2015年6月19日，國內(nèi)32家單位在北京共同簽署了《中國互聯(lián)網(wǎng)協(xié)會(huì)漏洞信息披露和處置自律公約》（以下簡稱公約），這是首次以行業(yè)自律的方式共同規(guī)范漏洞信息的接收、處置和發(fā)布方面的行為。此次漏洞公約簽約儀式由工業(yè)和信息化部網(wǎng)絡(luò)安全管理局、中國互聯(lián)網(wǎng)協(xié)會(huì)指導(dǎo)，中國互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)（秘書處設(shè)在國家互聯(lián)網(wǎng)應(yīng)急中心，CNCERT）主辦。

隨著互聯(lián)網(wǎng)的迅速發(fā)展和普及，網(wǎng)絡(luò)安全事件日益增多,其中信息系統(tǒng)存在高危漏洞已經(jīng)成為誘發(fā)網(wǎng)絡(luò)安全事件的重要因素。例如，近年來媒體不斷披露的網(wǎng)站數(shù)據(jù)和用戶信息泄露事件大多是由于信息系統(tǒng)存在漏洞造成的。根據(jù)國家信息安全漏洞共享平臺(tái)（CNVD）收錄的情況，近三年來新增通用軟硬件漏洞的數(shù)量年均增長20%左右，漏洞數(shù)量呈現(xiàn)現(xiàn)快速增長趨勢。關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)存在漏洞會(huì)帶來極大的安全隱患，一旦被黑客利用，不僅可能威脅到網(wǎng)絡(luò)數(shù)據(jù)和用戶個(gè)人信息的安全，甚至可能會(huì)危害整個(gè)信息系統(tǒng)的安全運(yùn)行。

近幾年，國內(nèi)民間漏洞平臺(tái)開始出現(xiàn)并迅速發(fā)展，對(duì)于調(diào)動(dòng)社會(huì)力量發(fā)現(xiàn)漏洞隱患，及時(shí)提醒和督促漏洞所屬單位修補(bǔ)漏洞、防范風(fēng)險(xiǎn)，避免漏洞信息地下擴(kuò)散等具有積極的意義。為發(fā)揮這些漏洞平臺(tái)的積極作用，工業(yè)和信息化部指導(dǎo)CNCERT與烏云、補(bǔ)天、漏洞盒子等多家民間漏洞平臺(tái)建立了工作聯(lián)系，重點(diǎn)處置涉及黨政機(jī)關(guān)、重要行業(yè)單位的漏洞信息。CNCERT近三年從各漏洞平臺(tái)上接收和處置的涉及黨政機(jī)關(guān)、重要行業(yè)單位漏洞信息超過1.3萬起，及時(shí)協(xié)助相關(guān)單位排除了安全隱患。但是，民間漏洞平臺(tái)在發(fā)揮積極作用的同時(shí)，在漏洞披露方面也帶來一些問題。例如：披露漏洞之前未及時(shí)通知涉事單位、披露信息過于詳細(xì)容易被黑客組織利用、漏洞信息描述不準(zhǔn)確或漏洞披露信息夸大造成社會(huì)恐慌等等，對(duì)漏洞信息的披露亟待進(jìn)一步規(guī)范。同時(shí)，對(duì)漏洞的處置也有待各方共同努力，提高應(yīng)急響應(yīng)和處置效率，降低漏洞對(duì)黨政機(jī)關(guān)、行業(yè)單位和用戶的造成的威脅和經(jīng)濟(jì)損失。

為依法維護(hù)國家、企業(yè)和社會(huì)公眾互聯(lián)網(wǎng)安全權(quán)益，保障政府和重要信息系統(tǒng)部門信息系統(tǒng)安全，進(jìn)一步規(guī)范國內(nèi)外漏洞平臺(tái)、相關(guān)廠商、信息系統(tǒng)管理方以及CNCERT在漏洞信息接收、處置和發(fā)布方面的行為，遵照“趨利避害、有效管理、積極引導(dǎo)”的基本方針，中國互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)在廣泛征求相關(guān)黨政機(jī)關(guān)部門和行業(yè)單位意見的基礎(chǔ)上，牽頭制定了公約。公約規(guī)定了CNCERT、漏洞報(bào)告平臺(tái)以及軟硬件生產(chǎn)廠商、信息系統(tǒng)管理方在漏洞披露和處置方面的責(zé)任和自律條款，提出漏洞信息披露的“客觀、適時(shí)、適度”三原則，同時(shí)要求各方加強(qiáng)協(xié)同配合，積極做好漏洞的驗(yàn)證、評(píng)估、修復(fù)和用戶的主動(dòng)響應(yīng)工作。公約強(qiáng)調(diào)要遵守國家政策和法律法規(guī)，重點(diǎn)做好涉及政府和重要信息系統(tǒng)部門的漏洞披露和處置工作，同時(shí)也要積極保障用戶的漏洞知情權(quán)和安全利益。公約倡議舉報(bào)和反對(duì)通過黑客地下產(chǎn)業(yè)購買、交易漏洞的行為，反對(duì)非法侵入或破壞他人信息系統(tǒng)，共同防范和抵制漏洞信息的不當(dāng)傳播。

工業(yè)和信息化部網(wǎng)絡(luò)安全管理局副局長李學(xué)林在簽約儀式上致辭。李學(xué)林指出，對(duì)漏洞信息的管理，既需要政府主管部門加強(qiáng)監(jiān)督，同時(shí)也要發(fā)揮行業(yè)自律的作用。在當(dāng)前有關(guān)法律法規(guī)還不健全的情況下，本次由中國互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)牽頭制定的漏洞信息披露和處置自律公約，可進(jìn)一步發(fā)揮漏洞平臺(tái)、軟硬件廠商、信息系統(tǒng)管理方和CNCERT的協(xié)同作用，對(duì)于加強(qiáng)漏洞信息管理，保障國家、行業(yè)和用戶的網(wǎng)絡(luò)安全利益具有重要的現(xiàn)實(shí)意義。他希望參與簽署自律公約的相關(guān)單位，能嚴(yán)格落實(shí)公約要求，在實(shí)踐中不斷完善公約內(nèi)容，更好地服從和服務(wù)于國家網(wǎng)絡(luò)安全工作的需要，為營造安全有序的網(wǎng)絡(luò)環(huán)境做出積極的貢獻(xiàn)。

工業(yè)和信息化部、人力資源和社會(huì)保障部、水利部、銀監(jiān)會(huì)、證監(jiān)會(huì)、國家能源局等政府部門單位以及銀行、電信運(yùn)營商、非經(jīng)營性互聯(lián)單位、民間漏洞報(bào)告平臺(tái)、互聯(lián)網(wǎng)企業(yè)、安全企業(yè)、軟硬件廠商等近40家單位出席本次簽約儀式。