漏洞信息披露和處置自律公約

（2015年6月22日發(fā)布）

第一章　總則

第一條  遵照“趨利避害、有效管理、積極引導(dǎo)”的基本方針，為依法維護國家、企業(yè)和社會公眾互聯(lián)網(wǎng)安全權(quán)益，保障政府和重要信息系統(tǒng)部門信息系統(tǒng)安全，進一步規(guī)范國內(nèi)外漏洞平臺、相關(guān)廠商、信息系統(tǒng)管理方以及國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（以下簡稱CNCERT）在漏洞信息接收、處置和發(fā)布方面的行為，制定本公約。

第二條  本公約所稱安全漏洞（以下簡稱漏洞）是指信息系統(tǒng)在硬件、軟件、通信協(xié)議的設(shè)計與實現(xiàn)過程中或在系統(tǒng)安全策略上存在的缺陷和不足；非法用戶可利用安全漏洞獲得信息系統(tǒng)的額外權(quán)限，在未經(jīng)授權(quán)的情況下訪問或提高其訪問權(quán)，破壞系統(tǒng)，危害信息系統(tǒng)安全。

第三條  本公約所稱政府和重要信息系統(tǒng)部門是指黨政機關(guān)、軍隊、公安、安全、保密以及金融、證券、海關(guān)、保險、能源、稅務(wù)、鐵路、民航、電信等關(guān)系國計民生的重要行業(yè)領(lǐng)域單位。本公約所稱漏洞平臺是指實際運行并參與接收、發(fā)布、處置信息系統(tǒng)漏洞信息的網(wǎng)站以及網(wǎng)站運行管理方的總稱。相關(guān)廠商主要指軟硬件產(chǎn)品生產(chǎn)廠商、互聯(lián)網(wǎng)服務(wù)提供商。信息系統(tǒng)管理方指負責運行維護信息系統(tǒng)的歸口單位或主管機構(gòu)。

第四條  倡議國內(nèi)外漏洞平臺、相關(guān)廠商、信息系統(tǒng)管理方和CNCERT加入本公約，從維護國家、行業(yè)和用戶利益的高度出發(fā)，積極加強自律，共同營造良好的網(wǎng)絡(luò)安全環(huán)境。

第五條  中國互聯(lián)網(wǎng)協(xié)會負責監(jiān)督本公約的實施。中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡(luò)與信息安全工作委員會作為本公約的執(zhí)行機構(gòu)，負責組織實施本公約。

第二章　自律條款

第六條  自覺遵守我國有關(guān)互聯(lián)網(wǎng)管理的法律、法規(guī)和政策，自覺維護國家、行業(yè)和互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)安全合法權(quán)益。

第七條  漏洞平臺、相關(guān)廠商、信息系統(tǒng)管理方和CNCERT應(yīng)協(xié)同一致做好漏洞信息的接收、處置和發(fā)布等環(huán)節(jié)工作，做好漏洞信息披露和處置風(fēng)險管理，避免因漏洞信息披露不當和處置不及時而危害到國家安全、社會安全、企業(yè)安全和用戶安全。

第八條  CNCERT應(yīng)遵循的自律義務(wù)有：

積極參與漏洞的接收、驗證、處置、發(fā)布監(jiān)督，與漏洞平臺建立漏洞歸口處置機制和信息披露審核聯(lián)動機制；加強技術(shù)手段建設(shè)，做好漏洞信息威脅和危害的準確評估；積極建立與政府和重要信息系統(tǒng)部門、行業(yè)單位的處置聯(lián)系渠道，協(xié)同做好漏洞處置監(jiān)督。對重大漏洞風(fēng)險和攻擊情況及時跟蹤，必要時發(fā)布核查和處置情況。

