前言

本標準按照 GB/T1.1—2009給出的規則起草。

本標準代替 GB/T30276—2013《信息安全技術 信息安全漏洞管理規范》，與 GB/T30276—2013

相比，主要技術變化如下:

———修改了范圍的表述(見第1章，2013年版的第1章);

— — — 增 加 了 規 范 性 引 用 文 件 G B / T 3 0 2 7 9 — 2 0 2 0 ， 刪 除 了 規 范 性 引 用 文 件 G B / T 1 8 3 3 6 .1 — 2 0 0 8 ( 見第2章，2013年版的第2章);

———增加了術語“(網絡產品和服務的)提供者”“網絡運營者”“漏洞收錄組織”“漏洞應急組織”“漏洞發現”“漏洞報告”“漏洞接收”“漏洞驗證”“漏洞發布”(見3.2、3.3、3.4、3.5、3.6、3.7、3.8、3.9、3.10);

———刪除了術語“修復措施”“廠商”“漏洞管理組織”“漏洞發現者”(2013年版的3.1、3.3、3.4、3.5);

———修改了漏洞管理流程，從漏洞管理的角度出發，重新定義了漏洞管理流程的各階段，將原來的“預防、收集、消減、發布”管理階段調整為“漏洞發現和報告、漏洞接收、漏洞驗證、漏洞處置、漏 洞 發 布 、漏 洞 跟 蹤 ”，并 提 出 各 管 理 階 段 中 各 相 關 角 色 應 遵 循 的 要 求 (見 第 4 章 、第 5 章 ，2013 年版的第4章、第5章);

——— 刪 除 了 “附 錄 A (規 范 性 附 錄 ) 漏 洞 處 理 策 略 ”(2013 年 版 的 附 錄 A )。

請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。

本標準由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。

本標準起草單位:國家計算機網絡應急技術處理協調中心、中國信息安全測評中心、國家信息技術安全研究中心、中國電子技術標準化研究院、上海交通大學、恒安嘉新(北京)科技股份公司、網神信息技 術(北京)股份有限公司、上海斗象信息科技有限公司、北京數字觀星科技有限公司、阿里巴巴(北京)軟 件服務有限公司、公安部第三研究所、中國科學院大學、北京奇虎科技有限公司。

本標準主要起草人:云曉春、舒敏、崔牧凡、王文磊、嚴寒冰、賈子驍、陳悅、任澤君、崔婷婷、高繼明、 王桂溫、郭亮、謝忱、白曉媛、王宏、李斌、孟魁、姜開達、黃道麗、趙旭東、趙蕓偉、蔣凌云、郝永樂、葉潤國、 劉楠、張玉清、姚一楠。

本標準所代替標準的歷次版本發布情況為:

———GB/T30276—2013。