ICS35.040 L80 C 中华人民共和国国家标准 GB/T 30276—2020 代替GB/T 30276—2013 信息安全技术 网络安全漏洞管理规范 Information security technology Specification for cybersecurity vulnerability management 2020-11-19发布 国家市场监督管理总局 国家标准化管理委员会 发布 2021-06-01实施 前言 本标准按照GB/T 1.1—2009给出的规则起草。本标准代替GB/T 30276—2013《信息安全技术 信息安全漏洞管理规范》。与2013版相比，主要技术变化如下：修改了范围表述；增加了规范性引用文件GB/T 30279—2020，删除GB/T 18336.1—2008；增加相关术语如“提供者”“网络运营者”“漏洞收录组织”“漏洞应急组织”“漏洞发现”“漏洞报告”“漏洞接收”“漏洞验证”“漏洞发布”等；删除“修复措施”“厂商”“漏洞管理组织”“漏洞发现者”等术语；调整漏洞管理流程，将原“预防、收集、消减、发布”调整为“漏洞发现和报告、漏洞接收、漏洞验证、漏洞处置、漏洞发布、漏洞跟踪”，并提出各阶段管理要求；删除附录A（漏洞处理策略）。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位包括国家计算机网络应急技术处理协调中心、中国信息安全测评中心、国家信息技术安全研究中心等多家单位。本标准主要起草人包括云晓春、舒敏、崔牧凡等。本标准历次版本为GB/T 30276—2013。 1 范围 本标准规定了网络安全漏洞管理流程各阶段（包括漏洞发现和报告、漏洞接收、漏洞验证、漏洞处置、漏洞发布、漏洞跟踪等）的管理流程、管理要求以及证实方法。本标准适用于网络产品和服务提供者、网络运营者、漏洞收录组织、漏洞应急组织等开展网络安全漏洞管理活动。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡注日期引用文件，仅注日期版本适用；凡不注日期引用文件，其最新版本（包括所有修改单）适用。 GB/T 25069 信息安全技术 术语 GB/T 28458—2020 信息安全技术 网络安全漏洞标识与描述规范 GB/T 30279—2020 信息安全技术 网络安全漏洞分类分级指南 3 术语和定义 GB/T 25069、GB/T 28458—2020界定的以及下列术语和定义适用于本文件。 3.1 用户 user：使用网络产品和服务的个人或组织。 3.2 提供者 provider of network products and services：提供网络产品和服务的个人或组织。 3.3 网络运营者 network operator：网络的所有者、管理者和网络服务提供者。 3.4 漏洞收录组织 vulnerability repository organization：提供公开渠道接收漏洞信息并建立相应工作流程的组织。