GB/T 30276-2020.Information security technology-Specification for cybersecurity vulnerability management.
1范围
GB/T 30276规定了网络安全漏洞管理流程各阶段(包括漏洞发现和报告、接收、验证、处置、发布、跟踪等)的管理流程、管理要求以及证实方法。
GB/T 30276适用于网络产品和服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织等开展的网络安全漏洞管理活动。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069信息安全技术 术语
GB/T 28458-2020 信息安全技术 网络 安全漏洞标识与描述规范
GB/T 30279-2020信息安全技术网络安全漏洞分类分级指南
3术语和定义
GB/T 25069、GB/T 28458-2020 界定的以及下列术语和定义适用于本文件。
3.1
用户 user
使用网络产品和服务的个人或组织。
3.2
(网络产品和服务的)提供者 provider of network products and services
提供网络产品和服务的个人或组织。
3.3
网络运营者 network operator
网络的所有者、管理者和网络服务提供者。
3.4
漏洞收录组织 vulnerability repository organization
提供公开渠道接收漏洞信息,并建有相应工作流程的组织。
3.5
漏洞应急组织 vulnerability emergency response organization
与提供者、网络运营者、漏洞收录组织、网络运营者、安全研究机构、网络安全企业等建有成熟的技术协作体系、负责安全漏洞的响应和处置工作的网络安全应急协调组织。
3.6
漏洞发现 vulnerability discovery
通过技术手段,识别出网络产品和服务存在漏洞的过程。