《信息安全技术 网络安全漏洞管理规范-编制说明》

国家标准报批资料

一、工作简况

1、任务来源

随着网络安全形势的日益严峻，对网络安全漏洞管理要求也越来越高，现行

的《信息安全技术信息安全漏洞管理规范》（GB/T30276-2013）标准不能适应

管理的要求，此外，现行的《信息安全技术安全漏洞分类》（GB/T33561-2017）、

《信息安全技术安全漏洞等级划分指南》（GB/T30279-2013）、《信息安全技

术安全漏洞标识与描述规范》（GB/T28458-2012）和《信息安全技术信息安

全漏洞管理规范》（GB/T30276-2013）四个漏洞标准也缺乏衔接。因此，有必

要对现行的漏洞管理标准进行修订。

2018年,全国信息安全标准化技术委员会(SAC/TC260)提出了对现行四个漏

洞标准的修订计划，将对其中的GB/T33561-2017和GB/T30279-2013两个标准合

并成《信息安全技术网络安全漏洞分类分级划分指南》（GB/T30279-XXXX）

并进行修订，对GB/T28458-2012、GB/T30276-2013两个标准直接进行修订。四

个标准均由全国信息安全标准化技术委员会提出并归口，修订计划获得国标委批

准。

2、标准编制的主要成员单位

《信息安全技术网络安全漏洞管理规范》（GB/T30276-XXXX）由国家计算

机网络应急技术处理协调中心牵头修订，参与单位有中国信息安全测评中心、国

家信息技术安全研究中心、上海交通大学等。

3、主要工作过程

项目启动阶段：

2018年5月25日，TC260秘书处组织召开了这三个标准修订的启动会。各

牵头单位分别介绍了标准修订思路、主要内容，进度计划和存在的难点问题等。

2018年6月6日，本标准修订组向标准参与单位发了《网络安全漏洞管理

规范修订调查问卷》，调研现有漏洞管理的生命周期和流程。

标准修订草案阶段：

2018年6月－10月期间，标准修订组组织标准起草并经过多次集中讨论，

形成了标准修订草案（工作组讨论稿），主要工作过程：

国家标准报批资料

2018年6月13日，标准修订组邀请部分漏洞企业和收录组织召开标准修改

研讨会，确定了标准修订的主要内容和结构。

2018年6月21日，TC260秘书处组织网络安全漏洞标准讨论会，三个牵头

单位分别介绍了标准修订内容，进度计划，调查问卷反馈等情况。

2018年7月8日，TC260秘书处再次组织召开网络安全漏洞协调会，三个牵

头单位分别介绍了标准修订进度及标准修订草案。

2018年7月18日，标准修订组集中讨论起草，形成标准修订草案（初稿），

并征求部分厂商，运营商，漏洞收录组织和科研院所意见，标准修订组根据讨论

意见进行修订，形成标准修订草案（第一稿）。

2018年8月8日，标准修订组再次召集厂商，运营商，漏洞收录组织和科

研院所集中讨论，听取对标准修订草案的意见。标准修订组根据讨论意见进行修

订，形成标准修订草案（第二稿）。

2018年10月16日，TC260WG5组织专家对标准修订草案（第二稿）进行，

标准修订组根据专家意见进行修订，形成标准修订草案（第三稿）。

2018年10月21日，TC260秘书处组织标准协调会，三个牵头单位进行讨

论，标准修订组会议意见进行修订，形成标准修订草案（工作组讨论稿）

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、编制原则

通过对《信息安全技术信息安全漏洞管理规范》（GB/T30276-2013）进行

修订完善，调整标准中与当前网络安全漏洞管理形式不一致、或在标准应用过程

中不适宜的内容，优化网络安全漏洞的管理过程，提升标准的科学性、实用性、

普适性。在研制过程中遵循的漏洞管理原则包括：

（一）客观性原则

漏洞管理应依据漏洞危害等级，影响范围和可利用性等客观因素，遵循必要、

真实、客观及有利于防范和应对漏洞威胁的原则。

（二）及时有效性原则

漏洞管理过程中，对漏洞应及时发现、及时沟通、及时处置,并遵循有效消

除漏洞威胁，进行漏洞处置的原则。

（三）风险最小化原则

国家标准报批资料

漏洞管理各生命周期，都应尽可能消除漏洞风险与隐患，以将用户风险降至

最小。

（四）闭环原则

漏洞管理过程，应具备闭环的漏洞管理全生命周期跟踪处置机制。

（五）合规性原则

遵循国家以及各行业的漏洞管理相关规定，进行漏洞的发现、接收、验证、

处置、发布和督促核查，控制漏洞风险的传播。

2、主要修订内容

本标准对网络安全漏洞管理生命周期各阶段进行规范，以及漏洞相关角色在

漏洞管理生命周期各阶段的管理活动。

本标准适用于厂商、网络运营者、漏洞收录组织、漏洞应急组织、行业管理

