9、信息安全漏洞管理流程圖_第1頁(yè)
9、信息安全漏洞管理流程圖_第2頁(yè)
9、信息安全漏洞管理流程圖_第3頁(yè)
9、信息安全漏洞管理流程圖_第4頁(yè)
9、信息安全漏洞管理流程圖_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余1頁(yè)可下載查看

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、信息安全漏洞管理規(guī)定主導(dǎo)部門:衛(wèi)寶支持部門:N/A審 批:IT部文檔編號(hào):IT-VOl生效日期:版本 VerSiOn發(fā)布日期ISSUanCe Date發(fā)布原因ReaSOnS Of ISSUanCe生效日期 EffeCtiVe Date1.0新版本發(fā)布會(huì)簽批準(zhǔn)人 APPrOVaI (S)簽名Signatures簽署日期 Date Signed起草人EditOrIT經(jīng)理IT ManagerIT高級(jí)總監(jiān)SeniOr IT DireCtOr信息安全漏洞管理規(guī)定I-目的建立信息安全漏洞管理流程的目的是為了加強(qiáng)公司信息安全保障能力,建立健全公司的安全管理體 系,提高整體的網(wǎng)絡(luò)與信息安全水平,保證業(yè)務(wù)系統(tǒng)的

2、正常運(yùn)營(yíng),提高網(wǎng)絡(luò)服務(wù)質(zhì)量,在公司安全體 系框架下,本策略為規(guī)公司信息資產(chǎn)的漏洞管理(主要包含IT設(shè)備的弱點(diǎn)評(píng)估及安全加固),將公司 信息資產(chǎn)的風(fēng)險(xiǎn)置于可控環(huán)境之下。2. 圍本策略適用于公司所有在生產(chǎn)環(huán)境和辦公環(huán)境中使用的網(wǎng)絡(luò)系統(tǒng)、服務(wù)器、應(yīng)用系統(tǒng)以及安全設(shè) 備。3. 定義3.1 ISMS基于業(yè)務(wù)風(fēng)險(xiǎn)方法,建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、保持和改進(jìn)信息安全的體系,是公司整個(gè) 管理體系的一部分。3. 2安全弱點(diǎn)安全弱點(diǎn)是由于系統(tǒng)硬件、軟件在設(shè)計(jì)實(shí)現(xiàn)時(shí)或者是在安全策略的制定配置上的錯(cuò)誤而引起的缺 陷,是違背安全策略的軟件或硬件特征。有惡意企圖的用戶能夠利用安全弱點(diǎn)非法訪問(wèn)系統(tǒng)或者 破壞系統(tǒng)的正常使用

3、。3. 3弱點(diǎn)評(píng)估弱點(diǎn)評(píng)估是通過(guò)風(fēng)險(xiǎn)調(diào)查,荻取與系統(tǒng)硬件、軟件在設(shè)計(jì)實(shí)現(xiàn)時(shí)或者是在安全策略的制定配置的 威脅和弱點(diǎn)相關(guān)的信息,并對(duì)收集到的信息進(jìn)行相應(yīng)分析,在此基礎(chǔ)上,識(shí)別、分析、評(píng)估風(fēng)險(xiǎn), 綜合評(píng)判給出安全弱點(diǎn)被利用造成不良事件發(fā)生的可能性及損失/影響程度的觀點(diǎn),最終形成弱 點(diǎn)評(píng)估報(bào)告。4. 職責(zé)和權(quán)限闡述本制度/流程涉及的部門(角色)職責(zé)與權(quán)限。4.1安全管理員的職責(zé)和權(quán)限I、制定安全弱點(diǎn)評(píng)估方案,報(bào)信息安全經(jīng)理和IT相關(guān)經(jīng)理進(jìn)行審批;2、進(jìn)行信息系統(tǒng)的安全弱點(diǎn)評(píng)估;3、生成弱點(diǎn)分析報(bào)告并提交給信息安全經(jīng)理和IT相關(guān)經(jīng)理備案;4、根據(jù)安全弱點(diǎn)分析報(bào)告提供安全加固建議。4.2系統(tǒng)管理員的職責(zé)

