20265438 년 9 월 1 일부터 시행되는' 사이버 제품 보안 취약점 관리 규정' 이 발표되었습니다.
공업정보화부, 국가인터넷 정보처, 공안부
202 1 7 월 12
네트워크 제품 보안 취약성 관리 규정
첫 번째는 네트워크 제품 보안 취약점의 발견, 보고, 패치 및 배포를 규제하고 네트워크 보안 위험을 방지하기 위해 중화인민공화국 네트워크 보안법에 따라 이 규정을 제정합니다.
제 2 조 중화인민공화국의 국내 네트워크 제품 (하드웨어 및 소프트웨어 포함) 제공자 및 네트워크 운영자, 그리고 네트워크 제품 보안 취약점 발견, 수집 및 발표와 같은 활동에 종사하는 조직 또는 개인은 이 규정을 준수해야 합니다.
제 3 조 국가 인터넷 정보국은 인터넷 제품 보안 취약성 관리 업무를 조율하는 일을 담당하고 있다. 산업 및 정보화부는 네트워크 제품 보안 취약점의 통합 관리를 담당하고, 통신 및 인터넷 업계의 네트워크 제품 보안 취약점 감독 및 관리를 담당하고 있습니다. 공안부는 인터넷 제품 안전 허점의 감독 관리를 담당하고, 법에 따라 인터넷 제품 안전 허점을 이용한 위법 범죄 활동을 단속한다.
관련 주관부는 부서 간 협력을 강화하고, 네트워크 제품 보안 취약점 정보를 실시간으로 공유하고, 주요 네트워크 제품 보안 취약점 위험에 대한 공동 평가와 폐기를 실시해야 한다.
제 4 조 어떤 조직이나 개인도 네트워크 제품 보안 취약점을 이용하여 네트워크 보안을 위태롭게하는 활동에 종사해서는 안 되며, 네트워크 제품 보안 취약점 정보를 불법적으로 수집, 판매, 공표해서는 안 된다. 다른 사람이 사이버 제품 보안 취약점을 이용하여 사이버 보안 활동을 해친다는 것을 알면서도 기술 지원, 광고 홍보, 지불 결제 등의 서비스를 제공해서는 안 된다.
제 5 조 네트워크 제품 공급자, 네트워크 운영자 및 네트워크 제품 보안 취약성 수집 플랫폼은 건전한 네트워크 제품 보안 취약성 정보 수신 채널을 구축하고 원활한 흐름을 유지해야 하며, 네트워크 제품 보안 취약성 정보 수신 로그를 6 개월 이상 보관해야 합니다.
제 6 조는 해당 조직과 개인이 해당 제품의 보안 취약점을 네트워크 제품 제공자에게 보고하도록 독려한다.
제 7 조 네트워크 제품 제공자는 다음과 같은 네트워크 제품 보안 취약성 관리 의무를 이행하여 제품 보안 취약점이 적시에 수정 및 합리적으로 발표되도록 하고 제품 사용자에게 예방 조치를 취할 수 있도록 지도하고 지원해야 합니다.
(1) 제공된 네트워킹 제품에 보안 취약점이 있다는 사실을 발견하거나 알게 되면 즉시 조치를 취하고 보안 취약점에 대한 검증을 조직하여 보안 취약점의 위험과 영향 범위를 평가해야 합니다. 관련 제품 공급업체 업스트림 제품 또는 구성 요소에 존재하는 보안 취약점을 즉시 알려야 합니다.
(2) 관련 취약점 정보는 2 일 이내에 산업정보화부 사이버 보안 위협 및 취약성 정보 공유 플랫폼에 제출해야 합니다. 제출 내용에는 네트워크 제품 취약점의 제품 이름, 모델, 버전, 기술적 특징, 위험 및 영향 범위가 포함되어야 합니다.
(3) 적시에 네트워크 제품 보안 취약점을 복구하고, 제품 사용자 (다운스트림 공급업체 포함) 가 소프트웨어 및 펌웨어 업그레이드 등의 조치를 취해야 하는 경우, 영향을 받을 수 있는 제품 사용자 네트워크 제품 보안 취약점의 위험 및 복구 방법을 적시에 알리고 필요한 기술 지원을 제공해야 합니다.
공신부 네트워크 보안 위협 및 취약성 정보 * * * 플랫폼이 국가 네트워크 및 정보 보안 정보 통신 센터, 국가 컴퓨터 네트워크 응급 기술 처리 조정 센터에 관련 취약성 정보를 보고합니다.
네트워크 제품 공급자가 네트워크 제품 보안 취약점을 제공하는 보상 메커니즘을 확립하고 제공된 네트워크 제품 보안 취약점을 발견하고 보고하는 조직이나 개인에게 인센티브를 주도록 권장합니다.
