《信息安全技術—網路安全漏洞管理規範》(GB/T 30276-2020)是2021年6月1日實施的一項中華人民共和國國家標準,歸口於全國信息安全標準化技術委員會。
《信息安全技術—網路安全漏洞管理規範》(GB/T 30276-2020)規定了網路安全漏洞管理流程各階段(包括漏洞發現和報告、接收、驗證、處置、發布、跟蹤等)的管理流程、管理要求以及證實方法。該標準適用於網路產品和服務的提供者、網路運營者、漏洞收錄組織、漏洞應急組織等開展的網路安全漏洞管理活動。
基本介紹
- 中文名:信息安全技術—網路安全漏洞管理規範
- 外文名:Information security technology—Specification for cybersecurity vulnerability management
- 標準號:GB/T 30276-2020
- 發布日期:2020-11-19
- 實施日期:2021-06-01
- 全部代替標準:GB/T 30276-2013
- 中國標準分類號:L80
- 國際標準分類號:35.040
- 歸口單位:全國信息安全標準化技術委員會
- 執行單位:全國信息安全標準化技術委員會
- 主管部門:中華人民共和國國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,修訂背景,編制進程,修訂依據,修訂情況,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
修訂背景
從國家安全戰略的層面來看,網路安全漏洞是一種重要的戰略資源。世界各網路強國均高度重視漏洞資源的管控,出台了一系列的政策、標準和法規對其進行收集和管理。在網路安全被提升到國家安全高度的今天,中國也需要解決安全漏洞資源的戰略重要性和管理迫切性,因此中國網路安全相關管理機構迫切需要出台相應的管理制度、協定與標準以及法律法規等,圍繞安全漏洞全生命周期的一系列行為,包括漏洞發現、驗證、處置以及發布的管理行為進行規範和管控。
隨著網路安全形勢的日益嚴峻,對作為國家戰略資源的漏洞管理要求也越來越高,現行的《信息安全技術—信息安全漏洞管理規範》(GB/T 30276-2013)標準已經不能適應管理的要求,因此,需要對現行的漏洞管理標準進行修訂。
編制進程
- 標準計畫
2019年3月28日,國家標準計畫《信息安全技術—網路安全漏洞管理規範》(20190912-T-469)下達,項目周期24個月,由TC260(全國信息安全標準化技術委員會)提出並歸口上報及執行,主管部門為中華人民共和國國家標準化管理委員會。
- 發布實施
2020年11月19日,國家標準《信息安全技術—網路安全漏洞管理規範》(GB/T 30276-2020)由中華人民共和國國家市場監督管理總局、中華人民共和國國家標準化管理委員會發布。
2021年6月1日,國家標準《信息安全技術—網路安全漏洞管理規範》(GB/T 30276-2020)實施。
修訂依據
國家標準《信息安全技術—網路安全漏洞管理規範》(GB/T 30276-2020)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫》(GB/T 1.1-2009)規則起草。
修訂情況
《信息安全技術—網路安全漏洞管理規範》(GB/T 30276-2020)代替《信息安全技術—信息安全漏洞管理規範》(GB/T 30276-2013),與《信息安全技術—信息安全漏洞管理規範》(GB/T 30276-2013)相比,主要技術變化如下:
- 修改了範圍的表述;
- 增加了規範性引用檔案GB/T 30279-2020,刪除了規範性引用檔案GB/T 18336.1-2008;
- 增加了術語“(網路產品和服務的)提供者”“網路運營者”“漏洞收錄組織”“漏洞應急組織”“漏洞發現”“漏洞報告”“漏洞接收”“漏洞驗證”“漏洞發布”;
- 刪除了術語“修復措施”“廠商”“漏洞管理組織”“漏洞發現者”;
- 修改了漏洞管理流程,從漏洞管理的角度出發,重新定義了漏洞管理流程的各階段,將原來的“預防、收集、消減、發布”管理階段調整為“漏洞發現和報告、漏洞接收、漏洞驗證、漏洞處置、漏洞發布、漏洞跟蹤”,並提出各管理階段中各相關角色應遵循的要求;
- 刪除了“附錄A(規範性附錄)漏洞處理策略”。
起草工作
主要起草單位:國家計算機網路應急技術處理協調中心、中國信息安全測評中心、國家信息技術安全研究中心、中國電子技術標準化研究院、上海交通大學、恆安嘉新(北京)科技股份公司、網神信息技術(北京)股份有限公司、上海斗象信息科技有限公司、北京數字觀星科技有限公司、阿里巴巴(北京)軟體服務有限公司、公安部第三研究所、中國科學院大學、北京奇虎科技有限公司。
主要起草人:雲曉春、舒敏、崔牧凡、王文磊、嚴寒冰、賈子驍、陳悅、任澤君、崔婷婷、高繼明、王桂溫、郭亮、謝忱、白曉媛、王宏、李斌、孟魁、姜開達、黃道麗、趙旭東、趙芸偉、蔣凌雲、郝永樂、葉潤國、劉楠、張玉清、姚一楠。
標準目次
前言 | Ⅰ |
|---|---|
1範圍 | 1 |
2規範性引用檔案 | 1 |
3術語和定義 | 1 |
4網路安全漏洞管理流程 | 2 |
5網路安全漏洞管理要求 | 3 |
6證實方法 | 5 |
參考文獻 | 6 |
參考資料:
內容範圍
《信息安全技術—網路安全漏洞管理規範》(GB/T 30276-2020)規定了網路安全漏洞管理流程各階段(包括漏洞發現和報告、接收、驗證、處置、發布、跟蹤等)的管理流程、管理要求以及證實方法。該標準適用於網路產品和服務的提供者、網路運營者、漏洞收錄組織、漏洞應急組織等開展的網路安全漏洞管理活動。
引用檔案
GB/T 25069 信息安全技術—術語 | GB/T 28458-2020 信息安全技術—網路安全漏洞標識與描述規範 |
GB/T 30279-2020 信息安全技術—網路安全漏洞分類分級指南 | - |
參考資料:
意義價值
《信息安全技術—網路安全漏洞管理規範》(GB/T 30276-2020)的實施,對漏洞關聯角色在漏洞全生命周期內的管理活動進行規範和指導,減少漏洞信息管理的安全隱患,降低安全風險。