第九條  漏洞平臺應(yīng)遵循的自律義務(wù)有：

建立規(guī)范的漏洞信息接收、處理和發(fā)布流程。對漏洞報送者提交的信息要進行預(yù)先核實，確保漏洞信息的真實性和完整性，以便于漏洞驗證和核實；建立信息分發(fā)處理機制，確保漏洞信息及時流轉(zhuǎn)到處置環(huán)節(jié)；規(guī)范漏洞信息發(fā)布機制，建立與CNCERT聯(lián)動的信息審核發(fā)布機制，加強對漏洞平臺用戶的管理，確保漏洞披露和擴散渠道可控可追溯。

第十條  相關(guān)廠商和信息系統(tǒng)管理方遵循的自律義務(wù)有：

高度重視軟硬件產(chǎn)品漏洞和信息系統(tǒng)漏洞可能對產(chǎn)品用戶和系統(tǒng)用戶可能造成的危害，積極回應(yīng)CNCERT、漏洞平臺以及漏洞報送者提供的漏洞信息，及時核實確認并提供和發(fā)布漏洞補丁或解決方案。應(yīng)從產(chǎn)品研發(fā)、測試和發(fā)布等環(huán)節(jié)加強協(xié)同管理，及時應(yīng)對新出現(xiàn)的漏洞，在產(chǎn)品遠程升級、用戶系統(tǒng)維護方面做好技術(shù)準備和主動服務(wù)，確保漏洞修復(fù)措施的有效性和覆蓋面。積極配合CNCERT作好技術(shù)分析和用戶威脅評估，縮短應(yīng)急響應(yīng)周期。通過網(wǎng)站、郵件等方式及時披露和推送本單位生產(chǎn)、提供的軟硬件產(chǎn)品的漏洞描述信息或預(yù)警信息，并同時向CNCERT報備，以保障產(chǎn)品用戶和系統(tǒng)用戶的知情權(quán)和安全利益。

第十一條  各方在漏洞信息披露方面應(yīng)遵循“客觀、適時、適度”三原則：

客觀披露原則。對公開發(fā)布的漏洞信息要進行披露審核，漏洞平臺與CNCERT建立披露審核聯(lián)動機制，確保漏洞信息涉及的目標對象、風(fēng)險情況描述不出現(xiàn)重大偏差；要注重區(qū)分漏洞風(fēng)險和攻擊事件，對漏洞可導(dǎo)致的潛在風(fēng)險不能作為網(wǎng)絡(luò)攻擊事件進行披露和引導(dǎo)，以免引起媒體輿論和社會公眾的誤讀和恐慌。根據(jù)CNCERT和涉事單位核實后的情況，漏洞平臺應(yīng)對漏洞信息中出現(xiàn)的不符合事實的情況進行及時更正。

適時披露原則。加強CNCERT、漏洞平臺、相關(guān)廠商和信息系統(tǒng)管理方的處置聯(lián)動，在相關(guān)方未接收到漏洞信息、完成漏洞處置前或預(yù)定時限前不應(yīng)提前公開發(fā)布漏洞相關(guān)信息。針對不同類型漏洞的修復(fù)規(guī)律和所需周期，各方研判后協(xié)商擬定靈活實際的漏洞公開披露時間。

適度披露原則。不得披露國家政策法規(guī)和主管部門禁止披露的信息系統(tǒng)漏洞，不得披露違反知識產(chǎn)權(quán)保護法律法規(guī)及商業(yè)機密協(xié)定的信息。在漏洞處置完成前，按照披露審核聯(lián)動機制對可通過公開信息（標題、描述等）猜解到具體目標系統(tǒng)、攻擊手法的信息進行弱化處理，避免相關(guān)漏洞被黑客利用實施網(wǎng)絡(luò)攻擊。

第十二條  根據(jù)各方自律義務(wù)以及漏洞信息發(fā)布的客觀、適時、適度等原則，各方在披露涉及政府和重要信息系統(tǒng)部門的信息系統(tǒng)漏洞以及相關(guān)廠商的通用軟硬件漏洞時應(yīng)進行必要的披露弱化處理：

