国产乱子伦视频在线观看_免费1级做爰片1000部视频_大地资源在线观看免费下载_九九综合九色综合网站_永久免费观看国产裸体美女

當(dāng)前位置

首頁(yè)> 行業(yè)治理> 倡議公約

漏洞信息披露和處置自律公約

2021年12月08日 17:15

 

漏洞信息披露和處置自律公約

2015年6月22日發(fā)布)

第一章 總則

第一條  遵照“趨利避害、有效管理、積極引導(dǎo)”的基本方針,為依法維護(hù)國(guó)家、企業(yè)和社會(huì)公眾互聯(lián)網(wǎng)安全權(quán)益,保障政府和重要信息系統(tǒng)部門(mén)信息系統(tǒng)安全,進(jìn)一步規(guī)范國(guó)內(nèi)外漏洞平臺(tái)、相關(guān)廠商、信息系統(tǒng)管理方以及國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(以下簡(jiǎn)稱(chēng)CNCERT)在漏洞信息接收、處置和發(fā)布方面的行為,制定本公約。

第二條  本公約所稱(chēng)安全漏洞(以下簡(jiǎn)稱(chēng)漏洞)是指信息系統(tǒng)在硬件、軟件、通信協(xié)議的設(shè)計(jì)與實(shí)現(xiàn)過(guò)程中或在系統(tǒng)安全策略上存在的缺陷和不足;非法用戶(hù)可利用安全漏洞獲得信息系統(tǒng)的額外權(quán)限,在未經(jīng)授權(quán)的情況下訪問(wèn)或提高其訪問(wèn)權(quán),破壞系統(tǒng),危害信息系統(tǒng)安全。

第三條  本公約所稱(chēng)政府和重要信息系統(tǒng)部門(mén)是指黨政機(jī)關(guān)、軍隊(duì)、公安、安全、保密以及金融、證券、海關(guān)、保險(xiǎn)、能源、稅務(wù)、鐵路、民航、電信等關(guān)系國(guó)計(jì)民生的重要行業(yè)領(lǐng)域單位。本公約所稱(chēng)漏洞平臺(tái)是指實(shí)際運(yùn)行并參與接收、發(fā)布、處置信息系統(tǒng)漏洞信息的網(wǎng)站以及網(wǎng)站運(yùn)行管理方的總稱(chēng)。相關(guān)廠商主要指軟硬件產(chǎn)品生產(chǎn)廠商、互聯(lián)網(wǎng)服務(wù)提供商。信息系統(tǒng)管理方指負(fù)責(zé)運(yùn)行維護(hù)信息系統(tǒng)的歸口單位或主管機(jī)構(gòu)。

第四條  倡議國(guó)內(nèi)外漏洞平臺(tái)、相關(guān)廠商、信息系統(tǒng)管理方和CNCERT加入本公約,從維護(hù)國(guó)家、行業(yè)和用戶(hù)利益的高度出發(fā),積極加強(qiáng)自律,共同營(yíng)造良好的網(wǎng)絡(luò)安全環(huán)境。

第五條  中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)負(fù)責(zé)監(jiān)督本公約的實(shí)施。中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)作為本公約的執(zhí)行機(jī)構(gòu),負(fù)責(zé)組織實(shí)施本公約。

第二章 自律條款

第六條  自覺(jué)遵守我國(guó)有關(guān)互聯(lián)網(wǎng)管理的法律、法規(guī)和政策,自覺(jué)維護(hù)國(guó)家、行業(yè)和互聯(lián)網(wǎng)用戶(hù)的網(wǎng)絡(luò)安全合法權(quán)益。

第七條  漏洞平臺(tái)、相關(guān)廠商、信息系統(tǒng)管理方和CNCERT應(yīng)協(xié)同一致做好漏洞信息的接收、處置和發(fā)布等環(huán)節(jié)工作,做好漏洞信息披露和處置風(fēng)險(xiǎn)管理,避免因漏洞信息披露不當(dāng)和處置不及時(shí)而危害到國(guó)家安全、社會(huì)安全、企業(yè)安全和用戶(hù)安全。

第八條  CNCERT應(yīng)遵循的自律義務(wù)有:

積極參與漏洞的接收、驗(yàn)證、處置、發(fā)布監(jiān)督,與漏洞平臺(tái)建立漏洞歸口處置機(jī)制和信息披露審核聯(lián)動(dòng)機(jī)制;加強(qiáng)技術(shù)手段建設(shè),做好漏洞信息威脅和危害的準(zhǔn)確評(píng)估;積極建立與政府和重要信息系統(tǒng)部門(mén)、行業(yè)單位的處置聯(lián)系渠道,協(xié)同做好漏洞處置監(jiān)督。對(duì)重大漏洞風(fēng)險(xiǎn)和攻擊情況及時(shí)跟蹤,必要時(shí)發(fā)布核查和處置情況。

第九條  漏洞平臺(tái)應(yīng)遵循的自律義務(wù)有:

