完成備案的漏洞收集平臺應當在其網站主頁底部位置標明其備案編號。
第六條 備案信息發生變化的,應當自信息變化之日起30日內向工業和信息化部變更備案。
第七條 不再從事漏洞收集業務的,應當在業務終止之日通過工業和信息化部網絡安全威脅和漏洞信息共享平臺履行備案注銷手續。
第八條 漏洞收集平臺應在上線前完成備案,已上線運行的漏洞收集平臺應在本辦法施行之日起10個工作日內進行備案。
第九條 工業和信息化部設立投訴舉報渠道,用戶可通過電話、郵箱等方式,對漏洞收集平臺涉嫌違反法律法規的行為進行投訴舉報。經核查屬實的,將依法依規對漏洞收集平臺給予處理。
第十條 本辦法自2021年 月 日起施行。
