GB/T 30276-2013信息安全技術信息安全漏洞管理規(guī)范

ICS35040

L80.

中華人民共和國國家標準

GB/T30276—2013

信息安全技術信息安全漏洞管理規(guī)范

Informationsecuritytechnology—

Vulnerabilitymanagementcriterionspecification

2013-12-31發(fā)布2014-07-15實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T30276—2013

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件某些內(nèi)容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

,。

本標準起草單位中國信息安全測評中心國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心國家信息技術

:、、

安全研究中心

。

本標準主要起草人劉暉王明華宮亞峰易錦劉彥釗熊琦張磊趙向輝劉林吳潤浦李娟

:、、、、、、、、、、、

姚原崗何世平王宏

、、。

Ⅰ

GB/T30276—2013

信息安全技術

信息安全漏洞管理規(guī)范

1范圍

本標準規(guī)定了信息安全漏洞的管理要求涉及漏洞的發(fā)現(xiàn)利用修復和公開等環(huán)節(jié)

,、、。

本標準適用于用戶廠商和漏洞管理組織進行信息安全漏洞的管理活動包括漏洞的預防收集消

、,、、

減和發(fā)布

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術安全技術信息技術安全性評估準則

GB/T18336.1—2008

信息安全技術術語

GB/T25069—2010

信息安全技術安全漏洞標識與描述規(guī)范

GB/T28458—2012

3術語和定義

和中界定的以及下列術語和定義適用于本文件

GB/T25069—2010GB/T18336.1—2008。

31

.

修復措施remediation

用以修復漏洞的補丁升級版本配置策略等

、、。

32

.

用戶user

使用信息系統(tǒng)的個人或組織

。

33

.

廠商vendor

開發(fā)信息系統(tǒng)的組織

。

34

.

漏洞管理組織vulnerabilitymanagementorganization

協(xié)調(diào)廠商和漏洞發(fā)現(xiàn)者處理漏洞信息的組織

。

注組織包括國家信息安全主管部門等

:。

35

.

漏洞發(fā)現(xiàn)者vulnerabilityfinder

發(fā)現(xiàn)信息系統(tǒng)中潛在漏洞的個人或組織

。

4信息安全漏洞生命周期

依據(jù)信息安全漏洞簡稱漏洞從產(chǎn)生到消亡的整個過程信息安全漏洞生命周期分以下幾個階段