落实《网络安全漏洞管理规范》的执行细则
根据《中华人民共和国网络安全法》的相关规定,长沙米拓信息技术有限公司(下称:我司)对于米拓企业建站系统、米拓网站管理系统及收费模板出现漏洞的情况,执行《网络安全漏洞管理规范》(GB/T 30276-2020),并就具体的工作细则确认如下:
一、基本制度
米拓信息开发的米拓企业建站系统、米拓网站管理系统及收费模板均支持升级至最新版本(6.0以下版本收费模板升级需另行付费),且最新版本已经包含了对历史漏洞的修复。因此,米拓信息不会基于历史版本的漏洞发布补丁和修复方案,统一采取升级最新版本的方式修复漏洞。
用户进行相关网络安全检测前,须将软件升级至最新版本,并以最新版本为检测对象和报告对象。
二、漏洞发现和报告
(一)用户转发第三方的检测报告
1、必须以米拓信息公开发布的最新版本为检测对象。
2、第三方必须为具有相关资质的网络安全服务商。
3、用户必须转交第三方署名的报告全文。
4、报告必须执行GB/T 30279-2020的分级标准。
5、不符合上述2-4点者,请用户按照“(二)用户提报漏洞”的方式提交。
(二)用户提报漏洞
1、必须以米拓信息公开发布的最新版本为检测对象。
2、用户以自己的名义提报漏洞。
3、必须明确记录漏洞复现的方式和相关操作,有条件的用户可以记录攻击场景、修复建议等。
(三)CNVD推送漏洞
由CNVD通过官方渠道向米拓信息直接推送。
三、漏洞接收
“客服工单”是米拓信息接收用户提报漏洞的唯一方式,相关报告请在工单附件中上传。
四、漏洞验证
米拓信息测试部门执行GB/T 30279-2020的分级标准,对各方推送、转发、提报的漏洞进行验证,验证结果在客服工单中反馈给漏洞提报方,CNVD推送的漏洞方案通过其指定方式反馈。
五、漏洞处置与发布
(一)用户提报、转发的超危、高危漏洞(GB/T 30279-2020)
1、漏洞验证属实后24小时内开始进行漏洞修复工作。
2、对72小时内无法修复的漏洞,将向提报人提供临时解决方案,无法提供临时解决方案的建议提报人暂时停止软件运行。
3、漏洞补丁经测试通过后,由米拓技术部门给提报人修复漏洞。
4、漏洞补丁在新版本中发布,除公安机关和网络安全部门另有要求的外,不单独发布补丁包。
(二)用户提报、转发的中危、低危漏洞(GB/T 30279-2020)
1、漏洞验证属实后24小时内开始进行漏洞修复工作。
2、漏洞补丁经测试通过后在新版本中发布,不单独发布补丁包。
3、用户在版本升级中统一修复漏洞。
(三)CNVD推送的漏洞
1、漏洞验证属实后24小时内开始进行漏洞修复工作。
2、在CNVD要求的时间内完成漏洞补丁,并按要求反馈给CNVD。
3、漏洞补丁在新版本中发布,除公安机关和网络安全部门另有要求的外,不单独发布补丁包。
六、例外
因用户自行二次开发而造成的安全漏洞,不属于米拓信息的义务范畴,米拓不提供免费修复的方案。
七、其它
1、我司属地公安机关和网络安全部门直接向米拓信息提出特殊、重大的网络安全工作要求的,米拓信息采取应急措施开展工作,不在此细则的管理范围。
2、用户因其特殊需要,要求米拓信息在本细则范围外配合网络安全工作的,双方可以另行商议并签订服务合同,米拓信息按合同提供服务。
3、用户与米拓信息签订的合同中对网络安全事宜另有约定的,米拓信息按照合同约定提供服务。
长沙米拓信息技术有限公司
2022年10月26日
