信息安全技術(shù) 信息安全漏洞管理規(guī)范-編制說(shuō)明

PAGE《信息安全技術(shù)信息安全漏洞管理規(guī)范》（送審稿）編制說(shuō)明一、任務(wù)來(lái)源2010年，經(jīng)國(guó)標(biāo)委批準(zhǔn)，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）主任辦公會(huì)討論通過(guò)，研究制定《信息安全技術(shù)信息安全漏洞管理規(guī)范》國(guó)家標(biāo)準(zhǔn),國(guó)標(biāo)計(jì)劃號(hào)：20110388-T-469。該項(xiàng)目由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口，由中國(guó)信息安全測(cè)評(píng)中心負(fù)責(zé)主辦。二、編制目標(biāo)《信息安全技術(shù)信息安全漏洞管理規(guī)范》通過(guò)對(duì)信息安全漏洞的發(fā)現(xiàn)、驗(yàn)證、修復(fù)和發(fā)布等環(huán)節(jié)進(jìn)行研究，探討用戶、廠商以及漏洞管理組織在處理漏洞過(guò)程中所應(yīng)遵循的原則、采取的措施、應(yīng)盡的責(zé)任和義務(wù)，通過(guò)建立有效的漏洞處置機(jī)制，使得因漏洞帶來(lái)的損失減少到最低，有效提高我國(guó)的信息安全保障水平。三、國(guó)內(nèi)外信息安全漏洞管理情況3.1國(guó)際現(xiàn)狀（1）目前國(guó)外主要的信息安全漏洞管理方面的標(biāo)準(zhǔn)：漏洞和補(bǔ)丁管理方案（SP800-40v2）ISO/IEC27001信息技術(shù)安全技術(shù)信息安全管理系統(tǒng)-要求ISO/IEC27034信息技術(shù)安全技術(shù)應(yīng)用安全I(xiàn)SO/IEC28001供應(yīng)鏈安全管理體系實(shí)施、評(píng)估和規(guī)劃供應(yīng)鏈安全的最佳實(shí)踐-要求和指南ISO/IEC17799信息安全管理實(shí)踐指南ISO/IEC29147信息技術(shù)安全技術(shù)漏洞披露ISO/IEC30111信息技術(shù)安全技術(shù)漏洞處理過(guò)程（2）漏洞處理組織或廠商及其主要管理措施：CVE通用漏洞和暴露。CVE在漏洞管理方面已獲得世界各國(guó)的認(rèn)可，CVE編號(hào)已成為漏洞的通用標(biāo)識(shí)，被廣泛引用。CVE的編輯部決定哪些漏洞和暴露要包含進(jìn)CVE，編輯部（EditorialBoard）成員包括了各類信息安全的組織，包括：商業(yè)安全工具廠商，學(xué)術(shù)界，研究機(jī)構(gòu)，政府機(jī)構(gòu)和業(yè)界知名的安全專家。通過(guò)開(kāi)放和合作式的討論，確定每個(gè)條目的公共名稱和描述。編輯部會(huì)議和討論的內(nèi)容會(huì)保存在網(wǎng)站中。CVE的漏洞處理過(guò)程主要包括收集、編號(hào)、提案、修改、中間決策、最終決策、正式發(fā)布、再次評(píng)估和撤銷。CVE為每個(gè)漏洞確定唯一的名稱和標(biāo)準(zhǔn)化描述。NVD（NationalVulnerabilityDatabase）美國(guó)國(guó)家漏洞庫(kù)NVD由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)委員會(huì)中的計(jì)算機(jī)安全資源中心創(chuàng)建，是美國(guó)政府基于標(biāo)準(zhǔn)的漏洞管理數(shù)據(jù)資源庫(kù)，這些數(shù)據(jù)使用SCAP（SecurityContentAutomationProtocol）表示，這些數(shù)據(jù)實(shí)現(xiàn)了自動(dòng)化漏洞管理、度量，以及安全策略符合性評(píng)估。