落實《網絡安全漏洞管理規范》的執行細則

根據《中華人民共和國網絡安全法》的相關規定，長沙米拓信息技術有限公司（下稱：我司）對于米拓企業建站系統、米拓網站管理系統及收費模板出現漏洞的情況，執行《網絡安全漏洞管理規范》（GB/T 30276-2020），并就具體的工作細則確認如下：

一、基本制度

米拓信息開發的米拓企業建站系統、米拓網站管理系統及收費模板均支持升級至最新版本（6.0以下版本收費模板升級需另行付費），且最新版本已經包含了對歷史漏洞的修復。因此，米拓信息不會基于歷史版本的漏洞發布補丁和修復方案，統一采取升級最新版本的方式修復漏洞。

用戶進行相關網絡安全檢測前，須將軟件升級至最新版本，并以最新版本為檢測對象和報告對象。

二、漏洞發現和報告

（一）用戶轉發第三方的檢測報告

1、必須以米拓信息公開發布的最新版本為檢測對象。

2、第三方必須為具有相關資質的網絡安全服務商。

3、用戶必須轉交第三方署名的報告全文。

4、報告必須執行GB/T 30279-2020的分級標準。

5、不符合上述2-4點者，請用戶按照“（二）用戶提報漏洞”的方式提交。

（二）用戶提報漏洞

1、必須以米拓信息公開發布的最新版本為檢測對象。

2、用戶以自己的名義提報漏洞。

3、必須明確記錄漏洞復現的方式和相關操作，有條件的用戶可以記錄攻擊場景、修復建議等。

（三）CNVD推送漏洞

由CNVD通過官方渠道向米拓信息直接推送。

三、漏洞接收

“客服工單”是米拓信息接收用戶提報漏洞的唯一方式，相關報告請在工單附件中上傳。

四、漏洞驗證

米拓信息測試部門執行GB/T 30279-2020的分級標準，對各方推送、轉發、提報的漏洞進行驗證，驗證結果在客服工單中反饋給漏洞提報方，CNVD推送的漏洞方案通過其指定方式反饋。

五、漏洞處置與發布

（一）用戶提報、轉發的超危、高危漏洞（GB/T 30279-2020）

1、漏洞驗證屬實后24小時內開始進行漏洞修復工作。

2、對72小時內無法修復的漏洞，將向提報人提供臨時解決方案，無法提供臨時解決方案的建議提報人暫時停止軟件運行。

3、漏洞補丁經測試通過后，由米拓技術部門給提報人修復漏洞。

4、漏洞補丁在新版本中發布，除公安機關和網絡安全部門另有要求的外，不單獨發布補丁包。

（二）用戶提報、轉發的中危、低危漏洞（GB/T 30279-2020）

1、漏洞驗證屬實后24小時內開始進行漏洞修復工作。

2、漏洞補丁經測試通過后在新版本中發布，不單獨發布補丁包。

3、用戶在版本升級中統一修復漏洞。

（三）CNVD推送的漏洞

1、漏洞驗證屬實后24小時內開始進行漏洞修復工作。

2、在CNVD要求的時間內完成漏洞補丁，并按要求反饋給CNVD。

3、漏洞補丁在新版本中發布，除公安機關和網絡安全部門另有要求的外，不單獨發布補丁包。

六、例外 

因用戶自行二次開發而造成的安全漏洞，不屬于米拓信息的義務范疇，米拓不提供免費修復的方案。

七、其它

1、我司屬地公安機關和網絡安全部門直接向米拓信息提出特殊、重大的網絡安全工作要求的，米拓信息采取應急措施開展工作，不在此細則的管理范圍。

2、用戶因其特殊需要，要求米拓信息在本細則范圍外配合網絡安全工作的，雙方可以另行商議并簽訂服務合同，米拓信息按合同提供服務。

3、用戶與米拓信息簽訂的合同中對網絡安全事宜另有約定的，米拓信息按照合同約定提供服務。

長沙米拓信息技術有限公司

2022年10月26日

落實《網絡安全漏洞管理規范》的執行細則.pdf