CNNVD技术支撑单位计划主要面向信息安全厂商、软硬件厂商与互联网公司等, 以平等自愿的原则,通过签约合作的方式与这些单位开展合作。
本计划通过整合业内资源, 联合技术支撑单位,提高重大漏洞和重要安全事件的发现、分析、处置能力, 进一步助力信息安全漏洞研究、事件解读,形成漏洞/事件的收集、分析、处置、披露的良性机制, 从而提高我国信息安全漏洞/事件的研究水平和通报能力。
►►►
级别划分
CNNVD 技术支撑单位共设置三种级别,分别是一级、二级和三级(一级为最高级别),依据技术支撑单位的公司规模、技术研究能力、贡献程度等,以确定其支撑级别及其对应的年度贡献指标。同时,伴随技术支撑单位贡献程度的变化,相应的级别等方面也会有相应的调整。CNNVD 技术支撑单位的年度贡献包括如下几方面(具体要求见附件一):
(1)原创漏洞支撑
按照 CNNVD 漏洞提交规范向 CNNVD 提交原创漏洞信息,信息需要具备真实性、有效性等特点。
(2)漏洞预警支撑
对重大信息安全漏洞做出及时响应,积极主动向 CNNVD 提供相关信息并协助 CNNVD 完成预警工作。
(3)其他支撑
与 CNNVD 开展与与漏洞技术相关的验证研判、技术研讨、事件性漏洞报送、数据分析等合作。
►►►
申请流程
(1) 申请阶段:申请单位阅读《国家信息安全漏洞库(CNNVD)技术支撑单位计划指南》,提交《国家信息安全漏洞库
(CNNVD)技术支撑单位申请书》,由 CNNVD 对其进行审核,初审通过后,申请单位进入考察评估阶段。
(2) 考察评估阶段:该阶段设定 6 个月的贡献考察期,申请单位可在此期间向 CNNVD 提交原创漏洞、漏洞预警等,由
CNNVD 对申请单位进行综合评估。
(3) 专家评审阶段:CNNVD 召开技术支撑单位申请专家评审会,通过对申请单位提交的申请材料、考察期贡献内容、与
CNNVD 沟通配合情况等内容进行综合评估和级别判定。
(4) 协议签订阶段:CNNVD 将评审结果通知申请单位,与通过评审的申请单位签订《国家信息安全漏洞库(CNNVD)与技术支撑单位合作协议》。
(5) 证书颁发阶段:CNNVD 向技术支撑单位颁发证书,有效期一年。
►►►
认证周期
一般认证周期是6-9个月。
1.技术支撑单位证书有效期为一年。CNNVD 在支撑单位有效期结束之前 20 个工作日对其进行年度贡献审核,根据其证书有效期内贡献情况,如满足各级别续期要求则办理证书续期。
证书续期规则如下:
(1)若年度支撑贡献满足该级别的要求,等级维持不变。
(2)“二级”或“三级”支撑单位,若年度支撑贡献达到上一级对应的要求,可申请升级一个级别,经审批通过后可办理升级。对于贡献特别突出的单位,经批准可酌情提前予以升级一个级别。
(3)年度支撑贡献不满足该级别的要求,则降低一个支撑等级直至取消资格(如:“一级”降为“二级”,“三级”取消资格)。
(4)如支撑单位在证书有效期间,有违反国家法律法规及双方作协议的情况,CNNVD 将有权取消技术支撑单位资格并撤回证书。技术支撑单位的单位名称及注册地址发生变化时,可向 CNNVD提交《技术支撑单位信息变更申请表》,经 CNNVD 审核通过实施证书信息变更。证书信息变更内容不包含统一社会信用代码。
2.认证时间主要取决于审核时间及整改时间,上述办理周期仅供参考。
►►►
认证好处
1.为我国的信息安全战略提供重要的数据支撑和技术保障
2.是我国信息安全保障的重要基础设施
责任编辑: