标准解读

《GB/T 30276-2020 信息安全技术 网络安全漏洞管理规范》相对于《GB/T 30276-2013 信息安全技术 信息安全漏洞管理规范》在多个方面进行了更新与调整,以适应网络安全形势的发展和技术的进步。这些变化主要体现在以下几个方面:

一、名称变更:从“信息安全漏洞管理”变更为“网络安全漏洞管理”,更加聚焦于网络环境下的安全管理需求。

二、适用范围扩大:新标准不仅适用于政府机构、企事业单位等组织进行网络安全漏洞的管理工作,还特别强调了对关键信息基础设施运营者的指导意义,反映了近年来国家对于重要信息系统保护力度加大的趋势。

三、内容细化:2020版增加了更多关于漏洞发现、报告、评估、处置以及反馈等全流程的具体要求和指南,为实际操作提供了更详细的参考依据。例如,在漏洞收集阶段,明确了公开渠道获取信息的原则;在处理过程中,则强调了优先级划分的重要性,并给出了基于影响程度与利用难度相结合的风险评价方法。

四、加强国际合作交流:鼓励国内相关方积极参与国际间的信息共享活动,通过建立合作关系促进全球范围内威胁情报的有效传播与利用,共同提高应对新型攻击手段的能力。

五、强化法律法规遵从性:新版标准中多次提到需遵守国家有关法律、行政法规及部门规章的规定,确保所有活动都在合法合规的前提下开展。

六、增加附录部分:为了帮助用户更好地理解和应用本标准,新增了多个附录,包括但不限于术语定义、案例分析等内容,使得文档结构更加完整且易于理解。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2020-11-19 颁布
  • 2021-06-01 实施
©正版授权
GB/T 30276-2020信息安全技术网络安全漏洞管理规范_第1页
GB/T 30276-2020信息安全技术网络安全漏洞管理规范_第2页
GB/T 30276-2020信息安全技术网络安全漏洞管理规范_第3页
GB/T 30276-2020信息安全技术网络安全漏洞管理规范_第4页
免费预览已结束,剩余8页可下载查看

下载本文档

免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T30276—2020

代替

GB/T30276—2013

信息安全技术

网络安全漏洞管理规范

Informationsecuritytechnology—

Specificationforcybersecurityvulnerabilitymanagement

2020-11-19发布2021-06-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T30276—2020

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

网络安全漏洞管理流程

4…………………2

网络安全漏洞管理要求

5…………………3

漏洞发现和报告

5.1……………………3

漏洞接收

5.2……………3

漏洞验证

5.3……………3

漏洞处置

5.4……………4

漏洞发布

5.5……………5

漏洞跟踪

5.6……………5

证实方法

6…………………5

参考文献

………………………6

GB/T30276—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术信息安全漏洞管理规范与

GB/T30276—2013《》,GB/T30276—2013

相比主要技术变化如下

,:

修改了范围的表述见第章年版的第章

———(1,20131);

增加了规范性引用文件删除了规范性引用文件见

———GB/T30279—2020,GB/T18336.1—2008(

第章年版的第章

2,20132);

增加了术语网络产品和服务的提供者网络运营者漏洞收录组织漏洞应急组织漏

———“()”“”“”“”“

洞发现漏洞报告漏洞接收漏洞验证漏洞发布见

”“”“”“”“”(3.2、3.3、3.4、3.5、3.6、3.7、3.8、3.9、

3.10);

删除了术语修复措施厂商漏洞管理组织漏洞发现者年版的

———“”“”“”“”(20133.1、3.3、3.4、3.5);

修改了漏洞管理流程从漏洞管理的角度出发重新定义了漏洞管理流程的各阶段将原来的

———,,,

预防收集消减发布管理阶段调整为漏洞发现和报告漏洞接收漏洞验证漏洞处置漏

“、、、”“、、、、

洞发布漏洞跟踪并提出各管理阶段中各相关角色应遵循的要求见第章第章

、”,(4、5,2013

年版的第章第章

4、5);

删除了附录规范性附录漏洞处理策略年版的附录

———“A()”(2013A)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位国家计算机网络应急技术处理协调中心中国信息安全测评中心国家信息技术

:、、

安全研究中心中国电子技术标准化研究院上海交通大学恒安嘉新北京科技股份公司网神信息技

、、、()、

术北京股份有限公司上海斗象信息科技有限公司北京数字观星科技有限公司阿里巴巴北京软

()、、、()

件服务有限公司公安部第三研究所中国科学院大学北京奇虎科技有限公司

、、、。

本标准主要起草人云晓春舒敏崔牧凡王文磊严寒冰贾子骁陈悦任泽君崔婷婷高继明

:、、、、、、、、、、

王桂温郭亮谢忱白晓媛王宏李斌孟魁姜开达黄道丽赵旭东赵芸伟蒋凌云郝永乐叶润国

、、、、、、、、、、、、、、

刘楠张玉清姚一楠

、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T30276—2013。

GB/T30276—2020

信息安全技术

网络安全漏洞管理规范

1范围

本标准规定了网络安全漏洞管理流程各阶段包括漏洞发现和报告接收验证处置发布跟踪

(、、、、、

等的管理流程管理要求以及证实方法

)、。

本标准适用于网络产品和服务的提供者网络运营者漏洞收录组织漏洞应急组织等开展的网络

、、、

安全漏洞管理活动

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069

信息安全技术网络安全漏洞标识与描述规范

GB/T28458—2020

信息安全技术网络安全漏洞分类分级指南

GB/T30279—2020

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069、GB/T28458—2020。

31

.

用户user

使用网络产品和服务的个人或组织

32

.

网络产品和服务的提供者providerofnetworkproductsandservices

()

提供网络产品和服务的个人或组织

33

.

网络运营者networkoperator

网络的所有者

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论