NVD嚴(yán)格采用《通用漏洞披露》CVE（CommonVulnerabilityandExposures）的命名標(biāo)準(zhǔn)，即所有的漏洞都有CVE編號(hào)；漏洞評(píng)級(jí)遵照《通用漏洞評(píng)估系統(tǒng)》CVSS（CommonVulnerabilityScoringSystem）進(jìn)行危害性評(píng)估；受影響的系統(tǒng)和軟件使用《通用平臺(tái)列舉》CPE（CommonPlatformEnumeration）規(guī)范的語(yǔ)言進(jìn)行描述；漏洞分類則按照《通用缺陷列舉》CWE（CommonWeaknessEnumeration）進(jìn)行劃分。微軟公司漏洞處理措施微軟公司成立可信賴計(jì)算中心負(fù)責(zé)微軟的產(chǎn)品安全，其主要職責(zé)是1）開(kāi)發(fā)高質(zhì)量的安全更新；2）利用基于社區(qū)的防御，通過(guò)行業(yè)的力量（通過(guò)合作伙伴、公共組織、客戶和安全研究人員）來(lái)減少漏洞攻擊；3）利用全面的安全響應(yīng)流程，最大限度地減少業(yè)務(wù)中斷。微軟公司通過(guò)安全響應(yīng)中心及時(shí)對(duì)外發(fā)布最新漏洞的機(jī)理分析、處理方法以及臨時(shí)的解決方案，及時(shí)處理由于微軟產(chǎn)品而導(dǎo)致的各類安全事件，使安全問(wèn)題得到及時(shí)溝通和有效處置。微軟公司通過(guò)嚴(yán)格實(shí)行安全開(kāi)發(fā)生命周期以保證產(chǎn)品的安全，通過(guò)利用DEP、SHE等安全及時(shí)有效提高產(chǎn)品的安全防護(hù)水平，有效防范軟件漏洞的惡意利用。（3）學(xué)術(shù)界在漏洞的披露、漏洞處置策略和漏洞管理方面進(jìn)行廣泛深入研究，發(fā)表了多篇有價(jià)值的論文。3.2國(guó)內(nèi)現(xiàn)狀國(guó)內(nèi)在信息安全漏洞管理方面處于發(fā)展階段，目前國(guó)內(nèi)已建立了第三方漏洞庫(kù)和廠商依托于自身業(yè)務(wù)的漏洞庫(kù)，已建立了漏洞的收集與處置機(jī)制，對(duì)我國(guó)信息技術(shù)產(chǎn)品的漏洞發(fā)現(xiàn)、驗(yàn)證和修復(fù)起到了積極的推動(dòng)作用。表1國(guó)內(nèi)主要安全漏洞庫(kù)情況介紹漏洞庫(kù)運(yùn)營(yíng)單位介紹備注中國(guó)國(guó)家信息安全漏洞庫(kù)中國(guó)信息安全測(cè)評(píng)中心已建立漏洞的收集、驗(yàn)證、修復(fù)、發(fā)布等漏洞處置與管理規(guī)范，通過(guò)網(wǎng)站對(duì)外發(fā)布漏洞及修復(fù)措施。其漏洞主要涵蓋CVE、Bugtraq和公開(kāi)收集漏洞。國(guó)家信息安全漏洞共享平臺(tái)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心和國(guó)家信息技術(shù)安全研究中心通過(guò)漏洞共享平臺(tái)收集和處置漏洞信息，通過(guò)網(wǎng)站對(duì)外發(fā)布漏洞及修復(fù)措施。其漏洞主要涵蓋CVE、Bugtraq和公開(kāi)收集漏洞。入侵防范中心安全漏洞庫(kù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心通過(guò)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心網(wǎng)站發(fā)布漏洞信息。Sebug漏洞庫(kù)信息安全愛(ài)好者通過(guò)發(fā)布漏洞信息，具有良好的漏洞分類、產(chǎn)品分類信息。烏云漏洞庫(kù)信息安全愛(ài)好者主要公開(kāi)收集和處置Web類漏洞，已與國(guó)內(nèi)146家廠商或組織建立了合作關(guān)系，協(xié)調(diào)漏洞的收集與修復(fù)。綠盟科技漏洞庫(kù)中聯(lián)綠盟信息技術(shù)（北京）有限公司在國(guó)內(nèi)最早建立的漏洞庫(kù)，長(zhǎng)期跟蹤國(guó)際知名漏洞庫(kù)CVE、Bugtraq和Secunia。