為規范發布網絡安全威脅信息的行為，有效應對網絡安全威脅和風險，保障網絡運行安全，依據《中華人民共和國網絡安全法》等相關法律法規，國家互聯網信息辦公室會同公安部等有關部門起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》，現向社會公開征求意見。有關單位和各界人士可以在2019年12月19日前，通過以下方式提出意見：

1.通過電子郵件方式發送至：security@cac.gov.cn

2.通過信函方式將意見寄至：北京市西城區車公莊大街11號國家互聯網信息辦公室網絡安全協調局，郵編100044，并在信封上注明“網絡安全威脅信息發布管理辦法征求意見”。

附件：網絡安全威脅信息發布管理辦法(征求意見稿)

          國家互聯網信息辦公室

           2019年11月20日

網絡安全威脅信息發布管理辦法

(征求意見稿)

第一條為規范網絡安全威脅信息發布行為，有效應對網絡安全威脅和風險，保障網絡運行安全，依據《中華人民共和國網絡安全法》等相關法律法規，制定本辦法。

第二條發布網絡安全威脅信息，應以維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識為目的，不得危害國家安全和社會公共利益，不得侵犯公民、法人和其他組織的合法權益。

第三條發布網絡安全威脅信息，應堅持客觀、真實、審慎、負責的原則，不利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

第四條發布的網絡安全威脅信息不得包含下列內容：

(一)計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法；

(二)專門用于從事侵入網絡、干擾網絡正常功能、破壞網絡防護措施或竊取網絡數據等危害網絡活動的程序、工具；

(三)能夠完整復現網絡攻擊、網絡侵入過程的細節信息；

(四)數據泄露事件中泄露的數據內容本身；

(五)具體網絡的規劃設計、拓撲結構、資產信息、軟件源代碼，單元或設備選型、配置、軟件等的屬性信息；

(六)具體網絡和信息系統的網絡安全風險評估、檢測認證報告，安全防護計劃和策略方案；

(七)其他可能被直接用于危害網絡正常運行的內容。

第五條發布網絡和信息系統被攻擊破壞、非法侵入等網絡安全事件信息前，應向該事件發生所在地地市級以上公安機關報告。各級公安機關應及時將相關情況報同級網信部門和上級公安機關。

第六條任何企業、社會組織和個人發布地區性的網絡安全攻擊、事件、風險、脆弱性綜合分析報告時，應事先向所涉及地區地市級以上網信部門和公安機關報告；

發布涉及公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的網絡安全攻擊、事件、風險、脆弱性綜合分析報告時，應事先向行業主管部門報告；

發布全國性或跨地區、跨行業領域的綜合分析報告時，應事先向國家網信部門和國務院公安部門報告。

第七條未經政府部門批準和授權，任何企業、社會組織和個人發布網絡安全威脅信息時，標題中不得含有“預警”字樣。

第八條發布具體網絡和信息系統存在風險、脆弱性情況，應事先征求網絡和信息系統運營者書面意見，以下情況除外：

(一)相關風險、脆弱性已被消除或修復；

(二)已提前30日向網信、電信、公安或相關行業主管部門舉報。

第九條通過下列平臺發布信息的，平臺運營者、主辦單位接到有關部門通報、用戶舉報，或自行發現平臺上存在違反本辦法的發布行為和發布內容的，應當立即停止發布、采取消除等處置措施，防止違規內容擴散，保存有關記錄，并向地市級以上網信部門、公安機關報告。

1.報刊、廣播電視、出版物；

2.互聯網站、論壇、博客、微博、公眾賬號、即時通信工具、互聯網直播、互聯網視聽節目、應用程序、網絡硬盤等；

3.公開舉行的會議、論壇、講座；

4.公開舉辦的網絡安全競賽；

5.其他公共平臺。

第十條違反本辦法規定發布網絡安全威脅信息的，由網信部門、公安機關根據《中華人民共和國網絡安全法》的規定予以處理。

第十一條涉及國家秘密、涉密網絡的網絡安全威脅信息發布活動，按照國家有關規定執行。

第十二條本辦法所稱網絡安全威脅信息，包括：

(一)對可能威脅網絡正常運行的行為，用于描述其意圖、方法、工具、過程、結果等的信息。如：計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

(二)可能暴露網絡脆弱性的信息。如：系統漏洞，網絡和信息系統存在風險、脆弱性的情況，網絡的規劃設計、拓撲結構、資產信息、軟件源代碼，單元或設備選型、配置、軟件等的屬性信息，網絡安全風險評估、檢測認證報告，安全防護計劃和策略方案等。

第十三條本辦法自發布之日起實施。