《国家信息安全漏洞共享平台章程》全文

安全公告编号:CNTA-2018-0034

第一章 总则

第一条 组织名称：

国家信息安全漏洞共享平台，英文名称为China National VulnerabilityDatabase，简称为CNVD漏洞平台或CNVD。

第二条 组织背景：

由国家互联网应急中心、国家信息技术安全研究中心于2009年10月牵头发起，由国家互联网应急中心（以下简称CNCERT）具体组织运作，并在中国互联网协会网络与信息安全工作委员会中成立专门的技术协作工作组——国家信息安全漏洞共享平台。

第三条 组织性质：

作为民间技术协作组织，平台依托CNCERT以及相关行业单位的技术和资源基础，与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集、验证、预警发布及应急处置体系，切实提升我国在安全漏洞方面的整体研究水平和及时预防能力，进而提高我国信息系统及国产软件的安全性，带动国内相关安全产品的发展。

第三条 组织宗旨：

漏洞的管理和应急要遵守国家宪法、法律和国家主管部门制定的规章制度，成员单位协同开展漏洞收集、验证、分析和处置相关工作，同时积极动员互联网和社会资源，提高全民信息系统漏洞和个人信息安全防范意识，保障政府和重要信息系统部门网络运行安全、保障企事业单位和个人用户的网络安全权益。

第四条 组织运行管理：

CNVD平台同时接受中国互联网协会的业务指导和监督管理，并制定一系列的运行管理机制以及自律公约，接受成员单位和社会公众的广泛监督。

第五条 秘书处地址：

CNVD秘书处设在国家互联网应急中心。

第二章 工作范围

第六条 工作目标：

在中国互联网协会网络与信息安全工作委员会中，建立以发现、报送、评估、处置为核心环节的信息系统安全漏洞工作链条，建立漏洞安全应急处置的工作闭环，防范黑客地下产业大规模攻击，形成漏洞研究者、安全厂商、软硬件生产厂商、互联网用户之间良好的互动，营造良好的漏洞安全生态。

第七条 工作原则：

核心价值：公开、客观、协同、自律。

保持CNVD的开放性、中立性，安全厂商、软件厂商、科研院校、个人等均可以参与CNVD漏洞发现、收集、发布、验证等工作，CNVD保持以国家利益和公共利益为首要关切，确保技术客观和流程中立。

保持以我为主、预防为主。CNVD漏洞信息利用以预警预防为主，同时CNVD主要服务于国内信息化建设，关注我国广泛使用的软件产生的安全漏洞问题，并保持对漏洞造成全球互联网安全威胁的关注和积极处置态度。

第八条 工作内容：

（一）组织和动员成员单位和互联网力量，面向成员单位和漏洞研究者收集、整理、共享漏洞信息，共同建设国家信息安全漏洞数据库；

（二）建立CNVD漏洞接收、验证和处置工作机制和策略，组织开展漏洞安全响应工作，维护漏洞相关的政府部门、行业单位和个人用户安全利益；

（三）向社会公众和成员单位发布漏洞预警信息，重点开展大规模或高危漏洞攻击风险防范和处置专项行动，提高漏洞安全处置成功率和响应效率；

（四）以《中国互联网协会漏洞信息披露和处置自律公约》为准则，加强社会和媒体监督，积极抵制利用漏洞开展黑客地下攻击，抵制不客观、不安全、不积极的漏洞披露和处置行为；