啟明星辰漏洞庫(kù)北京啟明星辰信息技術(shù)有限公司長(zhǎng)期跟蹤國(guó)際知名漏洞庫(kù)CVE、Bugtraq和Secunia。從表1可以看出，我國(guó)現(xiàn)在已經(jīng)建立了漏洞處置的渠道，但是目前信息技術(shù)廠商、漏洞發(fā)現(xiàn)者、信息安全廠商和用戶之間相互協(xié)調(diào)、參與漏洞的發(fā)現(xiàn)、消除的積極程度并不高，尚未形成統(tǒng)一的管理規(guī)范，使得我國(guó)大部分信息技術(shù)產(chǎn)品的漏洞并未得到及時(shí)有效的發(fā)現(xiàn)、修復(fù)和發(fā)布，長(zhǎng)此以往不利于提高我國(guó)信息技術(shù)產(chǎn)品的安全水平。3.3比較與信息安全漏洞管理規(guī)范有關(guān)的國(guó)際標(biāo)準(zhǔn)有ISO/IEC29147、ISO/IEC30111等。在ISO/IEC29147中定義的漏洞利益相關(guān)者包括用戶、廠商、漏洞發(fā)現(xiàn)者、協(xié)調(diào)員和漏洞，詳細(xì)闡述了廠商在漏洞披露過(guò)程中應(yīng)做的工作，對(duì)廠商來(lái)說(shuō)ISO/IEC29147有較強(qiáng)的可操作性。在ISO/IEC29147中廠商是整個(gè)漏洞披露過(guò)程的核心，漏洞的披露可以通過(guò)通過(guò)協(xié)調(diào)員來(lái)完成，也可以由廠商直接完成。ISO/IEC30111主要針對(duì)漏洞收集的過(guò)程進(jìn)行詳細(xì)描述，主要包括報(bào)告接收、驗(yàn)證、開(kāi)發(fā)解決方案和發(fā)布漏洞及解決方案。介紹了廠商在處理漏洞時(shí)各相關(guān)部門的職責(zé)要求及相關(guān)協(xié)作。本標(biāo)準(zhǔn)根據(jù)漏洞生命周期，將漏洞管理行為對(duì)應(yīng)為預(yù)防、收集、消減和發(fā)布等實(shí)施活動(dòng)，將漏洞管理活動(dòng)的參與者定為廠商、漏洞管理組織、用戶和漏洞發(fā)現(xiàn)者。在每個(gè)實(shí)施活動(dòng)中對(duì)每個(gè)角色規(guī)定了相應(yīng)的原則及操作?？傮w來(lái)說(shuō)，信息安全漏洞管理規(guī)范概括全面，對(duì)于漏洞披露中的各個(gè)角色具有指導(dǎo)意義。四、編制原則信息安全漏洞管理的目的是通過(guò)建立信息安全漏洞的處置機(jī)制，使得漏洞發(fā)現(xiàn)者、用戶、信息技術(shù)廠商、信息安全廠商和漏洞管理組織之間能夠相互協(xié)調(diào)，通過(guò)履行自身的職責(zé)和義務(wù)，遵循一定的管理規(guī)范，使我國(guó)信息技術(shù)產(chǎn)品的漏洞能夠得到有效處置，有效降低由信息安全漏洞所帶來(lái)的損失。信息安全漏洞管理需要各個(gè)環(huán)節(jié)的參與者遵循一定的規(guī)范要求，切實(shí)發(fā)揮自身的作用，參與到信息安全漏洞的處理過(guò)程，因此在制定信息安全漏洞管理規(guī)范時(shí)應(yīng)遵循以下原則：一致性：所用術(shù)語(yǔ)與已有的安全術(shù)語(yǔ)保持一致；開(kāi)放性：必須是免費(fèi)可利用可采納的，對(duì)任何人都開(kāi)放使用。一個(gè)封閉的標(biāo)準(zhǔn)將不會(huì)被廣泛地實(shí)施，并且將不會(huì)幸存；廣泛性：信息安全漏洞的管理應(yīng)當(dāng)適應(yīng)漏洞處理所涉及的各個(gè)環(huán)節(jié)以及各個(gè)環(huán)節(jié)的參與者的自身差異。簡(jiǎn)易性：必須能夠簡(jiǎn)單直接地理解、實(shí)現(xiàn)和使用；客觀性：要素的屬性值必須是從已知對(duì)象中獲得，并且能明確地觀測(cè)到；可理解性：各要素易于被安全知識(shí)和安全經(jīng)驗(yàn)不足的用戶和管理員理解；可接受性：評(píng)級(jí)科學(xué)、合理、準(zhǔn)確，能夠被行業(yè)廣泛接受。五、編制依據(jù)在標(biāo)準(zhǔn)編制過(guò)程中，標(biāo)準(zhǔn)研制組研究分析了國(guó)際主流的漏洞管理組織、廠商、國(guó)際標(biāo)準(zhǔn)組織在漏洞管理方面的處理策略、已形成的慣例、以及相應(yīng)的標(biāo)準(zhǔn)規(guī)范等。主要參考如下：借鑒了PDCA（PlanDoCheckAct）通用管理模型，對(duì)信息安全漏洞管理的內(nèi)容進(jìn)行組織。建立漏洞管理生命周期，管理活動(dòng)是對(duì)整個(gè)漏洞生命周期的管理，保證漏洞的每個(gè)階段都得到有效處置。借鑒ISO/IEC29147中漏洞發(fā)現(xiàn)者、廠商、協(xié)調(diào)者在處理漏洞時(shí)的相關(guān)策略。借鑒了CVE、微軟公司、思科公司在處理漏洞、開(kāi)發(fā)修復(fù)補(bǔ)丁時(shí)已形成的慣例。借鑒了中國(guó)國(guó)家信息安全漏洞庫(kù)（CNNVD）在漏洞處置時(shí)的具體處理策略。六、主要工作過(guò)程《信息技術(shù)信息安全漏洞管理規(guī)范》制定過(guò)程包括前期的預(yù)研、標(biāo)準(zhǔn)立項(xiàng)、草案擬定、征求意見(jiàn)、專家評(píng)審、修改草案等過(guò)程。其中“評(píng)審-修改”過(guò)程為反復(fù)執(zhí)行過(guò)程，如圖1所示。圖1工作過(guò)程流程圖6.1 標(biāo)準(zhǔn)立項(xiàng)2009年12月，《信息安全技術(shù)信息安全漏洞管理規(guī)范》被全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正式立項(xiàng)，定性為國(guó)家推薦性標(biāo)準(zhǔn)。中國(guó)信息安全測(cè)評(píng)中心成立標(biāo)準(zhǔn)編制組，并于2010年3月召開(kāi)第一次課題組會(huì)議，明確標(biāo)準(zhǔn)研制目標(biāo)并制定標(biāo)準(zhǔn)編制計(jì)劃。6.2 草案第一版2009年12月-2010年12月，課題組研究、分析信息安全漏洞管理方面的國(guó)內(nèi)外標(biāo)準(zhǔn)，包括NISTSP80040、ISO/IEC27001、ISO/IEC27034、ISO/IEC17799等；調(diào)查分析包括CVE（通用漏洞和暴露）、Secunia（丹麥安全公司）、美國(guó)國(guó)家漏洞庫(kù)NVD等在內(nèi)的權(quán)威漏洞庫(kù)在處理漏洞方面的政策和方法；調(diào)研微軟公司在漏洞收集、響應(yīng)、修復(fù)等方面的做法；研究其在漏洞處置過(guò)程中的一貫做法、處理策略、流程和規(guī)范，編制標(biāo)準(zhǔn)草案。標(biāo)準(zhǔn)大綱包括：1范圍2規(guī)范性引用文件3定義4概述5信息安全漏洞管理策略制定原則6信息安全漏洞報(bào)告要求7信息安全漏洞驗(yàn)證要求8信息安全漏洞處理要求9信息安全漏洞發(fā)布要求10附錄在信息安全漏洞管理規(guī)范中，主要介紹了信息安全管理策略制定原則，包括社會(huì)利益最大化原則、信息準(zhǔn)確性原則、適當(dāng)激勵(lì)原則、信息集中原則和信息接收原則；對(duì)信息安全漏洞報(bào)告、信息安全漏洞驗(yàn)證和信息安全漏洞處理分別提出要求，用以規(guī)范漏洞處理各個(gè)環(huán)節(jié)中參與者的行為。6.3 專家評(píng)審2011年6月15日，舉行信息安全漏洞管理規(guī)范專家評(píng)審會(huì)，與會(huì)專家針對(duì)《信息安全漏洞管理規(guī)范（草案第一版）》提出修改建議。專家建議及修改方案，請(qǐng)參看【信息安全漏洞管理規(guī)范-專家意見(jiàn)匯總表及處理意見(jiàn)-2011.6.15】6.4 草案第二版2011年6月21日，課題組召開(kāi)標(biāo)準(zhǔn)研制討論會(huì)，討論專家評(píng)審意見(jiàn)修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對(duì)專家的每一條建議對(duì)其加以修改：針對(duì)什么是管理，管理的主客體，管理的要素，管理的環(huán)境等問(wèn)題，在概述中添加了4.2節(jié)“信息安全漏洞管理的主客體”，根據(jù)信息安全漏洞管理涉及的各個(gè)主客體、環(huán)境和由這些要素組成的體系進(jìn)行建模并進(jìn)行圖解，闡述漏洞管理。針對(duì)專家提出的首先要明確什么是管理，管理處于什么位置以及管理沒(méi)有形成完整的體系等問(wèn)題，引入信息安全漏洞體系模型，將參與漏洞處理的角色分為發(fā)現(xiàn)者、漏洞利用者、受影響用戶、安全廠商、漏洞發(fā)布者、漏洞修復(fù)者和漏洞收購(gòu)者。將“社會(huì)效益最大化”和“信息準(zhǔn)確性”從“信息安全漏洞管理策略制定原則”中提取出來(lái)，劃分為新的段落“信息安全漏洞管理目標(biāo)”，將這兩點(diǎn)認(rèn)定為管理的目標(biāo)而不是管理策略制定原則。添加4.1節(jié)“信息安全漏洞的定義與現(xiàn)狀”，加入部分文字描述當(dāng)前的安全形勢(shì)和漏洞管理的重要性和緊迫性，明確漏洞是一種特殊資源，對(duì)其的管理與其他管理的不同。根據(jù)以上修改形成《信息安全漏洞管理規(guī)范（草案第二版）》，其中信息安全漏洞管理體系模型，如下圖所示：圖1信息安全漏洞管理體系模型6.5 專家評(píng)審2011年7月20日，舉行信息安全漏洞管理規(guī)范專家評(píng)審會(huì)，與會(huì)專家針對(duì)《信息安全漏洞管理規(guī)范（草案第二版）》提出修改建議。專家建議及修改方案，請(qǐng)參看【信息安全漏洞管理規(guī)范-專家意見(jiàn)匯總表及處理意見(jiàn)-2011.7.20】6.6 草案第三版2011年8月2日，課題組召開(kāi)標(biāo)準(zhǔn)研制討論會(huì)，討論專家評(píng)審意見(jiàn)修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對(duì)專家的每一條建議對(duì)其加以修改：簡(jiǎn)化漏洞生態(tài)模型。確立漏洞管理階段與漏洞生命周期之間的關(guān)聯(lián)。將PDCA引入信息安全漏洞管理規(guī)范。將信息安全漏洞管理在規(guī)劃環(huán)節(jié)分為漏洞信息管理方案、漏洞收集策略、漏洞初審策略、漏洞復(fù)審策略、漏洞發(fā)布框架和漏洞管理組織的建立，并對(duì)具體內(nèi)容進(jìn)行詳細(xì)描述。將信息安全漏洞管理在實(shí)施階段分為漏洞的審查、漏洞入庫(kù)、漏洞的修補(bǔ)、漏洞及其修復(fù)措施的發(fā)布和漏洞庫(kù)的維護(hù)，并對(duì)具體內(nèi)容進(jìn)行描述。6.7 專家評(píng)審2011年9月14日，舉行信息安全漏洞管理規(guī)范專家評(píng)審會(huì)，與會(huì)專家針對(duì)《信息安全漏洞管理規(guī)范（草案第三版）》提出修改建議。專家建議及修改方案，請(qǐng)參看【信息安全漏洞管理規(guī)范-專家意見(jiàn)匯總表及處理意見(jiàn)-2011.9.14】6.8 草案第四版2011年10月10日，課題組召開(kāi)標(biāo)準(zhǔn)研制討論會(huì)，討論專家評(píng)審意見(jiàn)修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對(duì)專家的每一條建議對(duì)其加以修改：將漏洞管理分為用戶、廠商和漏洞管理組織三個(gè)角色。在漏洞生命周期中分別明確用戶、廠商和漏洞管理組織的行為規(guī)范和要求。去除不必要的文字描述，簡(jiǎn)化描述語(yǔ)言。明確廠商的責(zé)任和義務(wù)，在獲知漏洞信息時(shí)積極處置。確定用戶、廠商和漏洞管理組織在漏洞處理中的角色和作用，如圖2所示：圖2信息安全漏洞處理示意圖6.9 專家評(píng)審2012年3月1日，舉行信息安全漏洞管理規(guī)范專家評(píng)審會(huì)，與會(huì)專家針對(duì)《信息安全漏洞管理規(guī)范（草案第四版）》提出修改建議。