제 8 조 네트워크 운영자가 네트워크, 정보 시스템 및 장비에 보안 취약점이 있음을 발견하거나 알게 되면 즉시 보안 취약점을 확인하고 복구를 완료하기 위한 조치를 취해야 합니다.
제 9 조 네트워크 제품 보안 취약점 발견 및 수집에 종사하는 조직 또는 개인은 필요성, 신뢰성, 객관성 및 네트워크 보안 위험 방지에 도움이 되는 원칙을 따르고 다음 규정을 준수해야 합니다.
(a) 네트워크 제품 공급자가 네트워크 제품 보안 취약성 복구 조치를 제공할 때까지 취약성 정보를 게시하지 마십시오. 조기 발표가 필요하다고 생각되면 관련 인터넷 제품 공급자와 협의해 공업과 정보화부, 공안부에 보고해 조직 평가 후 발표해야 한다.
(2) 네트워크 운영자가 사용 중인 네트워크, 정보 시스템 및 해당 장비에 대한 상세 정보를 공개해서는 안 됩니다.
(3) 인터넷 제품 안전 허점의 위험과 위험을 일부러 과장해서는 안 되며, 인터넷 제품 안전 허점 정보를 이용하여 악의적인 투기나 사기, 강탈 등 위법 범죄 활동에 종사해서는 안 된다.
(4) 네트워크 제품 보안 취약점을 이용하여 네트워크 보안 활동을 위태롭게하는 절차 및 도구를 게시하거나 제공하는 것을 금지합니다.
(5) 네트워크 제품 보안 취약점을 발표할 때 수정 또는 예방 조치를 동시에 발표해야 합니다.
(6) 국가 중대 행사 기간 동안 공안부의 동의 없이 인터넷 제품 안전 허점 정보를 무단으로 발표해서는 안 된다.
(7) 공개되지 않은 네트워크 제품 보안 취약점 정보는 네트워크 제품 공급자 이외의 해외 조직 또는 개인에게 제공할 수 없습니다.
(8) 법령의 기타 관련 규정.
제 10 조 모든 조직 및 개인이 설립한 네트워크 제품 보안 취약성 수집 플랫폼은 산업 및 정보화부에 등록해야 합니다. 공업정보화부는 공안부, 국가인터넷 정보처에 관련 허점 수집 플랫폼을 제때 통보하고 기록을 통해 허점 수집 플랫폼을 발표했다.
네트워크 제품 보안 취약점을 발견한 조직이나 개인이 산업 및 정보화부 정보 공유 플랫폼, 국가 네트워크 및 정보 보안 정보 통신 센터 취약성 플랫폼, 국가 컴퓨터 네트워크 응급 기술 처리 조정 센터 취약성 플랫폼, 중국 정보 보안 평가 센터 취약성 데이터베이스에 네트워크 제품 보안 취약성 정보를 제출하도록 권장합니다.
제 11 조 네트워크 제품 보안 취약점 발견 및 수집에 종사하는 기관은 내부 관리를 강화하고 네트워크 제품 보안 취약점 정보 유출 및 불법 공개를 방지하기 위한 조치를 취해야 합니다.
제 12 조 네트워크 제품 제공자는 본 규정에 따라 네트워크 제품 보안 취약점에 대한 시정 또는 보고 조치를 취하지 않고 산업 및 정보화부, 공안부가 각자의 책임에 따라 처리한다. 중화인민공화국 사이버 안전법 제 60 조 규정 상황을 구성하는 것은 본 규정에 따라 처벌한다.
제 13 조 네트워크 운영자가 본 조례에 따라 네트워크 제품 보안 취약점을 복구하거나 예방하기 위한 조치를 취하지 않은 경우 관련 주관부에서 법에 따라 처리한다. 중화인민공화국 사이버 안전법 제 59 조 규정 상황을 구성하는 것은 본 규정에 따라 처벌한다.
제 14 조 본 규정을 위반하여 인터넷 제품 안전 허점 정보를 수집하고 발표하는 것은 공업과 정보화부, 공안부가 각자의 책임에 따라 법에 따라 처리한다. 중화인민공화국 사이버 안전법 제 62 조 규정 상황을 구성하는 것은 본 규정에 따라 처벌한다.
제 15 조 네트워크 제품 보안 취약점을 이용하여 네트워크 보안 활동을 위태롭게하거나, 다른 사람이 네트워크 제품 보안 취약점을 이용하여 네트워크 보안 활동을 위태롭게하는 기술 지원을 제공하는 것은 공안기관이 법에 따라 처리한다. 중화인민공화국 사이버 안전법 제 63 조의 규정 상황을 구성하는 것은 본 규정에 따라 처벌한다. 범죄를 구성하는 자는 법에 따라 형사책임을 추궁한다.
제 16 조 본 규정은 20265438 년 9 월 1 일부터 시행된다.