(中国) ≪ネットワーク製品セキュリティホール(脆弱性)管理規定≫
工業情報化部 国家インターネット情報弁公室 公安部 ≪ネットワーク製品セキュリティホール管理規定≫の配布に関する通知 工信部連網安〔2021〕66号
各省/自治区/直轄市及び新疆生産建設兵団工業情報化部主管部門、インターネット情報弁公部門、公安庁(局)、各省/自治区/直轄市通信管理局へ
ここに≪ネットワーク製品セキュリティホール管理規定≫を配布し、2021年9月1日より施行する。
ネットワーク製品セキュリティホール(脆弱性)管理規定
第一条 ネットワーク製品のセキュリティホールの発見、届出、修復及び公表等の行動を規範化し、サイバーセキュリティリスクを回避するために、≪中華人民共和国ネットワークセキュリティ法≫に基づき本規定を制定する。
第二条 中華人民共和国国内のネットワーク製品(ハードウェア、ソフトウェアを含む)の提供者及び通信事業者、並びにネットワーク製品セキュリティホールの発見、収集、公表等の活動に従事する組織または個人は、本規定を遵守しなければならない。
第三条 国家インターネット情報弁公室は、ネットワーク製品セキュリティホール全体の管理を統一して調整することに責任を負う。工業情報化部は、ネットワーク製品セキュリティホールの総合的な管理に責任を負い、通信とインターネット産業のネットワーク製品セキュリティホールに関する監督管理を受け持つ。公安部はネットワーク製品セキュリティホールの監督管理に責任を負い、ネットワークセキュリティホールを利用した違法な犯罪活動を法の則り取り締まる。
各主管部門は部門間の連携を強化し、ネットワーク製品のセキュリティホールに関する情報共有をリアルタイムで実現し、重大なネットワーク製品セキュリティホールのリスクを共同で想定し、処理する。
第四条 如何なる組織または個人も、ネットワーク製品セキュリティホールを利用してサイバーセキュリティを危険にさらす活動に従事したり、ネットワーク製品セキュリティホールに関する情報を違法に収集、販売、公表したりしてはならない。他人がネットワーク製品セキュリティホールを利用してサイバーセキュリティを危険にさらす活動に従事する事実を明らかに知っていながら、その者のために技術的サポートを提供したり、広告宣伝を行ったり、支払い決済等で幇助することを禁じる。
第五条 ネットワーク製品の提供者、通信事業者、並びにネットワーク製品セキュリティホールの収集プラットフォームは、ネットワーク製品のセキュリティホールに関する情報を受信するための健全なチャネルを開設し、受信が滞ることのないよう管理しなければならない。ネットワーク製品セキュリティホールに関する情報は、少なくとも6か月以上は保管しておかなければならない。
第六条 関連する組織と個人が、ネットワーク製品のセキュリティホールに関する情報をその製品の提供者に知らせることを奨励する。
第七条 ネットワーク製品の提供者は、下記のネットワーク製品セキュリティホールに関する管理義務を履行し、セキュリティホールの迅速な修復と適切な公表を確実に行い、製品ユーザーが予防措置を講じるように導き、サポートしていかなければならない。
(一)ネットワーク製品にセキュリティホールがあることを発見または知り得た時は、直ちに対策を講じてセキュリティホールに対する検証を行い、セキュリティホールの危害の程度と影響の範囲を予想しなければならない。川上の製品または組立部品のセキュリティホールにまで関連が及ぶ場合は、関係する製品の提供者に直ちに通知しなければならない。
(二)セキュリティホールに関する情報は、二日以内に工業情報化部のサイバーセキュリティ脅威と脆弱性情報共有プラットフォームに届け出なければならない。届け出る内容には、セキュリティホールがある製品の名称、モデル名、バージョン、及びセキュリティホールの技術的特性、危険度及び影響の範囲等を含めなければならない。
(三)ネットワーク製品のセキュリティホールを直ちに修復し、製品ユーザー(川下産業を含む)がソフトウェア、ファームウェアのアップグレード等の対策を講じなければならない場合は、影響を受ける可能性がある製品ユーザーにネットワーク製品セキュリティホールのリスクと修復方法を直ちに通知し、必要な技術サポートを行わなければならない。
工業情報化部のサイバーセキュリティ脅威と脆弱性情報共有プラットフォームは、セキュリティホールに関する情報を国家ネットワークと情報セキュリティ情報通報センター、国家コンピュータネットワーク緊急技術処理協調センターに同期通知する。
ネットワーク製品の提供者が、ネットワーク製品セキュリティホールのインセンティブ制度を導入し、自分達が提供するネットワーク製品のセキュリティホールを発見して通報した組織または個人に対し、インセンティブを付与することを奨励する。
