前言 …………………………………………………………………………………………………………1

１ 范围 ……………………………………………………………………………………………………… １

２ 规范性引用文件 ………………………………………………………………………………………… １

３ 术语和定义 ……………………………………………………………………………………………… １

４ 网络安全漏洞管理流程 ………………………………………………………………………………… ２

５ 网络安全漏洞管理要求 ………………………………………………………………………………… ３

５．１ 漏洞发现和报告 …………………………………………………………………………………… ３

５．２ 漏洞接收 …………………………………………………………………………………………… ３

５．３ 漏洞验证 …………………………………………………………………………………………… ３

５．４ 漏洞处置 …………………………………………………………………………………………… ４

５．５ 漏洞发布 …………………………………………………………………………………………… ５

５．６ 漏洞跟踪 …………………………………………………………………………………………… ５

６ 证实方法 ………………………………………………………………………………………………… ５

参考文献……………………………………………………………………………………………………… ６
前 言
本标准按照GB/T 1.1一2009 给出的规则起草。
本标准代替GB/T 30276一2013《信息安全技术 信息安全漏洞管理规范》，与GB/T 30276一2013 相比，主要技术变化如下∶
——修改了范围的表述（见第1章，2013年版的第1章）;
——增加了规范性引用文件GB/T30279一2020，删除了规范性引用文件GB/T18336，1一2008（见第 2章，2013年版的第 2章）;，
——增加了术语"（网络产品和服务的）提供者""网络运营者""漏洞收录组织""漏洞应急组织""漏洞发现""漏洞报告""漏洞接收""漏洞验证""漏洞发布"（见3.2、3.3.3.4.3.5.3.6.3.7.3.8.39。3.10);
——删除了术语"修复措施""厂商""漏洞管理组织""漏洞发现者"（2013年版的3.1、3.3、3.4、3.5）;
——修改了漏洞管理流程，从漏洞管理的角度出发，重新定义了漏洞管理流程的各阶段，将原来的"预防、收集、消减、发布"管理阶段调整为"漏洞发现和报告、漏洞接收、漏洞验证、漏洞处置、漏洞发布、漏洞跟踪"，并提出各管理阶段中各相关角色应遵循的要求（见第 4 章、第 5章，2013 年版的第4章、第5章）;
——删除了"附录 A（规范性附录） 漏洞处理策略"（2013年版的附录 A）。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。