GB/T 30276-2013信息安全技術(shù)信息安全漏洞管理規(guī)范

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T30276—2013

信息安全技術(shù)信息安全漏洞管理規(guī)范

Informationsecuritytechnology—

Vulnerabilitymanagementcriterionspecification

2013-12-31發(fā)布2014-07-15實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T30276—2013

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

,。

本標(biāo)準(zhǔn)起草單位中國(guó)信息安全測(cè)評(píng)中心國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心國(guó)家信息技術(shù)

:、、

安全研究中心

。

本標(biāo)準(zhǔn)主要起草人劉暉王明華宮亞峰易錦劉彥釗熊琦張磊趙向輝劉林吳潤(rùn)浦李娟

:、、、、、、、、、、、

姚原崗何世平王宏

、、。

Ⅰ

GB/T30276—2013

信息安全技術(shù)

信息安全漏洞管理規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了信息安全漏洞的管理要求涉及漏洞的發(fā)現(xiàn)利用修復(fù)和公開等環(huán)節(jié)

,、、。

本標(biāo)準(zhǔn)適用于用戶廠商和漏洞管理組織進(jìn)行信息安全漏洞的管理活動(dòng)包括漏洞的預(yù)防收集消

、,、、

減和發(fā)布

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則

GB/T18336.1—2008

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范

GB/T28458—2012

3術(shù)語(yǔ)和定義

和中界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069—2010GB/T18336.1—2008。

31

.

修復(fù)措施remediation

用以修復(fù)漏洞的補(bǔ)丁升級(jí)版本配置策略等

、、。

32

.

用戶user

使用信息系統(tǒng)的個(gè)人或組織

。

33

.

廠商vendor

開發(fā)信息系統(tǒng)的組織

。

34

.

漏洞管理組織vulnerabilitymanagementorganization

協(xié)調(diào)廠商和漏洞發(fā)現(xiàn)者處理漏洞信息的組織

。

注組織包括國(guó)家信息安全主管部門等

:。

35

.

漏洞發(fā)現(xiàn)者vulnerabilityfinder

發(fā)現(xiàn)信息系統(tǒng)中潛在漏洞的個(gè)人或組織

。

4信息安全漏洞生命周期

依據(jù)信息安全漏洞簡(jiǎn)稱漏洞從產(chǎn)生到消亡的整個(gè)過程信息安全漏洞生命周期分以下幾個(gè)階段