部门（漏洞管理部门）和网络安全管理协调部门等进行网络安全漏洞的管理活动。

本标准对《信息安全技术信息安全漏洞管理规范》（GB/T30276-2013）进

行了修订完善，调整原标准中在标准应用中不适宜的内容，优化漏洞管理的流程，

补充完善在漏洞管理各阶段漏洞相关角色的管理活动内容，提升标准的适应性，

为漏洞管理活动奠定基础。

本次标准修订的主要内容包括术语修订、漏洞管理生命周期和流程、以及在

漏洞生命周期管理流程中各相关实体的活动等。

（1）标准结构修订

调整了标准结构，将原标准章节“范围、规范性引用文件、术语和定义、信

息安全漏洞生命周期、信息安全漏洞管理”调整为“范围、规范性引用文件、术

语和定义、网络安全漏洞管理生命周期、网络安全漏洞管理”。

（2）术语修订

根据漏洞管理生命周期涉及的角色，对术语定义做了以下修订，并保证与漏

洞其他两个标准协调一致：

a）新增术语：网络安全漏洞、网络运营者、漏洞关联厂商、漏洞收录组织、

漏洞应急组织、漏洞管理组织。

b）删除术语：修复措施。

（3）重新定义了漏洞管理生命周期的各阶段

国家标准报批资料

现行标准以漏洞管理活动的实施为各阶段划分，未能充分考虑漏洞各生命周

期内关联角色的活动，不便于进行管理规范。因此，本次修订中将以网络安全漏

洞管理生命周期为阶段划分，重新定义了漏洞管理生命周期的各阶段，将原来的

“预防、收集、消减、发布”管理阶段调整为“漏洞发现、漏洞接收、漏洞验证、

漏洞处置、漏洞发布、督促核查”。

（4）补充完善了在漏洞生命周期各阶段中，漏洞关联角色的漏洞管理活动，

对关联角色的漏洞管理活动进行规范和指导。

3、主要章节内容

（一）范围

本标准规定了网络安全漏洞生命周期各阶段的管理要求，包括漏洞发现、接

收、验证、处置、发布、督促等阶段，以及漏洞管理相关角色在生命周期各阶段

的管理活动。

本标准适用于厂商、网络运营者、漏洞收录组织、漏洞应急组织、行业管理

部门（漏洞管理部门）和网络安全管理协调部门等进行网络安全漏洞的管理活动。

（二）网络安全漏洞管理生命周期

依据网络安全漏洞（简称漏洞）从产生到消亡的整个过程，漏洞生命周期

管理包含漏洞发现、漏洞接收、漏洞验证、漏洞处置、漏洞发布、督促核查几个

阶段。

（三）网络安全漏洞管理

规定了漏洞生命周期管理流程，以及在漏洞发现、漏洞接收、漏洞验证、漏

洞处置、漏洞发布、督促核查各阶段漏洞相关角色的管理活动。

三、主要试验[或验证]情况分析

漏洞消控

国家标准报批资料

处置反馈

漏洞发现漏洞接收漏洞验证漏洞处置漏洞发布

个人漏洞报告漏洞关联厂商漏洞关联厂商漏洞关联厂商个人

厂商网络运营者网络运营者网络运营者漏洞关联厂商

网络运营者漏洞收录组织漏洞收录组织漏洞收录组织网络运营者

漏洞收录组织漏洞应急组织漏洞应急组织漏洞收录组织

漏洞管理组织漏洞管理组织漏洞应急组织

接收反馈验证反馈

督促核查

漏洞管理组织

编制组在编制过程中，广泛听取漏洞管理部门、漏洞收录组组织、漏洞关联

厂商、漏洞应急组织的意见。

四、知识产权情况说明

本标准不涉及专利。

五、产业化情况、推广应用论证和预期达到的经济效果

无。

六、采用国际标准和国外先进标准情况

参考了以下几个国际标准:

ISO/IEC30111,Informationtechnology—Securitytechniques—

Vulnerabilityhandingprocesses；

ISO/IEC29147,Informationtechnology—Securitytechniques—

Vulnerabilitydisclosure；

CMU/SEI-2017-SR-022SpecialReport，TheCERT®GuidetoCoordinated

VulnerabilityDisclosure。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准严格遵循《中华人民共和国网络安全法》的要求，与正在修订的GB/T

28458-XXXX《信息安全技术网络安全漏洞标识与描述规范》以及GB/T

30279-XXXX《信息安全技术网络安全漏洞分类分级划分指南》等相关标准的修

订内容协调一致。

八、重大分歧意见的处理经过和依据

本标准编制过程中，标准修订组认真听取专家及各成员单位的意见，并对标

准文稿进行修改。详见标准意见汇总处理表。

国家标准报批资料

九、标准性质的建议

建议本标准作为推荐性国家标准发布实施。

十、贯彻标准的要求和措施建议

在正式执行本标准之前，对标准中的条款进行宣贯，以在利益相关方之间达

成标准条款理解上的一致性。建议在标准实施过程，漏洞管理部门要加强对管理，

督促核查