4、和權(quán)限1、依據(jù)安全弱點(diǎn)分析報(bào)告及加固建議制定詳細(xì)的安全加固方案(包括回退方案),報(bào)信息安全經(jīng) 理和IT相關(guān)經(jīng)理進(jìn)行審批;2、實(shí)施信息系統(tǒng)安全加固測(cè)試;3、實(shí)施信息系統(tǒng)的安全加固;4、在完成安全加固后編制加固報(bào)告并提交給信息安全經(jīng)理和IT相關(guān)經(jīng)理備案;5、向信息安全審核員報(bào)告業(yè)務(wù)系統(tǒng)的安全加固情況。4. 3信息安全經(jīng)理、IT相關(guān)經(jīng)理的職責(zé)和權(quán)限I、信息安全經(jīng)理和IT相關(guān)經(jīng)理負(fù)責(zé)審核安全弱點(diǎn)評(píng)估方案、弱點(diǎn)分析報(bào)告、安全加固方案以及 加固報(bào)告。4. 4安全審計(jì)員的職責(zé)和權(quán)限1、安全審計(jì)員負(fù)責(zé)安全加固后的檢查和驗(yàn)證,以及定期的審核和匯報(bào)。5.容5.1弱點(diǎn)管理要求通過(guò)定期的信息資產(chǎn)(主要是IT設(shè)備和系統(tǒng)

5、)弱點(diǎn)評(píng)估可以及時(shí)知道公司安全威脅狀況,這對(duì) 及時(shí)掌握公司主要IT設(shè)備和系統(tǒng)弱點(diǎn)的狀況是極為有重要的;通過(guò)評(píng)估后的安全加固,可以及 時(shí)彌補(bǔ)發(fā)現(xiàn)的安全弱點(diǎn),降低公司的信息安全風(fēng)險(xiǎn)。5. 1. 1 評(píng)估及加固對(duì)象a)公司各類信息資產(chǎn)應(yīng)定期進(jìn)行弱點(diǎn)評(píng)估及相應(yīng)加固工作。b)弱點(diǎn)評(píng)估和加固的信息資產(chǎn)可以分為如下幾類:i. 網(wǎng)絡(luò)設(shè)備:路由器、交換機(jī)、及其他網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)及配置安全性。ii. 服務(wù)器:操作系統(tǒng)的安全補(bǔ)丁、賬號(hào)號(hào)口令、安全配置、網(wǎng)絡(luò)服務(wù)、權(quán)限設(shè)置等。iii. 應(yīng)用系統(tǒng):數(shù)據(jù)庫(kù)及通用應(yīng)用軟件(如:WEB、Mail、DNS等)的安全補(bǔ)丁及安全配 置,需應(yīng)用部門在測(cè)試環(huán)境測(cè)試通過(guò)后方可在正式環(huán)境

6、中進(jìn)行安全補(bǔ)丁加載。iv. 安全設(shè)備:YPN網(wǎng)關(guān)、防火墻、各類安全管理系統(tǒng)等設(shè)備或軟件的操作系統(tǒng)及配置 安全性。5. 1.2 評(píng)估及加固過(guò)程中的安全要求a)在對(duì)信息資產(chǎn)進(jìn)行弱點(diǎn)評(píng)估前應(yīng)制定詳細(xì)的弱點(diǎn)評(píng)估方案,充分考,慮評(píng)估中出現(xiàn)的風(fēng) 險(xiǎn),同時(shí)制定對(duì)應(yīng)的詳細(xì)回退方案。b)在對(duì)信息資產(chǎn)進(jìn)行安全加固前應(yīng)制定詳細(xì)的安全加固方案,明確實(shí)施對(duì)象和實(shí)施步驟, 如涉及到其他系統(tǒng),應(yīng)分析可能存在的風(fēng)險(xiǎn)以及應(yīng)對(duì)措施,并與關(guān)聯(lián)部門和廠商溝通。C)對(duì)于重要信息資產(chǎn)的弱點(diǎn)評(píng)估及安全加固,在操作前要進(jìn)行測(cè)試。需經(jīng)本部門經(jīng)理的確 認(rèn),同時(shí)上報(bào)信息安全經(jīng)理和IT相關(guān)經(jīng)理進(jìn)行審批。d)對(duì)信息資產(chǎn)進(jìn)行弱點(diǎn)評(píng)估和加固的時(shí)間應(yīng)選擇在

7、業(yè)務(wù)閑時(shí)段,并保留充裕的回退時(shí)間。e)對(duì)信息資產(chǎn)進(jìn)行安全加固后,應(yīng)進(jìn)行總結(jié)并生成報(bào)告,進(jìn)行弱點(diǎn)及加固措施的跟蹤。f)對(duì)信息資產(chǎn)進(jìn)行安全加固完成后,應(yīng)進(jìn)行業(yè)務(wù)測(cè)試以確保系統(tǒng)的正常運(yùn)行。加固實(shí)施期 間業(yè)務(wù)系統(tǒng)支持人員應(yīng)保證手機(jī)開機(jī),確保出現(xiàn)問(wèn)題時(shí)能及時(shí)處理。g)安全加固完成后次日,系統(tǒng)管理員及業(yè)務(wù)系統(tǒng)支持人員應(yīng)對(duì)加固后的系統(tǒng)進(jìn)行監(jiān)控,確 保系統(tǒng)的正常運(yùn)行。h)弱點(diǎn)評(píng)估由IT相關(guān)經(jīng)理和安全管理員協(xié)助進(jìn)行,安全加固由系統(tǒng)管理員執(zhí)行。如由供 應(yīng)商或服務(wù)提供商協(xié)助實(shí)施安全加固,則應(yīng)由系統(tǒng)管理員確保評(píng)估和加固的有效性并提 交信息IT信息安全經(jīng)理和IT相關(guān)經(jīng)理進(jìn)行評(píng)定。5. 2安全弱點(diǎn)評(píng)估5. 2.1 公司每

8、季度進(jìn)行一次弱點(diǎn)評(píng)估工作,信息資產(chǎn)的弱點(diǎn)評(píng)估由安全管理員負(fù)責(zé)。5. 2.2 在進(jìn)行信息資產(chǎn)弱點(diǎn)評(píng)估時(shí)應(yīng)采用公司認(rèn)可的掃描工具及檢查列表,弱點(diǎn)評(píng)估計(jì)劃需由 IT信息安全經(jīng)理和IT相關(guān)經(jīng)理進(jìn)行確認(rèn)和審批。5. 2.3 信息安全經(jīng)理和IT相關(guān)經(jīng)理弱點(diǎn)評(píng)估完成后,相關(guān)IT人員參考弱點(diǎn)評(píng)估報(bào)告編寫安全 加固方案,并進(jìn)行系統(tǒng)安全加固工作。5.2.4 安全管理員在各系統(tǒng)完成安全加固后,組織弱點(diǎn)評(píng)估復(fù)查,驗(yàn)證加固后的效果。5. 2. 5 所有安全弱點(diǎn)評(píng)估文檔應(yīng)交付信息安全經(jīng)理和IT相關(guān)經(jīng)理備案。5. 3系統(tǒng)安全加固5. 3. 1 安全加固a)公司每次完成安全弱點(diǎn)評(píng)估后,各系統(tǒng)管理員應(yīng)根據(jù)弱點(diǎn)評(píng)估結(jié)果確定需要加

9、固的資 產(chǎn),針對(duì)發(fā)現(xiàn)的安全弱點(diǎn)制定加固方案。b)安全加固前,加固人員應(yīng)制定詳細(xì)的加固測(cè)試方案及加固實(shí)施方案(包括回退方案), 并在測(cè)試環(huán)境中進(jìn)行加固測(cè)試,確認(rèn)無(wú)重大不良影響后才可實(shí)施正式加固。C)在完成安全加固后,加固人員應(yīng)根據(jù)加固過(guò)程中弱點(diǎn)的處理情況編制加固報(bào)告。安全管 理員應(yīng)對(duì)加固后的信息資產(chǎn)進(jìn)行弱點(diǎn)評(píng)估復(fù)查,評(píng)估復(fù)查結(jié)果作為加固的措施驗(yàn)證。d)所有加固文檔應(yīng)交付信息安全經(jīng)理及IT相關(guān)經(jīng)理備案。5. 3.2 緊急安全加固a)當(dāng)安全管理部發(fā)現(xiàn)高危漏洞時(shí),提出緊急加固建議,通知相關(guān)IT人員進(jìn)行測(cè)試后進(jìn)行 緊急變更實(shí)施加固并事后給出評(píng)估報(bào)告。5. 4監(jiān)督和檢查5.4.1 安全審計(jì)員負(fù)責(zé)對(duì)信息安全弱點(diǎn)管理的執(zhí)行情況進(jìn)行檢查,可通過(guò)安全漏洞掃描和現(xiàn)場(chǎng) 人工抽查進(jìn)行審計(jì)和檢查,檢查的

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論