GB/T 30276-2020 信息安全技术 网络安全漏洞管理规范

ICS35.040

L80GB

中华人民共和国国家标准

GB/T30276-2020

代替GB/T302762013

信息安全技术

网络安全漏洞管理规范

Informationsecuritytechnology-

Specificationforcybersecurityvulnerabilitymanagement

2020-11-19发布2021-06-01实施

国家市场监督管理总局告士

国家标准化管理委员会保W

GB/T30276-2020

目次

前言…………·”………I

1范围…··

2规范性引用文件…··

3术语和定义…··

4网络安全漏洞管理流程……………·……”……”....••••••......2

5网络安全漏洞管理要求…………·……”………...••••••......3

5.1漏洞发现和报告……·……”……”……..3

5.2漏洞接收……·……”……”……..3

5.3漏洞验证…………”…·…”………3

5.4漏洞处置………·……”……”……..4

5.5漏洞发布……·……”……”……..5

5.6漏洞跟踪…“……5

6证实方法~··.………·…………“……5

参考文献………………”……..6

GB/T30276-2020

前言

本标准按照GB/T1.12009给出的规则起草。

本标准代替GB/T30276-2013《信息安全技术信息安全漏洞管理规范》，与GB/T30276-2013

相比，主要技术变化如下z

一一修改了范围的表述（见第1章，2013年版的第1章k

一一增加了规范性引用文件GB/T30279-2020，删除了规范性引用文件GB/T18336.1-2008（见

第2章，2013年版的第2章）'

增加了术语气网络产品和服务的〉提供者M网络运营者川漏洞收录组织”“漏洞应急组织川漏

洞发现川漏洞报告M漏洞接收M漏洞验证川漏洞发布”（见3.2、3.3、3.4、3.5、3.6、3.7、3.8、3.9、

3.10)'

一一删除了术语“修复措施”“厂商”“漏洞管理组织”“漏洞发现者”（2013年版的3.1、3.3、3.4、3.5)'

一一修改了漏洞管理流程，从漏洞管理的角度出发，重新定义了漏洞管理流程的各阶段，将原来的

“预防、收集、消减、发布”管理阶段调整为“漏洞发现和报告、漏洞接收、漏洞验证、漏洞处置、漏

洞发布、漏洞跟踪气并提出各管理阶段中各相关角色应遵循的要求（见第4章、第5章，2013

年版的第4章、第5章）'

一一删除了“附录A（规范性附录）漏洞处理策略气2013年版的附录A）。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。

本标准起草单位g国家计算机网络应急技术处理协调中心、中国信息安全测评中心、国家信息技术

安全研究中心、中国电子技术标准化研究院、上海交通大学、恒安嘉新（北京〕科技股份公司、网神信息技

术（北京〉股份有限公司、上海斗象信息科技有限公司、北京数字观星科技有限公司、阿里巴巴（北京〉软

件服务有限公司、公安部第三研究所、中国科学院大学、北京奇虎科技有限公司。

本标准主要起草人z云晓春、舒敏、崔牧凡、王文磊、严寒冰、贾子挠、陈悦、任泽君、崔婷婷、高继明、

王佳湿、郭亮、谢忱、白晓援、王宏、李斌、孟魁、姜开达、黄道丽、赵旭东、赵芸伟、蒋凌云、郝永乐、叶润国、

刘楠、张玉清、姚一楠，

本标准所代替标准的历次版本发布情况为2

一－GB/T30276-20130

I

GB/T30276-2020

信息安全技术

网络安全漏洞管理规范

1范围

本标准规定了网络安全漏洞管理流程各阶段（包括漏洞发现和报告、接收、验证、处置、发布、跟踪

等）的管理流程、管理要求以及证实方法。

本标准适用于网络产品和服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织等开展的网络

安全漏洞管理活动。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注目期的引用文件，仅注目期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单〉适用于本文件。

GB/T25069信息安全技术术语

GB/T28458-2020信息安全技术网络安全漏洞标识与描述规范

GB/T30279-2020