第八条 通信事業者が自社のネットワーク、情報システム及びそれらの機器にセキュリティホールがあることを発見または知り得た時は、直ちに対策を講じ、セキュリティホールに対する検証を早急に行って、完全に修復しなければならない。
第九条 ネットワーク製品セキュリティホールの発見、収集に従事する組織または個人が、ネットワークプラットフォーム、メディア、会議、コンテスト等を介してネットワーク製品のセキュリティホールに関する情報を社会に公表する場合は、必要性、真実性、客観性、並びにサイバーセキュリティリスクの防止に役立つ原則に則り、下記の規定を遵守しなければならない。
(一)ネットワーク製品の提供者がネットワーク製品のセキュリティホールの修復措置を講じる前に、セキュリティホールに関する情報を公表してはならない。事前に公表する必要があると考えられる場合は、関係するネットワーク製品の提供者と話し合い、また工業情報化部と公安部にも報告し、工業情報化部、公安部が検討を行った上で公表しなければならない。
(二)通信事業者が現在使用しているネットワーク、情報システム及びそれらの機器のセキュリティホールに関する詳細な内容を公表してはならない。
(三)ネットワーク製品のセキュリティホールの危害とリスクを故意に誇張してはならず、ネットワーク製品のセキュリティホールに関する情報を利用して悪意ある宣伝を行ったり、詐欺や恐喝等の違法な犯罪活動を行ったりしてはならない。
(四)ネットワーク製品のセキュリティホールを利用したサイバーセキュリティを危険にさらす活動を行うために使用するプログラムとツールは、公表または提供してはならない。
(五)ネットワーク製品のセキュリティホールを公表する時は、同時に修復または予防措置も公表しなければならない。
(六)国家の重大活動が開催されている期間中は、公安部の同意を得ずに勝手にネットワーク製品のセキュリティホールに関する情報を公表してはならない。
(七)ネットワーク製品の提供者以外の外国の組織または個人に、未公開のネットワーク製品のセキュリティホールに関する情報を提供してはならない。
(八)法律法規のその他の関連規定。
第十条 ネットワーク製品セキュリティホール収集プラットフォームは、如何なる組織または個人が開設するものであっても工業情報化部に届け出なければならない。工業情報化部は届け出のあったセキュリティホール収集プラットフォームを直ちに公安部、国家インターネット情報弁公室に報告し、このセキュリティホール収集プラットフォームを公表する。
ネットワーク製品のセキュリティホールを発見した組織または個人が、ネットワーク製品のセキュリティホールに関する情報を工業情報化部のサイバーセキュリティ脅威と脆弱性情報共有プラットフォーム、国家ネットワーク情報セキュリティ情報通報センターのセキュリティホールプラットフォーム、国家コンピュータネットワーク緊急技術処理協調センターのセキュリティホールプラットフォーム、中国情報安全評価センターのセキュリティホールライブラリに通報することを奨励する。
第十一条 ネットワーク製品セキュリティホールの発見、収集に従事する組織は、内部管理を強化し、ネットワーク製品セキュリティホールに関する情報の漏洩と規定に違反する公表を防止するための対策を講じなければならない。
第十二条 ネットワーク製品の提供者が本規定に定められているネットワーク製品セキュリティホールの救済または報告に関する対策を講じない場合は、工業情報化部、公安部が各自の職責と法律に基づいて処分する。≪中華人民共和国サイバーセキュリティ法≫第六十条規定に該当する場合は、当該規定に則り処罰する。
第十三条 通信事業者が本規定に定められているネットワーク製品セキュリティホールの修復または予防措置を講じない場合は、関連する主管部門が法に基づいて処分する。≪中華人民共和国サイバーセキュリティ法≫第五十九条規定に該当する場合は、当該規定に則り処罰する。
第十四条 本規定に違反してネットワーク製品のセキュリティホールに関する情報を収集、公表した場合は、工業情報化部、公安部が各自の職責と法律に基づいて処分する。≪中華人民共和国サイバーセキュリティ法≫第六十二条規定に該当する場合は、当該規定に則り処罰する。
第十五条 ネットワーク製品のセキュリティホールを利用してサイバーセキュリティを危険にさらす活動に従事する、或いは他人のためにネットワーク製品のセキュリティホールを利用してサイバーセキュリティを危険にさらす活動に従事し、技術サポートを提供した場合は、公安機関が法に基づいて処理する。≪中華人民共和国サイバーセキュリティ法≫第六十三条規定に該当する場合は、当該規定に則り処罰する。犯罪に至った場合は、法に則り刑事責任を追及する。
第十六条 本規定は2021年9月1日より施行する。
原文:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/zh/art/2021/art_0ee692709b76445e9237eb2ba908c5bb.html