專家建議及修改方案，請(qǐng)參看【信息安全漏洞管理規(guī)范-專家意見(jiàn)匯總表及處理意見(jiàn)-2012.3.1】6.10 草案第五版2012年3月9日，課題組召開(kāi)標(biāo)準(zhǔn)研制討論會(huì)，討論專家評(píng)審意見(jiàn)修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對(duì)專家的每一條建議對(duì)其加以修改：增加漏洞發(fā)現(xiàn)者，在標(biāo)準(zhǔn)定義中增加對(duì)風(fēng)險(xiǎn)的定義調(diào)整了闡述角度，以漏洞生命周期以及對(duì)應(yīng)的管理活動(dòng)作為整個(gè)標(biāo)準(zhǔn)的主線進(jìn)一步明確漏洞管理活動(dòng)中參與者的責(zé)任與分工針對(duì)漏洞生命周期做了進(jìn)一步修訂危害等級(jí)較高的漏洞，提出更高要求重新調(diào)整PDCA的劃分，以及漏洞生命周期的劃分建立了漏洞生命周期與漏洞管理活動(dòng)之間的對(duì)應(yīng)關(guān)系，如圖3所示：圖3漏洞生命周期和管理活動(dòng)對(duì)應(yīng)關(guān)系6.11 專家評(píng)審2012年7月25日，安標(biāo)委組織舉行《信息安全漏洞管理規(guī)范》草案審查會(huì)，與會(huì)專家針對(duì)《信息安全漏洞管理規(guī)范（草案第五版）》提出修改建議。專家建議及修改方案，請(qǐng)參看【信息安全漏洞管理規(guī)范-專家意見(jiàn)匯總表及處理意見(jiàn)-2012.7.25】6.12 征求意見(jiàn)稿2012年7月26日，課題組召開(kāi)標(biāo)準(zhǔn)研制討論會(huì)，討論專家評(píng)審意見(jiàn)修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對(duì)專家的每一條建議對(duì)其加以修改：在漏洞管理組織中加入了國(guó)家信息安全主管部門。在規(guī)劃（P）階段對(duì)漏洞管理活動(dòng)進(jìn)行了逐個(gè)介紹。增加用戶、廠商、漏洞發(fā)現(xiàn)者和漏洞管理組織的定義。在漏洞管理實(shí)施中增加國(guó)家信息安全主管部門的協(xié)調(diào)作用。修改相應(yīng)的標(biāo)準(zhǔn)格式問(wèn)題。6.13 專家評(píng)審2013年1月6日，安標(biāo)委組織舉行《信息安全漏洞管理規(guī)范》草案審查會(huì)，與會(huì)專家針對(duì)《信息安全漏洞管理規(guī)范（征求意見(jiàn)稿）》提出修改建議。專家建議及修改方案，請(qǐng)參看【信息安全漏洞管理規(guī)范-專家意見(jiàn)匯總表及處理意見(jiàn)-2013.1.6】6.14 送審稿2013年1月6日，課題組于應(yīng)物會(huì)議中心參加安標(biāo)委組織的標(biāo)準(zhǔn)討論會(huì)，討論專家評(píng)審意見(jiàn)修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對(duì)專家的每一條建議對(duì)其加以修改，并形成送審稿。6.15 報(bào)批稿2013年1月6日至2013年1月21日，由信安標(biāo)委秘書處組織全體委員對(duì)標(biāo)準(zhǔn)送審稿進(jìn)行函審。評(píng)審專家給出了兩條專家意見(jiàn)。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對(duì)專家的每一條建議對(duì)其加以修改，并形成報(bào)批稿。2013年4月10日，由信安標(biāo)委秘書處組織對(duì)報(bào)批稿進(jìn)一步修改完善。根據(jù)專家意見(jiàn)，對(duì)報(bào)批稿的語(yǔ)言和格式進(jìn)行了細(xì)微修改，形成報(bào)批稿最