信息安全技术 网络安全漏洞分类分级指南-编制说明.pdfVIP

国家标准《信息安全技术网络安全漏洞分类分级规范》

（草案）编制说明

一、工作简况

1.1任务来源

根据国家标准化委员会于2018年下达的国家标准修订计划，《信息安全技

术网络安全漏洞分类分级指南》由中国信息安全测评中心作为承担单位。该标

准由全国信息安全标准化技术委员会归口管理。

1.2主要起草单位和工作组成员

本标准由中国信息安全测评中心（以下简称“国测”）牵头，国家信息技术

安全研究中心、国家计算机网络应急技术处理协调中心、中国电子技术标准化研

究院等多家单位共同参与编制。

1.3主要工作过程

(1)2018年5月，组织参与本标准编写的相关单位召开项目启动会，成立规

范编制小组，确立各自分工，进行初步设计，并听取各协作单位的相关意见。

(2)2018年6月，编制组通过问卷调查的方式，向安全公司、专家收集关于

分类分级国标的修订意见，整理相关意见形成了《信息安全漏洞分类分级修订建

议调查情况》。编制组同时对国内外漏洞分类分级的现状做了调研，整理出《信

息安全漏洞分类分级修订相关情况调研与分析》报告，进一步佐证了标准修订的

必要性以及提供了标准修订的依据。

(3)2018年7月，编制组结合充分的调研结果，参考CWE、CVSS等国际

通用漏洞分类分级方法，提出详细的标准修订计划，形成标准草案第一稿。

(4)2018年8月，编制组召开组内研讨会，基于前期成果，经多次内部讨论

研究，组织完善草案内容，形成草案第二稿。

1

(5)2018年9月，编制组继续研究讨论，并与国内其他漏洞平台运营单位进

行交流，吸收各位专家的意见，反复修订完善草案，形成草案第三稿。

(6)2018年10月8日，编制组召开针对草案第三稿的讨论会，会上各参与

单位的代表对漏洞分类分级的具体内容进行了深入讨论。根据讨论结果，编制组

对草案进行进一步修改，形成草案第四稿。

(7)2018年10月15日，安标委组织WG5组相关专家召开评审会，对项目

进行评审，审阅了标准草案文本、编制说明、意见汇总表等项目相关文档，质询

了有关问题，提出增加网络安全漏洞分类分级概述说明、细化编制说明、增加实

验验证和使用情况说明、简化分级评价指标等意见。根据专家意见，编制组对草

案进行进一步修改，形成草案第五稿。

(8)2018年10月19日，中国电子技术标准化研究院组织本标准、“信息

安全技术网络安全漏洞管理规范”和“信息安全技术网络安全漏洞标识与描

述规范”等三个编制组召开研讨会，明确规范三个标准采用的定义和术语等内容，

进一步加强了标准的关联性和准确性。

(9)2018年10月24日，在2018年第二次全体会议WG5组工作会议上，

编制组将草案编制情况向WG5组成员单位进行了介绍，并对成员单位意见进行

应答；通过草案评审，根据专家和成员单位意见对草案进行进一步修改，形成征

求意见稿。

(10)2018年11月21日，安标委组织本标准的专家审查会，着重对10

月24日会议专家意见的应答修改情况进行核查，并对标准文本、编制说明等材

料进行总体审查，提出进一步的修改意见。编制组对专家意见进行应答，并根据

采纳和部分采纳的专家意见内容，对标准文本和编制说明进行修改，更新专家意

见汇总表。

二、标准编制原则和确定主要内容的论据及解决的主要问题

2.1编制原则

2

本标准的研究与编制工作遵循以下原则：

(1)通用性原则

本标准在原国标GB-T33561-2017《信息安全技术安全漏洞分类》的基础

上，结合国内外漏洞分类分级相关领域的最新成果，如国家信息安全漏洞库

（CNNVD）、国家信息安全漏洞共享平台（CNVD）等国家级漏洞库的实践标

准，以及MITRE公司推出的通用缺陷枚举（CWE）、通用漏洞评价系统（CVSS

3.0）等，既保证标准编制内容的科学性，又使得标准内容更加符合我国国情。

(2)符合性原则

遵循国家现有漏洞相关标准，符合国家有