系統(tǒng)運維管理-信息安全漏洞管理規(guī)定.doc_第1頁
系統(tǒng)運維管理-信息安全漏洞管理規(guī)定.doc_第2頁
系統(tǒng)運維管理-信息安全漏洞管理規(guī)定.doc_第3頁
系統(tǒng)運維管理-信息安全漏洞管理規(guī)定.doc_第4頁
系統(tǒng)運維管理-信息安全漏洞管理規(guī)定.doc_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

信息安全漏洞管理規(guī)定 版本歷史 編制人: 審批人:目 錄目 錄2信息安全漏洞管理規(guī)定31.目的32. 范圍33. 定義33.1 ISMS33.2 安全弱點44. 職責(zé)和權(quán)限44.1 安全管理員的職責(zé)和權(quán)限44.2 系統(tǒng)管理員的職責(zé)和權(quán)限44.3 信息安全經(jīng)理、IT相關(guān)經(jīng)理的職責(zé)和權(quán)限54.4 安全審計員的職責(zé)和權(quán)限55. 內(nèi)容55.1 弱點管理要求55.2 安全弱點評估75.3 系統(tǒng)安全加固75.4 監(jiān)督和檢查86. 參考文件87. 更改歷史記錄88. 附則89. 附件9 信息安全漏洞管理規(guī)定 1. 目的 建立信息安全漏洞管理流程的目的是為了加強公司信息安全保障能力,建立健全公司的安全管理體系,提高整體的網(wǎng)絡(luò)與信息安全水平,保證業(yè)務(wù)系統(tǒng)的正常運營,提高網(wǎng)絡(luò)服務(wù)質(zhì)量,在公司安全體系框架下,本策略為規(guī)范公司信息資產(chǎn)的漏洞管理(主要包含IT設(shè)備的弱點評估及安全加固),將公司信息資產(chǎn)的風(fēng)險置于可控環(huán)境之下。2. 范圍 本策略適用于公司所有在生產(chǎn)環(huán)境和辦公環(huán)境中使用的網(wǎng)絡(luò)系統(tǒng)、服務(wù)器、應(yīng)用系統(tǒng)以及安全設(shè) 備。 3. 定義 3.1 ISMS 基于業(yè)務(wù)風(fēng)險方法,建立、實施、運行、監(jiān)控、評審、保持和改進信息安全的體系,是公司整個管理體系的一部分。 3.2 安全弱點 安全弱點是由于系統(tǒng)硬件、軟件在設(shè)計實現(xiàn)時或者是在安全策略的制定配置上的錯誤而引起的缺陷,是違背安全策略的軟件或硬件特征。有惡意企圖的用戶能夠利用安全弱點非法訪問系統(tǒng)或者破壞系統(tǒng)的正常使用。 3.3 弱點評估 弱點評估是通過風(fēng)險調(diào)查,獲取與系統(tǒng)硬件、軟件在設(shè)計實現(xiàn)時或者是在安全策略的制定配置的威脅和弱點相關(guān)的信息,并對收集到的信息進行相應(yīng)分析,在此基礎(chǔ)上,識別、分析、評估風(fēng)險,綜合評判給出安全弱點被利用造成不良事件發(fā)生的可能性及損失/影響程度的觀點,最終形成弱點評估報告。4. 職責(zé)和權(quán)限 闡述本制度/流程涉及的部門(角色)職責(zé)與權(quán)限。 4.1 安全管理員的職責(zé)和權(quán)限 1、制定安全弱點評估方案,報信息安全經(jīng)理和IT相關(guān)經(jīng)理進行審批; 2、進行信息系統(tǒng)的安全弱點評估; 3、生成弱點分析報告并提交給信息安全經(jīng)理和IT相關(guān)經(jīng)理備案; 4、根據(jù)安全弱點分析報告提供安全加固建議。 4.2 系統(tǒng)管理員的職責(zé)和權(quán)限 1、依據(jù)安全弱點分析報告及加固建議制定詳細的安全加固方案(包括回退方案),報信息安全經(jīng)理和IT相關(guān)經(jīng)理進行審批; 2、實施信息系統(tǒng)安全加固測試; 3、實施信息系統(tǒng)的安全加固; 4、在完成安全加固后編制加固報告并提交給信息安全經(jīng)理和IT相關(guān)經(jīng)理備案; 5、向信息安全審核員報告業(yè)務(wù)系統(tǒng)的安全加固情況。 4.3 信息安全經(jīng)理、IT相關(guān)經(jīng)理的職責(zé)和權(quán)限 1、信息安全經(jīng)理和IT相關(guān)經(jīng)理負責(zé)審核安全弱點評估方案、弱點分析報告、安全加固方案以及加固報告。 4.4 安全審計員的職責(zé)和權(quán)限 1、安全審計員負責(zé)安全加固后的檢查和驗證,以及定期的審核和匯報。5. 內(nèi)容 5.1 弱點管理要求 通過定期的信息資產(chǎn)(主要是IT設(shè)備和系統(tǒng))弱點評估可以及時知道公司安全威脅狀況,這對及時掌握公司主要IT設(shè)備和系統(tǒng)弱點的狀況是極為有重要的;通過評估后的安全加固,可以及時彌補發(fā)現(xiàn)的安全弱點,降低公司的信息安全風(fēng)險。 5.1.1 評估及加固對象 a) 公司各類信息資產(chǎn)應(yīng)定期進行弱點評估及相應(yīng)加固工作。 