（五）组织开展漏洞安全技术研究，举办漏洞安全技术论坛和宣传活动，提升网民安全意识；

（六）提供信息系统安全漏洞的技术支持及信息咨询等服务；

（七）与漏洞安全研究和应急处置相关的其他工作。

第三章 组织结构

第九条 组织形式：

CNVD由中国互联网协会网络与信息安全工作委员会直接负责管理，秘书处负责日常运行管理事务。所有加入CNVD的机构和企事业单位均为成员单位。

CNVD成员单位主要由网络安全研究机构、网络安全企业、基础电信企业、增值电信企业、软硬件生产厂商以及具备漏洞应急响应能力的行业机构组成。

第十条 成员单位类型：

CNVD成员单位按照技术研究和应急处置协作能力，分为技术组和用户组成员单位。

CNVD技术组成员单位是CNVD开展漏洞收录、漏洞分析、漏洞挖掘以及漏洞全局监测、应急响应工作的核心成员。

CNVD用户组成员单位是CNVD开展漏洞应急处置，防范政府和重要部门、行业单位用户、大规模用户安全风险的重要组成部分。

同时，CNVD积极建立与其他漏洞平台、漏洞应急组织的协作关系（另设为合作方）。

第十一条 技术组（用户组）成员单位申请条件：

（一）认同CNVD平台章程；

（二）满足《CNVD成员单位能力要求》中对CNVD技术组（用户组）成员单位的相关技术能力要求；

（三）同意签署《中国互联网协会漏洞信息披露和处置自律公约》；

（四）同意签署《国家信息安全漏洞共享平台（CNVD）共建共享协议》（技术组或用户组）。

第十二条 加入程序：

（一）提交申请材料，包括：单位基本资质审核、单位授权证明以及技术工作能力证明材料；

（二）根据《CNVD成员单位能力要求》中要求进行能力审核；

（三）审核通过后试行公示；

（四）原则上需由成员单位工作会议审议或秘书处征询，超过半数的成员单位无异议；

（五）签署自律公约和共建共享协议；

（六）CNVD官方网站（www.cnvd.org.cn）发布公告。

第十三条 成员权利：

根据共建共享情况，CNVD技术组成员单位将优先获得如下权益：

（一）CNVD公开发布的漏洞的全量共享接口；

（二）CNVD漏洞报送证明、原创漏洞证明以及出具相关贡献情况证明；

（三）CNVD对漏洞安全相关产品的兼容性证明；

（四）第一时间获得漏洞信息验证、补丁验证、用户侧巡检发现、漏洞攻击威胁监测等方面的信息共享和技术支持；

（五）获得CNVD漏洞协作突出贡献单位表彰资格。

CNVD用户组成员单位将优先获得如下权益：

（一）针对本单位软硬件产品、信息系统漏洞验证和处置情况的CNVD官方声明和核查情况背书；

（二）按照《漏洞信息披露和处置自律公约》，对信息披露和处置争议事项优先协调权；

（三）涉及本单位软硬件产品漏洞和用户安全风险的由成员单位提供的境内外处置体系协作；

（四）获得CNVD漏洞协作突出贡献单位表彰资格。

第十四条 成员单位义务：

（一）遵守自律公约和共建共享协议；

（二）配合秘书处的工作，包括：漏洞报送、验证和处置任务，漏洞响应专项行动以及本章程第八条约定的其他相关工作任务；

（三）满足《CNVD成员单位能力要求》；

（四）向CNVD反映漏洞工作机制的情况，提供有关信息；

（五）自觉执行CNVD全体成员达成的其他决议。

第十五条 成员单位能力评价：

CNVD成员单位能力共包括九个方面：（一）漏洞收集能力、（二）原创漏洞挖掘能力、（三）漏洞检测能力、（四）漏洞威胁风险大数据能力、（五）漏洞技术分析能力、（六）漏洞全局处置能力、（七）重大漏洞事件响应能力、（八）集体任务协作能力、（九）其他能力。

CNVD将参照《CNVD成员单位能力评价》的要求，对CNVD成员单位的各项能力进行全方位衡量。

能力评价工作每年开展一次。

第十六条 成员单位资格有效期：

成员单位有效期为一年。

第十七条 成员单位退出：

（一）成员退出应提前十个工作日书面通知秘书处；

（二）技术组成员单位在年度评价或资格有效期满时，若不符合《CNVD成员单位能力要求》，或能力象限的所有单项排名均位后5%，原则上暂停该单位的成员资格，并重新开展为期3个月的能力考察，仍未满足能力要求的单位退出；

（三）成员如有严重违反本章程以及自律公约、共建共享协议的行为，将予以除名；

（四）成员退出以CNVD官方网站（www.cnvd.org.cn）的公告为准。

第四章 章程文本

第十八条 章程建立：

章程文本由秘书处起草，经征询现有成员单位意见，超过三分之二单位通过后生效。

第十九条 章程修改：

章程后续的修改和更新均需秘书处征询超过三分之二成员单位意见无异议后通过生效。

第五章 附则

第二十条 本章程经2018年11月26日CNVD成员单位工作会议通过生效。

第二十一条 本章程未尽事宜由CNVD秘书处负责解释。

声明：本文来自国家信息安全漏洞共享平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。