网络产品安全漏洞收集平台备案管理办法 （征求意见稿） 第一条 为规范网络产品安全漏洞收集平台备案管理， 根据《网络产品安全漏洞管理规定》，制定本办法。 第二条 中华人民共和国境内的网络产品安全漏洞收集 平台的备案管理工作，适用本办法。 本办法所称网络产品安全漏洞收集平台（以下简称漏洞 收集平台），是指相关组织或者个人设立的收集非自身网络 产品安全漏洞的平台，仅用于修补自身网络产品、网络和系 统安全漏洞用途的除外。 第三条 漏洞收集平台备案通过工业和信息化部网络安 全威胁和漏洞信息共享平台开展，采用网上备案方式进行。 第四条 拟设立漏洞收集平台的组织或个人，应当通过 工业和信息化部网络安全威胁和漏洞信息共享平台如实填 报《网络产品安全漏洞收集平台备案登记表》 （以下简称《备 案登记表》 ，见附件 1） ，提交以下信息： （一）漏洞收集平台的名称、首页网址和互联网信息服 务（ICP）备案号，用于发布漏洞信息的相关网址、社交软 件公众号等互联网发布渠道； （二）主办单位或主办个人的名称、证件号码，以及漏 1 洞收集平台主要负责人和联系人的姓名、联系方式； （三）主办单位注册资本、股权结构等有关情况； （四）漏洞收集的范围和方式、漏洞验证评估规则、通 知相关责任主体修补漏洞规则、漏洞发布规则、注册用户的 身份核实规则及分类分级管理规则等； （五）按照《通信网络安全防护管理办法》，通过通信 网络安全防护管理系统取得定级三级的网络安全等级保护 备案证明材料； （六）依据有关国家标准和行业标准，实施平台管理等 情况； （七）签字并加盖公章的承诺书扫描件（见附件 2）； （八）有关主管部门要求提交的其他需要说明的信息。 第五条 工业和信息化部在收到漏洞收集平台提交的备 案信息后，经核查备案信息真实、完整的，应当在 10 个工 作日内予以备案，向其发放备案编号，将备案信息通报公安 部和国家互联网信息办公室，并通过工业和信息化部网络安 全威胁和漏洞信息共享平台向社会公布有关备案信息。 备案信息不真实、不完整的，工业和信息化部在 10 个 工作日内通知漏洞收集平台予以补正。 完成备案的漏洞收集平台应当在其网站主页底部位置 标明其备案编号。 第六条 备案信息发生变化的，应当自信息变化之日起 2 30 日内向工业和信息化部变更备案。 第七条 不再从事漏洞收集业务的，应当在业务终止之 日通过工业和信息化部网络安全威胁和漏洞信息共享平台 履行备案注销手续。 第八条 漏洞收集平台应在上线前完成备案，已上线运 行的漏洞收集平台应在本办法施行之日起 10 个工作日内进 行备案。 第九条 工业和信息化部设立投诉举报渠道，用户可通 过电话、邮箱等方式，对漏洞收集平台涉嫌违反法律法规的 行为进行投诉举报。经核查属实的，将依法依规对漏洞收集 平台给予处理。 第十条 本办法自 2021 年 月 日起施行。 附件：1.网络产品安全漏洞收集平台备案登记表 2.网络产品安全漏洞收集平台备案承诺书 3 附件 1 网络产品安全漏洞收集平台备案登记表 漏洞收集平台名称 网站首页网址 ICP 备案号 发布漏洞的相关网址 发布漏洞的社交软件 社交软件名称 社交软件公众号 公众号 主办单位或主办个人 名称 类型 注 有效证件号码 基本情况 漏洞收集平台相关人 类别 姓名 手机号码 电子邮箱 主要负责人 员信息 联系人 注册资本和股权结构 注册资本和股权结构的证明材料 漏洞收集的范围和方式、漏洞验证评估规则、通知相关责任 漏洞管理相关规则 主体修补漏洞规则、漏洞发布规则、注册用户的身份核实规 则及分类分级管理规则等 等级保护备案证明材 通过通信网络安全防护管理系统取得定级三级的网络安全 料 实施平台管理等情况 等级保护备案证明材料 依据有关国家标准和行业标准，实施平台管理等情况 承诺书 签字并加盖公章的承诺书扫描件 注：类型为“个人”时，“有效证件号码”填入个人身份证号码；类型为“企 业/事业单位/其他组织”时，填入“统一社会信用代码”。 4 附件 2 网络产品安全漏洞收集平台备案承诺书 本单位现就网络产品安全漏洞收集平台备案相关证明 事项，作出如下承诺： 一、本单位已经知晓工业和信息化部告知的全部内容， 已认真学习了《中华人民共和国网络安全法》《网络产品安 全漏洞管理规定》等相关法律法规及政策性文件，了解了告 知承诺的有关要求。 二、本单位具备开展漏洞收集所需的平台、相关人员、 注册资本和股权结构、漏洞管理规则和平台管理规则等，具 有相应的证明材料，且保证材料内容真实准确。 三、本单位已留存漏洞收集、验证、通知处置、发布等 环节的日志信息，包括操作时间、操作内容、操作人员等， 可以查询漏洞处理详情，具有相应的证明材料，且保证材料 内容真实准确。 四、本单位已采取管理和技术措施，防范漏洞信息在传 输、存储、使用等环节的泄露，具有相应的证明材料，且保 证材料内容真实准确。 五、本单位在网络产品安全漏洞收集和发布活动中，严 格遵守相关法律法规，主动接受并配合有关部门的各项监督 管理。 5 六、如有违反上述承诺，本单位自觉接受有关部门的依 法处罚。因违反有关法律法规及承诺，被撤销备案及所造成 的经济、法律后果，本单位愿意自行承担相关责任。 七、本单位承诺以上陈述真实、有效，是本单位真实意 思的表示。 法定代表人签字： 公 章： 日 期： 6