GB/T 30276-2020信息安全技术网络安全漏洞管理规范

ICS35040

L80.

中华人民共和国国家标准

GB/T30276—2020

代替

GB/T30276—2013

信息安全技术

网络安全漏洞管理规范

Informationsecuritytechnology—

Specificationforcybersecurityvulnerabilitymanagement

2020-11-19发布2021-06-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T30276—2020

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

网络安全漏洞管理流程

4…………………2

网络安全漏洞管理要求

5…………………3

漏洞发现和报告

5.1……………………3

漏洞接收

5.2……………3

漏洞验证

5.3……………3

漏洞处置

5.4……………4

漏洞发布

5.5……………5

漏洞跟踪

5.6……………5

证实方法

6…………………5

参考文献

………………………6

GB/T30276—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术信息安全漏洞管理规范与

GB/T30276—2013《》,GB/T30276—2013

相比主要技术变化如下

,:

修改了范围的表述见第章年版的第章

———(1,20131);

增加了规范性引用文件删除了规范性引用文件见

———GB/T30279—2020,GB/T18336.1—2008(

第章年版的第章

2,20132);

增加了术语网络产品和服务的提供者网络运营者漏洞收录组织漏洞应急组织漏

———“()”“”“”“”“

洞发现漏洞报告漏洞接收漏洞验证漏洞发布见

”“”“”“”“”(3.2、3.3、3.4、3.5、3.6、3.7、3.8、3.9、

3.10);

删除了术语修复措施厂商漏洞管理组织漏洞发现者年版的

———“”“”“”“”(20133.1、3.3、3.4、3.5);

修改了漏洞管理流程从漏洞管理的角度出发重新定义了漏洞管理流程的各阶段将原来的

———,,,

预防收集消减发布管理阶段调整为漏洞发现和报告漏洞接收漏洞验证漏洞处置漏

“、、、”“、、、、

洞发布漏洞跟踪并提出各管理阶段中各相关角色应遵循的要求见第章第章

、”,(4、5,2013

年版的第章第章

4、5);

删除了附录规范性附录漏洞处理策略年版的附录

———“A()”(2013A)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位国家计算机网络应急技术处理协调中心中国信息安全测评中心国家信息技术

:、、

安全研究中心中国电子技术标准化研究院上海交通大学恒安嘉新北京科技股份公司网神信息技

、、、()、

术北京股份有限公司上海斗象信息科技有限公司北京数字观星科技有限公司阿里巴巴北京软

()、、、()

件服务有限公司公安部第三研究所中国科学院大学北京奇虎科技有限公司

、、、。

本标准主要起草人云晓春舒敏崔牧凡王文磊严寒冰贾子骁陈悦任泽君崔婷婷高继明

:、、、、、、、、、、

王桂温郭亮谢忱白晓媛王宏李斌孟魁姜开达黄道丽赵旭东赵芸伟蒋凌云郝永乐叶润国

、、、、、、、、、、、、、、

刘楠张玉清姚一楠

、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T30276—2013。

Ⅰ

GB/T30276—2020

信息安全技术

网络安全漏洞管理规范

1范围

本标准规定了网络安全漏洞管理流程各阶段包括漏洞发现和报告接收验证处置发布跟踪

(、、、、、

等的管理流程管理要求以及证实方法

)、。

本标准适用于网络产品和服务的提供者网络运营者漏洞收录组织漏洞应急组织等开展的网络

、、、

安全漏洞管理活动

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069

信息安全技术网络安全漏洞标识与描述规范

GB/T28458—2020

信息安全技术网络安全漏洞分类分级指南

GB/T30279—2020

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069、GB/T28458—2020。

31

.

用户user

使用网络产品和服务的个人或组织

。

32

.

网络产品和服务的提供者providerofnetworkproductsandservices

()

提供网络产品和服务的个人或组织

。

33

.

网络运营者networkoperator

网络的所有者