b) 弱點評估和加固的信息資產(chǎn)可以分為如下幾類: i. 網(wǎng)絡(luò)設(shè)備:路由器、交換機、及其他網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)及配置安全性。 ii. 服務(wù)器:操作系統(tǒng)的安全補丁、賬號號口令、安全配置、網(wǎng)絡(luò)服務(wù)、權(quán)限設(shè)置等。 iii. 應(yīng)用系統(tǒng):數(shù)據(jù)庫及通用應(yīng)用軟件(如:WEB、Mail、DNS等)的安全補丁及安全配置,需應(yīng)用部門在測試環(huán)境測試通過后方可在正式環(huán)境中進行安全補丁加載。 iv. 安全設(shè)備:VPN網(wǎng)關(guān)、防火墻、各類安全管理系統(tǒng)等設(shè)備或軟件的操作系統(tǒng)及配置安全性。 5.1.2 評估及加固過程中的安全要求 a) 在對信息資產(chǎn)進行弱點評估前應(yīng)制定詳細的弱點評估方案,充分考慮評估中出現(xiàn)的風(fēng) 險,同時制定對應(yīng)的詳細回退方案。 b) 在對信息資產(chǎn)進行安全加固前應(yīng)制定詳細的安全加固方案,明確實施對象和實施步驟, 如涉及到其他系統(tǒng),應(yīng)分析可能存在的風(fēng)險以及應(yīng)對措施,并與關(guān)聯(lián)部門和廠商溝通。 c) 對于重要信息資產(chǎn)的弱點評估及安全加固,在操作前要進行測試。需經(jīng)本部門經(jīng)理的確 認,同時上報信息安全經(jīng)理和IT相關(guān)經(jīng)理進行審批。 d) 對信息資產(chǎn)進行弱點評估和加固的時間應(yīng)選擇在業(yè)務(wù)閑時段,并保留充裕的回退時間。 e) 對信息資產(chǎn)進行安全加固后,應(yīng)進行總結(jié)并生成報告,進行弱點及加固措施的跟蹤。 f) 對信息資產(chǎn)進行安全加固完成后,應(yīng)進行業(yè)務(wù)測試以確保系統(tǒng)的正常運行。加固實施期間業(yè)務(wù)系統(tǒng)支持人員應(yīng)保證手機開機,確保出現(xiàn)問題時能及時處理。 g) 安全加固完成后次日,系統(tǒng)管理員及業(yè)務(wù)系統(tǒng)支持人員應(yīng)對加固后的系統(tǒng)進行監(jiān)控,確 保系統(tǒng)的正常運行。 h) 弱點評估由IT相關(guān)經(jīng)理和安全管理員協(xié)助進行,安全加固由系統(tǒng)管理員執(zhí)行。如由供應(yīng) 商或服務(wù)提供商協(xié)助實施安全加固,則應(yīng)由系統(tǒng)管理員確保評估和加固的有效性并提交信息IT信息安全經(jīng)理和IT相關(guān)經(jīng)理進行評定。 5.2 安全弱點評估 5.2.1 公司每季度進行一次弱點評估工作,信息資產(chǎn)的弱點評估由安全管理員負責(zé)。 5.2.2 在進行信息資產(chǎn)弱點評估時應(yīng)采用公司認可的掃描工具及檢查列表,弱點評估計劃需由 IT信息安全經(jīng)理和IT相關(guān)經(jīng)理進行確認和審批。 5.2.3 信息安全經(jīng)理和IT相關(guān)經(jīng)理弱點評估完成后,相關(guān)IT人員參考弱點評估報告編寫安全 加固方案,并進行系統(tǒng)安全加固工作。 5.2.4 安全管理員在各系統(tǒng)完成安全加固后,組織弱點評估復(fù)查,驗證加固后的效果。 5.2.5 所有安全弱點評估文檔應(yīng)交付信息安全經(jīng)理和IT相關(guān)經(jīng)理備案。 5.3 系統(tǒng)安全加固 5.3.1 安全加固 a) 公司每次完成安全弱點評估后,各系統(tǒng)管理員應(yīng)根據(jù)弱點評估結(jié)果確定需要加固的資 產(chǎn),針對發(fā)現(xiàn)的安全弱點制定加固方案。 b) 安全加固前,加固人員應(yīng)制定詳細的加固測試方案及加固實施方案(包括回退方案)并在測試環(huán)境中進行加固測試,確認無重大不良影響后才可實施正式加固。 c) 在完成安全加固后,加固人員應(yīng)根據(jù)加固過程中弱點的處理情況編制加固報告。安全管 理員應(yīng)對加固后的信息資產(chǎn)進行弱點評估復(fù)查,評估復(fù)查結(jié)果作為加固的措施驗證。 d) 所有加固文檔應(yīng)交付信息安全經(jīng)理及IT相關(guān)經(jīng)理備案。 5.3.2 緊急安全加固 a) 當(dāng)安全管理部發(fā)現(xiàn)高危漏洞時,提出緊急加固建議,通知相關(guān)IT人員進行測試后進行緊 急變更實施加固并事后給出評估報告。 5.4 監(jiān)督和檢查 5.4.1 安全審計員負責(zé)對信息安全弱點管理的執(zhí)行情況進行檢查,可通過安全漏洞掃描和現(xiàn)場 人工抽查進行審計和檢查,檢查的內(nèi)容包括

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論