建立規(guī)范的漏洞信息接收、處理和發(fā)布流程。對(duì)漏洞報(bào)送者提交的信息要進(jìn)行預(yù)先核實(shí),確保漏洞信息的真實(shí)性和完整性,以便于漏洞驗(yàn)證和核實(shí);建立信息分發(fā)處理機(jī)制,確保漏洞信息及時(shí)流轉(zhuǎn)到處置環(huán)節(jié);規(guī)范漏洞信息發(fā)布機(jī)制,建立與CNCERT聯(lián)動(dòng)的信息審核發(fā)布機(jī)制,加強(qiáng)對(duì)漏洞平臺(tái)用戶(hù)的管理,確保漏洞披露和擴(kuò)散渠道可控可追溯。

第十條  相關(guān)廠商和信息系統(tǒng)管理方遵循的自律義務(wù)有:

高度重視軟硬件產(chǎn)品漏洞和信息系統(tǒng)漏洞可能對(duì)產(chǎn)品用戶(hù)和系統(tǒng)用戶(hù)可能造成的危害,積極回應(yīng)CNCERT、漏洞平臺(tái)以及漏洞報(bào)送者提供的漏洞信息,及時(shí)核實(shí)確認(rèn)并提供和發(fā)布漏洞補(bǔ)丁或解決方案。應(yīng)從產(chǎn)品研發(fā)、測(cè)試和發(fā)布等環(huán)節(jié)加強(qiáng)協(xié)同管理,及時(shí)應(yīng)對(duì)新出現(xiàn)的漏洞,在產(chǎn)品遠(yuǎn)程升級(jí)、用戶(hù)系統(tǒng)維護(hù)方面做好技術(shù)準(zhǔn)備和主動(dòng)服務(wù),確保漏洞修復(fù)措施的有效性和覆蓋面。積極配合CNCERT作好技術(shù)分析和用戶(hù)威脅評(píng)估,縮短應(yīng)急響應(yīng)周期。通過(guò)網(wǎng)站、郵件等方式及時(shí)披露和推送本單位生產(chǎn)、提供的軟硬件產(chǎn)品的漏洞描述信息或預(yù)警信息,并同時(shí)向CNCERT報(bào)備,以保障產(chǎn)品用戶(hù)和系統(tǒng)用戶(hù)的知情權(quán)和安全利益。

第十一條  各方在漏洞信息披露方面應(yīng)遵循“客觀、適時(shí)、適度”三原則:

客觀披露原則。對(duì)公開(kāi)發(fā)布的漏洞信息要進(jìn)行披露審核,漏洞平臺(tái)與CNCERT建立披露審核聯(lián)動(dòng)機(jī)制,確保漏洞信息涉及的目標(biāo)對(duì)象、風(fēng)險(xiǎn)情況描述不出現(xiàn)重大偏差;要注重區(qū)分漏洞風(fēng)險(xiǎn)和攻擊事件,對(duì)漏洞可導(dǎo)致的潛在風(fēng)險(xiǎn)不能作為網(wǎng)絡(luò)攻擊事件進(jìn)行披露和引導(dǎo),以免引起媒體輿論和社會(huì)公眾的誤讀和恐慌。根據(jù)CNCERT和涉事單位核實(shí)后的情況,漏洞平臺(tái)應(yīng)對(duì)漏洞信息中出現(xiàn)的不符合事實(shí)的情況進(jìn)行及時(shí)更正。

適時(shí)披露原則。加強(qiáng)CNCERT、漏洞平臺(tái)、相關(guān)廠商和信息系統(tǒng)管理方的處置聯(lián)動(dòng),在相關(guān)方未接收到漏洞信息、完成漏洞處置前或預(yù)定時(shí)限前不應(yīng)提前公開(kāi)發(fā)布漏洞相關(guān)信息。針對(duì)不同類(lèi)型漏洞的修復(fù)規(guī)律和所需周期,各方研判后協(xié)商擬定靈活實(shí)際的漏洞公開(kāi)披露時(shí)間。

適度披露原則。不得披露國(guó)家政策法規(guī)和主管部門(mén)禁止披露的信息系統(tǒng)漏洞,不得披露違反知識(shí)產(chǎn)權(quán)保護(hù)法律法規(guī)及商業(yè)機(jī)密協(xié)定的信息。在漏洞處置完成前,按照披露審核聯(lián)動(dòng)機(jī)制對(duì)可通過(guò)公開(kāi)信息(標(biāo)題、描述等)猜解到具體目標(biāo)系統(tǒng)、攻擊手法的信息進(jìn)行弱化處理,避免相關(guān)漏洞被黑客利用實(shí)施網(wǎng)絡(luò)攻擊。

第十二條  根據(jù)各方自律義務(wù)以及漏洞信息發(fā)布的客觀、適時(shí)、適度等原則,各方在披露涉及政府和重要信息系統(tǒng)部門(mén)的信息系統(tǒng)漏洞以及相關(guān)廠商的通用軟硬件漏洞時(shí)應(yīng)進(jìn)行必要的披露弱化處理:

