為規(guī)范發(fā)布網(wǎng)絡(luò)安全威脅信息的行為,有效應(yīng)對(duì)網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn),保障網(wǎng)絡(luò)運(yùn)行安全,依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī),國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同公安部等有關(guān)部門起草了《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法(征求意見(jiàn)稿)》,現(xiàn)向社會(huì)公開(kāi)征求意見(jiàn)。有關(guān)單位和各界人士可以在2019年12月19日前,通過(guò)以下方式提出意見(jiàn):
1.通過(guò)電子郵件方式發(fā)送至:security@cac.gov.cn
2.通過(guò)信函方式將意見(jiàn)寄至:北京市西城區(qū)車公莊大街11號(hào)國(guó)家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局,郵編100044,并在信封上注明“網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法征求意見(jiàn)”。
附件:網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法(征求意見(jiàn)稿)
國(guó)家互聯(lián)網(wǎng)信息辦公室
2019年11月20日
網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法
(征求意見(jiàn)稿)
第一條 為規(guī)范網(wǎng)絡(luò)安全威脅信息發(fā)布行為,有效應(yīng)對(duì)網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn),保障網(wǎng)絡(luò)運(yùn)行安全,依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī),制定本辦法。
第二條 發(fā)布網(wǎng)絡(luò)安全威脅信息,應(yīng)以維護(hù)網(wǎng)絡(luò)安全、促進(jìn)網(wǎng)絡(luò)安全意識(shí)提升、交流網(wǎng)絡(luò)安全防護(hù)技術(shù)知識(shí)為目的,不得危害國(guó)家安全和社會(huì)公共利益,不得侵犯公民、法人和其他組織的合法權(quán)益。
第三條 發(fā)布網(wǎng)絡(luò)安全威脅信息,應(yīng)堅(jiān)持客觀、真實(shí)、審慎、負(fù)責(zé)的原則,不利用網(wǎng)絡(luò)安全威脅信息進(jìn)行炒作、牟取不正當(dāng)利益或從事不正當(dāng)商業(yè)競(jìng)爭(zhēng)。
第四條 發(fā)布的網(wǎng)絡(luò)安全威脅信息不得包含下列內(nèi)容:
(一)計(jì)算機(jī)病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法;
(二)專門用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能、破壞網(wǎng)絡(luò)防護(hù)措施或竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)活動(dòng)的程序、工具;
(三)能夠完整復(fù)現(xiàn)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入過(guò)程的細(xì)節(jié)信息;
(四)數(shù)據(jù)泄露事件中泄露的數(shù)據(jù)內(nèi)容本身;
(五)具體網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件源代碼,單元或設(shè)備選型、配置、軟件等的屬性信息;
(六)具體網(wǎng)絡(luò)和信息系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、檢測(cè)認(rèn)證報(bào)告,安全防護(hù)計(jì)劃和策略方案;
(七)其他可能被直接用于危害網(wǎng)絡(luò)正常運(yùn)行的內(nèi)容。
第五條 發(fā)布網(wǎng)絡(luò)和信息系統(tǒng)被攻擊破壞、非法侵入等網(wǎng)絡(luò)安全事件信息前,應(yīng)向該事件發(fā)生所在地地市級(jí)以上公安機(jī)關(guān)報(bào)告。各級(jí)公安機(jī)關(guān)應(yīng)及時(shí)將相關(guān)情況報(bào)同級(jí)網(wǎng)信部門和上級(jí)公安機(jī)關(guān)。
第六條 任何企業(yè)、社會(huì)組織和個(gè)人發(fā)布地區(qū)性的網(wǎng)絡(luò)安全攻擊、事件、風(fēng)險(xiǎn)、脆弱性綜合分析報(bào)告時(shí),應(yīng)事先向所涉及地區(qū)地市級(jí)以上網(wǎng)信部門和公安機(jī)關(guān)報(bào)告;
發(fā)布涉及公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的網(wǎng)絡(luò)安全攻擊、事件、風(fēng)險(xiǎn)、脆弱性綜合分析報(bào)告時(shí),應(yīng)事先向行業(yè)主管部門報(bào)告;
發(fā)布全國(guó)性或跨地區(qū)、跨行業(yè)領(lǐng)域的綜合分析報(bào)告時(shí),應(yīng)事先向國(guó)家網(wǎng)信部門和國(guó)務(wù)院公安部門報(bào)告。
第七條 未經(jīng)政府部門批準(zhǔn)和授權(quán),任何企業(yè)、社會(huì)組織和個(gè)人發(fā)布網(wǎng)絡(luò)安全威脅信息時(shí),標(biāo)題中不得含有“預(yù)警”字樣。
第八條 發(fā)布具體網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險(xiǎn)、脆弱性情況,應(yīng)事先征求網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)者書(shū)面意見(jiàn),以下情況除外:
(一)相關(guān)風(fēng)險(xiǎn)、脆弱性已被消除或修復(fù);
(二)已提前30日向網(wǎng)信、電信、公安或相關(guān)行業(yè)主管部門舉報(bào)。
第九條 通過(guò)下列平臺(tái)發(fā)布信息的,平臺(tái)運(yùn)營(yíng)者、主辦單位接到有關(guān)部門通報(bào)、用戶舉報(bào),或自行發(fā)現(xiàn)平臺(tái)上存在違反本辦法的發(fā)布行為和發(fā)布內(nèi)容的,應(yīng)當(dāng)立即停止發(fā)布、采取消除等處置措施,防止違規(guī)內(nèi)容擴(kuò)散,保存有關(guān)記錄,并向地市級(jí)以上網(wǎng)信部門、公安機(jī)關(guān)報(bào)告。
1.報(bào)刊、廣播電視、出版物;
2.互聯(lián)網(wǎng)站、論壇、博客、微博、公眾賬號(hào)、即時(shí)通信工具、互聯(lián)網(wǎng)直播、互聯(lián)網(wǎng)視聽(tīng)節(jié)目、應(yīng)用程序、網(wǎng)絡(luò)硬盤等;
3.公開(kāi)舉行的會(huì)議、論壇、講座;
4.公開(kāi)舉辦的網(wǎng)絡(luò)安全競(jìng)賽;
5.其他公共平臺(tái)。
第十條 違反本辦法規(guī)定發(fā)布網(wǎng)絡(luò)安全威脅信息的,由網(wǎng)信部門、公安機(jī)關(guān)根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定予以處理。
第十一條 涉及國(guó)家秘密、涉密網(wǎng)絡(luò)的網(wǎng)絡(luò)安全威脅信息發(fā)布活動(dòng),按照國(guó)家有關(guān)規(guī)定執(zhí)行。
第十二條 本辦法所稱網(wǎng)絡(luò)安全威脅信息,包括:
(一)對(duì)可能威脅網(wǎng)絡(luò)正常運(yùn)行的行為,用于描述其意圖、方法、工具、過(guò)程、結(jié)果等的信息。如:計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入、網(wǎng)絡(luò)安全事件等。
(二)可能暴露網(wǎng)絡(luò)脆弱性的信息。如:系統(tǒng)漏洞,網(wǎng)絡(luò)和信息系統(tǒng)存在風(fēng)險(xiǎn)、脆弱性的情況,網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)、拓?fù)浣Y(jié)構(gòu)、資產(chǎn)信息、軟件源代碼,單元或設(shè)備選型、配置、軟件等的屬性信息,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、檢測(cè)認(rèn)證報(bào)告,安全防護(hù)計(jì)劃和策略方案等。
第十三條 本辦法自發(fā)布之日起實(shí)施。
