ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T30276—2020

代替

GB/T30276—2013

信息安全技術(shù)

網(wǎng)絡(luò)安全漏洞管理規(guī)范

Informationsecuritytechnology—

Specificationforcybersecurityvulnerabilitymanagement

2020-11-19發(fā)布2021-06-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T30276—2020

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

網(wǎng)絡(luò)安全漏洞管理流程

4…………………2

網(wǎng)絡(luò)安全漏洞管理要求

5…………………3

漏洞發(fā)現(xiàn)和報(bào)告

5.1……………………3

漏洞接收

5.2……………3

漏洞驗(yàn)證

5.3……………3

漏洞處置

5.4……………4

漏洞發(fā)布

5.5……………5

漏洞跟蹤

5.6……………5

證實(shí)方法

6…………………5

參考文獻(xiàn)

………………………6

GB/T30276—2020

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)信息安全漏洞管理規(guī)范與

GB/T30276—2013《》,GB/T30276—2013

相比主要技術(shù)變化如下

,:

修改了范圍的表述見第章年版的第章

———(1,20131);

增加了規(guī)范性引用文件刪除了規(guī)范性引用文件見

———GB/T30279—2020,GB/T18336.1—2008(

第章年版的第章

2,20132);

增加了術(shù)語網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者網(wǎng)絡(luò)運(yùn)營者漏洞收錄組織漏洞應(yīng)急組織漏

———“()”“”“”“”“

洞發(fā)現(xiàn)漏洞報(bào)告漏洞接收漏洞驗(yàn)證漏洞發(fā)布見

”“”“”“”“”(3.2、3.3、3.4、3.5、3.6、3.7、3.8、3.9、

3.10);

刪除了術(shù)語修復(fù)措施廠商漏洞管理組織漏洞發(fā)現(xiàn)者年版的

———“”“”“”“”(20133.1、3.3、3.4、3.5);

修改了漏洞管理流程從漏洞管理的角度出發(fā)重新定義了漏洞管理流程的各階段將原來的

———,,,

預(yù)防收集消減發(fā)布管理階段調(diào)整為漏洞發(fā)現(xiàn)和報(bào)告漏洞接收漏洞驗(yàn)證漏洞處置漏

“、、、”“、、、、

洞發(fā)布漏洞跟蹤并提出各管理階段中各相關(guān)角色應(yīng)遵循的要求見第章第章

、”,(4、5,2013

年版的第章第章

4、5);

刪除了附錄規(guī)范性附錄漏洞處理策略年版的附錄

———“A()”(2013A)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心中國信息安全測評中心國家信息技術(shù)

:、、

安全研究中心中國電子技術(shù)標(biāo)準(zhǔn)化研究院上海交通大學(xué)恒安嘉新北京科技股份公司網(wǎng)神信息技

、、、()、

術(shù)北京股份有限公司上海斗象信息科技有限公司北京數(shù)字觀星科技有限公司阿里巴巴北京軟

()、、、()

件服務(wù)有限公司公安部第三研究所中國科學(xué)院大學(xué)北京奇虎科技有限公司

、、、。

本標(biāo)準(zhǔn)主要起草人云曉春舒敏崔牧凡王文磊嚴(yán)寒冰賈子驍陳悅?cè)螡删捩面酶呃^明

:、、、、、、、、、、

王桂溫郭亮謝忱白曉媛王宏李斌孟魁姜開達(dá)黃道麗趙旭東趙蕓偉蔣凌云郝永樂葉潤國

、、、、、、、、、、、、、、

劉楠張玉清姚一楠

、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T30276—2013。

Ⅰ

GB/T30276—2020

信息安全技術(shù)

網(wǎng)絡(luò)安全漏洞管理規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全漏洞管理流程各階段包括漏洞發(fā)現(xiàn)和報(bào)告接收驗(yàn)證處置發(fā)布跟蹤

(、、、、、

等的管理流程管理要求以及證實(shí)方法

)、。

本標(biāo)準(zhǔn)適用于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者網(wǎng)絡(luò)運(yùn)營者漏洞收錄組織漏洞應(yīng)急組織等開展的網(wǎng)絡(luò)

、、、

安全漏洞管理活動(dòng)

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069

信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識與描述規(guī)范

GB/T28458—2020

信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南

GB/T30279—2020

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069、GB/T28458—2020。

31

.

用戶user

使用網(wǎng)絡(luò)產(chǎn)品和服務(wù)的個(gè)人或組織

。

32

.

網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者providerofnetworkproductsandservices

()

提供網(wǎng)絡(luò)產(chǎn)品和服務(wù)的個(gè)人或組織

。

33

.

網(wǎng)絡(luò)運(yùn)營者networkoperator

網(wǎng)絡(luò)的所有者