安全漏洞管理制度

1、文件名稱版本號文件編號等級發(fā)布日期生效日期XXXX平安漏洞管理制度擬制日期審核日期批準日期文件修訂履歷創(chuàng)立/受更人變化狀態(tài)變更摘要（章5/容）版本創(chuàng)立/受更時間批準人變化狀態(tài)：新建，增加，修改，刪除-可修編-目錄1 引言41.1 目的41.2 對象41.3 圍42 漏洞獲知43 級別定義和處理時間要求43.1 級別定義43.1.1 高風險漏洞定義43.1.2 中風險漏洞定義53.1.3 漏洞處理原那么54 職責分工54.1 信息平安部54.2 IT中心54.3 各產(chǎn)品開發(fā)部門65 漏洞處理流程76 罰那么8-可修編-1 引言1.1 目的本制度規(guī)了XXXX以下簡稱：XXXX信息系統(tǒng)平安漏洞的發(fā)現(xiàn)

2、、評估及處理過程。保障盡早發(fā)現(xiàn)平安漏洞，及時消除平安隱患。加快平安處理響應(yīng)時間，加強信息資產(chǎn)平安。1.2 對象本制度閱讀對象為單位所有的運維人員、產(chǎn)品開發(fā)人員、測試和質(zhì)量保障人員等。各產(chǎn)品開發(fā)、運營、系統(tǒng)運維、質(zhì)量測試等部門負責人應(yīng)通讀并認真執(zhí)行本制度中與其職責相關(guān)的要求。1.3 圍本制度中的信息系統(tǒng)描述適用于XXXX信息系統(tǒng)：應(yīng)用系統(tǒng)：所有業(yè)務(wù)相關(guān)應(yīng)用系統(tǒng)，包括自主開發(fā)和外購產(chǎn)品。操作系統(tǒng)：WindowsLinux和UNIX等。數(shù)據(jù)庫：OracleMySQLSqlServer。中間件：TomcatApacheNginx等。網(wǎng)絡(luò)設(shè)備：交換機、路由器等。平安設(shè)備：平安管理、審計、防護設(shè)備等。2

3、漏洞獲知漏洞獲知通常有如下方式：?來自軟、硬件廠商和國際、國知名平安組織的平安通告。?單位信息平安部門工作人員的滲透測試結(jié)果及平安評審意見。?使用平安漏洞評估工具掃描。?來自單位合作的平安廠商或友好的外部平安組織給出的漏洞通知。3 級別定義和處理時間要求3.1 級別定義對于沒有CVE評級的平安漏洞統(tǒng)一參考附錄一標準進展漏洞評級。3.1.1 高風險漏洞定義1 .操作系統(tǒng)層面：依據(jù)CV即準2 .網(wǎng)絡(luò)層面：依據(jù)CVEB準。3 .數(shù)據(jù)庫層面：依據(jù)CVEB準。4 .中間件包括應(yīng)用組件包：依據(jù)CVEfe準。5 .單位自主開發(fā)的業(yè)務(wù)應(yīng)用：詳見附錄一。3.1.2中風險漏洞定義1 操作系統(tǒng)層面：依據(jù)CV即準。2

4、 網(wǎng)絡(luò)層面：依據(jù)CV即準。3 .數(shù)據(jù)庫層面：依據(jù)CV即準。4 .中間件包括應(yīng)用組件包：依據(jù)CV即準。5 .單位自主開發(fā)的業(yè)務(wù)應(yīng)用：詳見附錄一。3.1.3漏洞處理原那么1 .所有高、中風險必須在規(guī)定時間完成修復。2 .對于有關(guān)平安漏洞的修復方案經(jīng)評估后會影響系統(tǒng)穩(wěn)定或短期不能找到解決方案的漏洞，由信息平安部會同有關(guān)部門出具體解決方案。4職責分工4.1 信息平安部1 .定期對單位生產(chǎn)系統(tǒng)使用的應(yīng)用軟件及第三方組件進展漏洞監(jiān)控和查找，并在當天將高、中風險轉(zhuǎn)交給有關(guān)部門處理。2 .不定期對本制度執(zhí)行情況進展檢查，確保所有漏洞都按照流程進展了有效處理。3 .針對發(fā)生的平安事件，及時總結(jié)經(jīng)歷和教訓，防止再

5、度發(fā)生類似事件。4 .協(xié)助各部門提供平安漏洞測試和修復方法，并定期組織平安培訓。4.2 IT中心負責辦公網(wǎng)、生產(chǎn)網(wǎng)中：操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備等平安漏洞的監(jiān)控和修復工作：1 .負責維護信息系統(tǒng)所有設(shè)備包括虛擬機和信息資產(chǎn)列表。2 .運維部門根據(jù)信息平安部提供的平安掃描報告和本制度，制定整改工作日程，根據(jù)優(yōu)先級按照“3.2處理時間要求進展整改。外部漏洞優(yōu)先處理，部漏洞經(jīng)信息平安部協(xié)商后可以延后處理。4.3 各產(chǎn)品開發(fā)部門各產(chǎn)品開發(fā)部門應(yīng)在接到漏洞修復通知后，按照“3.2處理時間要求及附錄一的相關(guān)要求，按時修復所負責應(yīng)用系統(tǒng)的平安漏洞：1 .在生產(chǎn)系統(tǒng)中：可獲取系統(tǒng)權(quán)限操作系統(tǒng)、數(shù)據(jù)庫、

6、中間件、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)等的漏洞；可直接導致客戶信息、交易信息、單位信息外泄的漏洞；可直接篡改系統(tǒng)數(shù)據(jù)的漏洞，必須在48小時之完成修復。2 .如果確實存在客觀原因，無法按照規(guī)定時間完成修復工作的，應(yīng)在修復截止日期前與信息平安部申請延期，并共同商定延后的修復時間和排期。5漏洞處理流程不住理發(fā)現(xiàn)，漏球人逃過圖示說明一火門歐.硬件廠麻*3圉際.田內(nèi)后就，門但卻的安介通告.'.,今司信息安生飾門工作人員的譚透潮琥果及安軍評審就見三飩用交仝鬣麗信工具內(nèi)推+二它自公司臺他的安生商遵友餌的才融變小以幡出的腌碗遹知,",轅據(jù)過轉(zhuǎn)占職刊新是擊雪叱川叫窗進L處擰:LN接些地琳不如尊工一八可持七應(yīng)際卡停七堂Q熱方式丁“，植¥|:；_囂無仇的浜1呵由訃7二，I：莉配耳14注/二/和口曲琴.一.肝及人員性II試串的變?nèi)匣蚯许绮?山棺思安仝然時蟻-史州榮遵仃回CHMiX和小宜，應(yīng)跳漏承成功魅遼.i岬&1L的安仝/件,比七以皓整我因.避免再求奴工共惻事書-可修編-6罰那么本制度適用于單位全體員工，自公布之日起執(zhí)行。違反本制度條款的責任人，第一次發(fā)現(xiàn)由行政部或相關(guān)部門領(lǐng)導對其進展口頭