(一)政府和重要信息系統(tǒng)部門(mén)信息系統(tǒng)漏洞披露。做好涉事信息系統(tǒng)標(biāo)題及其他可見(jiàn)描述信息的模糊指代處理,如:“某部委某業(yè)務(wù)系統(tǒng)”、“XX省某廳門(mén)戶(hù)網(wǎng)站”;涉及數(shù)量級(jí)別、用戶(hù)私密信息字段描述的詞語(yǔ)表述應(yīng)進(jìn)行弱化處理,如:去掉“數(shù)千萬(wàn)”、“身份證、銀行卡、口令、手機(jī)號(hào)、社保信息”等數(shù)量和信息屬性字段;公開(kāi)漏洞詳細(xì)信息時(shí)做好權(quán)限管理,不應(yīng)向公眾直接公開(kāi)漏洞測(cè)試入口信息,如:IP、域名、URL等。

(二)通用軟硬件漏洞披露。各方不得披露涉及知識(shí)產(chǎn)權(quán)、有商業(yè)合同保護(hù)的產(chǎn)品測(cè)試結(jié)果以及產(chǎn)品源代碼信息;遵循協(xié)商處置披露原則,優(yōu)先處置涉及政府和重要信息系統(tǒng)部門(mén)用戶(hù)的漏洞,在未完成約定處置流程前,各方應(yīng)禁止披露漏洞利用代碼信息。

第十三條  相關(guān)單位和從業(yè)者應(yīng)共同防范和抵制漏洞信息的不當(dāng)傳播,積極舉報(bào)和反對(duì)通過(guò)黑客地下產(chǎn)業(yè)購(gòu)買(mǎi)、交易漏洞的行為,反對(duì)非法侵入或破壞他人信息系統(tǒng)。

第三章 公約執(zhí)行

第十四條  中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)負(fù)責(zé)組織實(shí)施本公約,負(fù)責(zé)向公約簽署單位傳遞互聯(lián)網(wǎng)安全管理的法規(guī)、政策及行業(yè)自律情況,及時(shí)向政府主管部門(mén)反映,組織實(shí)施相關(guān)自律工作,并對(duì)簽署單位遵守本公約的情況進(jìn)行督促檢查。

第十五條  公約簽署單位之間發(fā)生爭(zhēng)議時(shí),應(yīng)從維護(hù)國(guó)家、行業(yè)和用戶(hù)利益出發(fā),本著協(xié)商原則解決爭(zhēng)議,也可以請(qǐng)求公約執(zhí)行機(jī)構(gòu)進(jìn)行調(diào)解。

第十六條  公約簽署單位接受社會(huì)和簽署單位的監(jiān)督,對(duì)違反本公約的,任何其他單位和個(gè)人均有權(quán)向公約執(zhí)行機(jī)構(gòu)進(jìn)行檢舉,請(qǐng)求公約執(zhí)行機(jī)構(gòu)進(jìn)行調(diào)查;公約執(zhí)行機(jī)構(gòu)也可以直接進(jìn)行調(diào)查,并將調(diào)查結(jié)果公布。

第十七條  公約成員單位違反本公約,造成不良影響,經(jīng)查證屬實(shí)的,由公約執(zhí)行機(jī)構(gòu)視不同情況給予在內(nèi)部通報(bào)或取消公約簽署單位資格的處理。

第十八條  本公約所有簽署單位均有權(quán)對(duì)公約執(zhí)行機(jī)構(gòu)執(zhí)行本公約的合法性和公正性進(jìn)行監(jiān)督,有權(quán)向執(zhí)行機(jī)構(gòu)的主管部門(mén)檢舉公約執(zhí)行機(jī)構(gòu)或其他工作人員違反本公約的行為。

第四章 附則

第十九條  本公約經(jīng)公約發(fā)起單位法定代表人或其委托的代表簽字后生效,并在生效后的30日內(nèi)由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)委托網(wǎng)絡(luò)與信息安全工作委員會(huì)向社會(huì)公布。

第二十條  本公約生效期間,由公約執(zhí)行機(jī)構(gòu)發(fā)起動(dòng)議,本公約三分之二以上成員單位同意,可以對(duì)本公約進(jìn)行修訂。

第二十一條  本公約內(nèi)容與國(guó)家有關(guān)政策法規(guī)和政府主管部門(mén)規(guī)定不一致的,從其規(guī)定。

第二十二條  相關(guān)單位接受本公約的自律規(guī)則,均可以申請(qǐng)加入本公約;本公約成員單位也可以退出本公約,并通知公約執(zhí)行機(jī)構(gòu);公約執(zhí)行機(jī)構(gòu)定期公布加入及退出本公約的單位名單。

第二十三條  本公約由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)負(fù)責(zé)解釋。

第二十四條  本公約自公布之日起施行。


2011-2019 Copyrights reserved 京ICP備05006316號(hào) 版權(quán)所有:中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)
技術(shù)支持:北京圣明慧力科技有限公司