富贵耐心
登錄  免費注冊
當前位置:首頁 > 安全公告 > 正文

國家信息安全漏洞共享平臺(CNVD)章程

2018-12-28 11:15:37
安全公告編號:CNTA-2018-0034
     
       經2018年11月26日召開的國家信息安全漏洞共享平臺(CNVD)工作會議全體討論通過,現正式發布《國家信息安全漏洞共享平臺章程》全文如下:

第一章 總則

第一條 組織名稱:

國家信息安全漏洞共享平臺,英文名稱為China National VulnerabilityDatabase,簡稱為CNVD漏洞平臺或CNVD。

第二條 組織背景:

由國家互聯網應急中心、國家信息技術安全研究中心于2009年10月牽頭發起,由國家互聯網應急中心(以下簡稱CNCERT)具體組織運作,并在中國互聯網協會網絡與信息安全工作委員會中成立專門的技術協作工作組——國家信息安全漏洞共享平臺。

第三條 組織性質:

作為民間技術協作組織,平臺依托CNCERT以及相關行業單位的技術和資源基礎,與國家政府部門、重要信息系統用戶、運營商、主要安全廠商、軟件廠商、科研機構、公共互聯網用戶等共同建立軟件安全漏洞統一收集、驗證、預警發布及應急處置體系,切實提升我國在安全漏洞方面的整體研究水平和及時預防能力,進而提高我國信息系統及國產軟件的安全性,帶動國內相關安全產品的發展。

第三條 組織宗旨:

漏洞的管理和應急要遵守國家憲法、法律和國家主管部門制定的規章制度,成員單位協同開展漏洞收集、驗證、分析和處置相關工作,同時積極動員互聯網和社會資源,提高全民信息系統漏洞和個人信息安全防范意識,保障政府和重要信息系統部門網絡運行安全、保障企事業單位和個人用戶的網絡安全權益。

第四條 組織運行管理:

CNVD平臺同時接受中國互聯網協會的業務指導和監督管理,并制定一系列的運行管理機制以及自律公約,接受成員單位和社會公眾的廣泛監督。

第五條 秘書處地址:

CNVD秘書處設在國家互聯網應急中心。


第二章 工作范圍

第六條 工作目標:

在中國互聯網協會網絡與信息安全工作委員會中,建立以發現、報送、評估、處置為核心環節的信息系統安全漏洞工作鏈條,建立漏洞安全應急處置的工作閉環,防范黑客地下產業大規模攻擊,形成漏洞研究者、安全廠商、軟硬件生產廠商、互聯網用戶之間良好的互動,營造良好的漏洞安全生態。

第七條 工作原則:

核心價值:公開、客觀、協同、自律。

保持CNVD的開放性、中立性,安全廠商、軟件廠商、科研院校、個人等均可以參與CNVD漏洞發現、收集、發布、驗證等工作,CNVD保持以國家利益和公共利益為首要關切,確保技術客觀和流程中立。

保持以我為主、預防為主。CNVD漏洞信息利用以預警預防為主,同時CNVD主要服務于國內信息化建設,關注我國廣泛使用的軟件產生的安全漏洞問題,并保持對漏洞造成全球互聯網安全威脅的關注和積極處置態度。

第八條 工作內容:

(一)組織和動員成員單位和互聯網力量,面向成員單位和漏洞研究者收集、整理、共享漏洞信息,共同建設國家信息安全漏洞數據庫;

(二)建立CNVD漏洞接收、驗證和處置工作機制和策略,組織開展漏洞安全響應工作,維護漏洞相關的政府部門、行業單位和個人用戶安全利益;

(三)向社會公眾和成員單位發布漏洞預警信息,重點開展大規模或高危漏洞攻擊風險防范和處置專項行動,提高漏洞安全處置成功率和響應效率;

(四)以《中國互聯網協會漏洞信息披露和處置自律公約》為準則,加強社會和媒體監督,積極抵制利用漏洞開展黑客地下攻擊,抵制不客觀、不安全、不積極的漏洞披露和處置行為;

(五)組織開展漏洞安全技術研究,舉辦漏洞安全技術論壇和宣傳活動,提升網民安全意識;

(六)提供信息系統安全漏洞的技術支持及信息咨詢等服務;

(七)與漏洞安全研究和應急處置相關的其他工作。


第三章 組織結構

第九條 組織形式:

CNVD由中國互聯網協會網絡與信息安全工作委員會直接負責管理,秘書處負責日常運行管理事務。所有加入CNVD的機構和企事業單位均為成員單位。

CNVD成員單位主要由網絡安全研究機構、網絡安全企業、基礎電信企業、增值電信企業、軟硬件生產廠商以及具備漏洞應急響應能力的行業機構組成。

第十條 成員單位類型:

CNVD成員單位按照技術研究和應急處置協作能力,分為技術組和用戶組成員單位。

CNVD技術組成員單位是CNVD開展漏洞收錄、漏洞分析、漏洞挖掘以及漏洞全局監測、應急響應工作的核心成員。

CNVD用戶組成員單位是CNVD開展漏洞應急處置,防范政府和重要部門、行業單位用戶、大規模用戶安全風險的重要組成部分。

同時,CNVD積極建立與其他漏洞平臺、漏洞應急組織的協作關系(另設為合作方)。

第十一條 技術組(用戶組)成員單位申請條件:

(一)認同CNVD平臺章程;

(二)滿足《CNVD成員單位能力要求》中對CNVD技術組(用戶組)成員單位的相關技術能力要求;

(三)同意簽署《中國互聯網協會漏洞信息披露和處置自律公約》;

(四)同意簽署《國家信息安全漏洞共享平臺(CNVD)共建共享協議》(技術組或用戶組)。

第十二條 加入程序:

(一)提交申請材料,包括:單位基本資質審核、單位授權證明以及技術工作能力證明材料;

(二)根據《CNVD成員單位能力要求》中要求進行能力審核;

(三)審核通過后試行公示;

(四)原則上需由成員單位工作會議審議或秘書處征詢,超過半數的成員單位無異議;

(五)簽署自律公約和共建共享協議;

(六)CNVD官方網站(www.bxeko.tw)發布公告。

第十三條 成員權利:

根據共建共享情況,CNVD技術組成員單位將優先獲得如下權益:

(一)CNVD公開發布的漏洞的全量共享接口;

(二)CNVD漏洞報送證明、原創漏洞證明以及出具相關貢獻情況證明;

(三)CNVD對漏洞安全相關產品的兼容性證明;

(四)第一時間獲得漏洞信息驗證、補丁驗證、用戶側巡檢發現、漏洞攻擊威脅監測等方面的信息共享和技術支持;

(五)獲得CNVD漏洞協作突出貢獻單位表彰資格。

CNVD用戶組成員單位將優先獲得如下權益:

(一)針對本單位軟硬件產品、信息系統漏洞驗證和處置情況的CNVD官方聲明和核查情況背書;

(二)按照《漏洞信息披露和處置自律公約》,對信息披露和處置爭議事項優先協調權;

(三)涉及本單位軟硬件產品漏洞和用戶安全風險的由成員單位提供的境內外處置體系協作;

(四)獲得CNVD漏洞協作突出貢獻單位表彰資格。

第十四條 成員單位義務:

(一)遵守自律公約和共建共享協議;

(二)配合秘書處的工作,包括:漏洞報送、驗證和處置任務,漏洞響應專項行動以及本章程第八條約定的其他相關工作任務;

(三)滿足《CNVD成員單位能力要求》;

(四)向CNVD反映漏洞工作機制的情況,提供有關信息;

(五)自覺執行CNVD全體成員達成的其他決議。

第十五條 成員單位能力評價:

CNVD成員單位能力共包括九個方面:(一)漏洞收集能力、(二)原創漏洞挖掘能力、(三)漏洞檢測能力、(四)漏洞威脅風險大數據能力、(五)漏洞技術分析能力、(六)漏洞全局處置能力、(七)重大漏洞事件響應能力、(八)集體任務協作能力、(九)其他能力。

CNVD將參照《CNVD成員單位能力評價》的要求,對CNVD成員單位的各項能力進行全方位衡量。

能力評價工作每年開展一次。

第十六條 成員單位資格有效期:

成員單位有效期為一年。

第十七條 成員單位退出:

(一)成員退出應提前十個工作日書面通知秘書處;

(二)技術組成員單位在年度評價或資格有效期滿時,若不符合《CNVD成員單位能力要求》,或能力象限的所有單項排名均位后5%,原則上暫停該單位的成員資格,并重新開展為期3個月的能力考察,仍未滿足能力要求的單位退出;

(三)成員如有嚴重違反本章程以及自律公約、共建共享協議的行為,將予以除名;

(四)成員退出以CNVD官方網站(www.bxeko.tw)的公告為準。


第四章 章程文本

第十八條 章程建立:

章程文本由秘書處起草,經征詢現有成員單位意見,超過三分之二單位通過后生效。

第十九條 章程修改:

章程后續的修改和更新均需秘書處征詢超過三分之二成員單位意見無異議后通過生效。


第五章 附則


第二十條 本章程經2018年11月26日CNVD成員單位工作會議通過生效。

第二十一條 本章程未盡事宜由CNVD秘書處負責解釋。

(編輯:CNVD) | 已有0條評論
登錄 后才能發表評論
已有0條評論
富贵耐心 华东15选5 辛运28 上海快3号码推荐-和值推荐号码 手机投注彩票软件下载 江苏快三 内蒙古十一选五 雷速体育直播安卓版 未来同城麻将充钻石代理 辽宁35选7 北单比分开奖sp