各省、自治區、直轄市及新疆生產建設兵團工業和信息化主管部門，各省、自治區、直轄市通信管理局，有關網絡產品安全漏洞收集平臺運營單位：

現將《網絡產品安全漏洞收集平臺備案管理辦法》印發給你們，請認真遵照執行。

工業和信息化部        

2022年10月25日      

網絡產品安全漏洞收集平臺備案管理辦法

第一條 為規范網絡產品安全漏洞收集平臺備案管理，根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《網絡產品安全漏洞管理規定》，制定本辦法。

第二條 中華人民共和國境內的網絡產品安全漏洞收集平臺的備案管理工作，適用本辦法。

本辦法所稱網絡產品安全漏洞收集平臺（以下簡稱漏洞收集平臺），是指相關組織或者個人設立的收集非自身網絡產品安全漏洞的公共互聯網平臺，僅用于修補自身網絡產品、網絡和系統安全漏洞用途的除外。

第三條 漏洞收集平臺備案通過工業和信息化部網絡安全威脅和漏洞信息共享平臺開展，采用網上備案方式進行。

第四條 擬設立漏洞收集平臺的組織或個人，應當通過工業和信息化部網絡安全威脅和漏洞信息共享平臺如實填報網絡產品安全漏洞收集平臺備案登記信息，主要包括：

（一）漏洞收集平臺的名稱、首頁網址和互聯網信息服務（ICP）許可或備案號，用于發布漏洞信息的相關網址、社交軟件公眾號等互聯網發布渠道；

（二）主辦單位或主辦個人的名稱或姓名、證件號碼，以及漏洞收集平臺主要負責人和聯系人的姓名、聯系方式；

（三）漏洞收集的范圍和方式、漏洞驗證評估規則、通知相關責任主體修補漏洞規則、漏洞發布規則、注冊用戶的身份核實規則及分類分級管理規則等；

（四）通過工業和信息化部通信網絡安全防護管理系統，取得的網絡安全等級保護備案相關材料；

（五）依據有關國家標準和行業標準，實施平臺管理等情況；

（六）有關主管部門要求提交的其他需要說明的信息。

第五條 工業和信息化部在收到漏洞收集平臺提交的備案信息后，填報信息齊全、符合法定要求的，應當在10個工作日內予以備案，向其發放備案編號，將備案信息通報公安部和國家互聯網信息辦公室，并通過工業和信息化部網絡安全威脅和漏洞信息共享平臺向社會公布有關備案信息。

擬設立漏洞收集平臺的組織或個人應對所填報信息的真實性負責，發現備案信息不真實、不完整的，工業和信息化部在10個工作日內通知漏洞收集平臺予以補正。

完成備案的漏洞收集平臺應當在其網站主頁底部位置標明其備案編號。

第六條 備案信息發生變化的，應當自信息變化之日起30日內通過工業和信息化部網絡安全威脅和漏洞信息共享平臺履行備案變更手續。

第七條 不再從事漏洞收集業務的，應當在業務終止之日通過工業和信息化部網絡安全威脅和漏洞信息共享平臺履行備案注銷手續。

第八條 漏洞收集平臺應在上線前完成備案，已上線運行的漏洞收集平臺應在本辦法施行之日起10個工作日內進行備案。

第九條 工業和信息化部設立舉報渠道，社會公眾可通過工業和信息化部網絡安全威脅和漏洞信息共享平臺電話、郵箱等方式，對漏洞收集平臺涉嫌違反法律法規的行為進行舉報。經核查屬實的，將依法依規對漏洞收集平臺予以處理。

第十條 本辦法自2023年1月1日起施行。