（一）政府和重要信息系統(tǒng)部門信息系統(tǒng)漏洞披露。做好涉事信息系統(tǒng)標題及其他可見描述信息的模糊指代處理，如：“某部委某業(yè)務(wù)系統(tǒng)”、“XX省某廳門戶網(wǎng)站”；涉及數(shù)量級別、用戶私密信息字段描述的詞語表述應(yīng)進行弱化處理，如：去掉“數(shù)千萬”、“身份證、銀行卡、口令、手機號、社保信息”等數(shù)量和信息屬性字段；公開漏洞詳細信息時做好權(quán)限管理，不應(yīng)向公眾直接公開漏洞測試入口信息，如：IP、域名、URL等。

（二）通用軟硬件漏洞披露。各方不得披露涉及知識產(chǎn)權(quán)、有商業(yè)合同保護的產(chǎn)品測試結(jié)果以及產(chǎn)品源代碼信息；遵循協(xié)商處置披露原則，優(yōu)先處置涉及政府和重要信息系統(tǒng)部門用戶的漏洞，在未完成約定處置流程前，各方應(yīng)禁止披露漏洞利用代碼信息。

第十三條  相關(guān)單位和從業(yè)者應(yīng)共同防范和抵制漏洞信息的不當傳播，積極舉報和反對通過黑客地下產(chǎn)業(yè)購買、交易漏洞的行為，反對非法侵入或破壞他人信息系統(tǒng)。

第三章　公約執(zhí)行

第十四條  中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡(luò)與信息安全工作委員會負責組織實施本公約，負責向公約簽署單位傳遞互聯(lián)網(wǎng)安全管理的法規(guī)、政策及行業(yè)自律情況，及時向政府主管部門反映，組織實施相關(guān)自律工作，并對簽署單位遵守本公約的情況進行督促檢查。

第十五條  公約簽署單位之間發(fā)生爭議時，應(yīng)從維護國家、行業(yè)和用戶利益出發(fā)，本著協(xié)商原則解決爭議，也可以請求公約執(zhí)行機構(gòu)進行調(diào)解。

第十六條  公約簽署單位接受社會和簽署單位的監(jiān)督，對違反本公約的，任何其他單位和個人均有權(quán)向公約執(zhí)行機構(gòu)進行檢舉，請求公約執(zhí)行機構(gòu)進行調(diào)查；公約執(zhí)行機構(gòu)也可以直接進行調(diào)查，并將調(diào)查結(jié)果公布。

第十七條  公約成員單位違反本公約，造成不良影響，經(jīng)查證屬實的，由公約執(zhí)行機構(gòu)視不同情況給予在內(nèi)部通報或取消公約簽署單位資格的處理。

第十八條  本公約所有簽署單位均有權(quán)對公約執(zhí)行機構(gòu)執(zhí)行本公約的合法性和公正性進行監(jiān)督，有權(quán)向執(zhí)行機構(gòu)的主管部門檢舉公約執(zhí)行機構(gòu)或其他工作人員違反本公約的行為。

第四章　附則

第十九條  本公約經(jīng)公約發(fā)起單位法定代表人或其委托的代表簽字后生效，并在生效后的30日內(nèi)由中國互聯(lián)網(wǎng)協(xié)會委托網(wǎng)絡(luò)與信息安全工作委員會向社會公布。

第二十條  本公約生效期間，由公約執(zhí)行機構(gòu)發(fā)起動議，本公約三分之二以上成員單位同意，可以對本公約進行修訂。

第二十一條  本公約內(nèi)容與國家有關(guān)政策法規(guī)和政府主管部門規(guī)定不一致的，從其規(guī)定。

第二十二條  相關(guān)單位接受本公約的自律規(guī)則，均可以申請加入本公約；本公約成員單位也可以退出本公約，并通知公約執(zhí)行機構(gòu)；公約執(zhí)行機構(gòu)定期公布加入及退出本公約的單位名單。

第二十三條  本公約由中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡(luò)與信息安全工作委員會負責解釋。

第二十四條  本公約自公布之日起施行。