安全漏洞管理制度

1、精選優(yōu)質(zhì)文檔-傾情為你奉上文件名稱版本號(hào)文件編號(hào)機(jī)密等級(jí)發(fā)布日期生效日期擬制日期審核日期批準(zhǔn)日期XXXX 安全漏洞管理制度專心-專注-專業(yè)創(chuàng)建/變更人變化狀態(tài)變更摘要(章節(jié)/內(nèi)容)版本創(chuàng)建/變更時(shí)間批準(zhǔn)人文件修訂履歷變化狀態(tài)：新建，增加，修改,刪除目錄1引言1.1目的本制度規(guī)范了XXXX（以下簡(jiǎn)稱：XXXX）信息系統(tǒng)安全漏洞的發(fā)現(xiàn)、評(píng)估及處理過(guò)程。保障盡早發(fā)現(xiàn)安全漏洞，及時(shí)消除安全隱患。加快安全處理響應(yīng)時(shí)間，加強(qiáng)信息資產(chǎn)安全。1.2對(duì)象本制度閱讀對(duì)象為單位所有的運(yùn)維人員、產(chǎn)品開(kāi)發(fā)人員、測(cè)試和質(zhì)量保障人員等。各產(chǎn)品開(kāi)發(fā)、運(yùn)營(yíng)、系統(tǒng)運(yùn)維、質(zhì)量測(cè)試等部門負(fù)責(zé)人應(yīng)通讀并認(rèn)真執(zhí)行本制度中與其職責(zé)相關(guān)的要

2、求。1.3范圍本制度中的信息系統(tǒng)描述適用于XXXX信息系統(tǒng)：應(yīng)用系統(tǒng)：所有業(yè)務(wù)相關(guān)應(yīng)用系統(tǒng)，包括自主開(kāi)發(fā)和外購(gòu)產(chǎn)品。操作系統(tǒng)：Windows、Linux 和 UNIX 等。數(shù)據(jù)庫(kù)：Oracle、MySQL、Sql Server 等。中間件：Tomcat，Apache，Nginx 等。網(wǎng)絡(luò)設(shè)備：交換機(jī)、路由器等。安全設(shè)備：安全管理、審計(jì)、防護(hù)設(shè)備等。2漏洞獲知漏洞獲知通常有如下方式：Ø 來(lái)自軟、硬件廠商和國(guó)際、國(guó)內(nèi)知名安全組織的安全通告。Ø 單位信息安全部門工作人員的滲透測(cè)試結(jié)果及安全評(píng)審意見(jiàn)。Ø 使用安全

3、漏洞評(píng)估工具掃描。Ø 來(lái)自單位合作的安全廠商或友好的外部安全組織給出的漏洞通知。3級(jí)別定義和處理時(shí)間要求3.1級(jí)別定義對(duì)于沒(méi)有CVE評(píng)級(jí)的安全漏洞統(tǒng)一參考附錄一標(biāo)準(zhǔn)進(jìn)行漏洞評(píng)級(jí)。3.1.1高風(fēng)險(xiǎn)漏洞定義1.操作系統(tǒng)層面：依據(jù)CVE標(biāo)準(zhǔn)。2.網(wǎng)絡(luò)層面：依據(jù)CVE標(biāo)準(zhǔn)。3.數(shù)據(jù)庫(kù)層面：依據(jù)CVE標(biāo)準(zhǔn)。4.中間件（包括應(yīng)用組件包）：依據(jù)CVE標(biāo)準(zhǔn)。5.單位自主開(kāi)發(fā)的業(yè)務(wù)應(yīng)用：詳見(jiàn)附錄一。3.1.2中風(fēng)險(xiǎn)漏洞定義1操作系統(tǒng)層面：依據(jù)CVE標(biāo)準(zhǔn)。2網(wǎng)絡(luò)層面：依據(jù)CVE標(biāo)準(zhǔn)。3.數(shù)據(jù)庫(kù)層面：依據(jù)CVE標(biāo)準(zhǔn)。4.中間件（包括應(yīng)用組件包）：依據(jù)CVE標(biāo)準(zhǔn)。5.單位自主開(kāi)發(fā)的業(yè)務(wù)應(yīng)用：詳見(jiàn)附錄一。3.

4、1.3漏洞處理原則1.所有高、中風(fēng)險(xiǎn)必須在規(guī)定時(shí)間內(nèi)完成修復(fù)。2.對(duì)于有關(guān)安全漏洞的修復(fù)方案經(jīng)評(píng)估后會(huì)影響系統(tǒng)穩(wěn)定或短期不能找到解決方案的漏洞，由信息安全部會(huì)同有關(guān)部門出具體解決方案。4職責(zé)分工4.1信息安全部1.定期對(duì)單位生產(chǎn)系統(tǒng)使用的應(yīng)用軟件及第三方組件進(jìn)行漏洞監(jiān)控和查找，并在當(dāng)天將高、中風(fēng)險(xiǎn)轉(zhuǎn)交給有關(guān)部門處理。2.不定期對(duì)本制度執(zhí)行情況進(jìn)行檢查，確保所有漏洞都按照流程進(jìn)行了有效處理。3.針對(duì)發(fā)生的安全事件，及時(shí)總結(jié)經(jīng)驗(yàn)和教訓(xùn)，避免再度發(fā)生類似事件。4.協(xié)助各部門提供安全漏洞測(cè)試和修復(fù)方法，并定期組織安全培訓(xùn)。4.2 IT中心負(fù)責(zé)辦公網(wǎng)、生產(chǎn)網(wǎng)中：操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備等安全漏

5、洞的監(jiān)控和修復(fù)工作：1.負(fù)責(zé)維護(hù)信息系統(tǒng)所有設(shè)備（包括虛擬機(jī)）和信息資產(chǎn)列表。2.運(yùn)維部門根據(jù)信息安全部提供的安全掃描報(bào)告和本制度，制定整改工作日程，根據(jù)優(yōu)先級(jí)按照“3.2處理時(shí)間要求”進(jìn)行整改。外部漏洞優(yōu)先處理，內(nèi)部漏洞經(jīng)信息安全部協(xié)商后可以延后處理。4.3各產(chǎn)品開(kāi)發(fā)部門各產(chǎn)品開(kāi)發(fā)部門應(yīng)在接到漏洞修復(fù)通知后，按照“3.2處理時(shí)間要求”及附錄一的相關(guān)要求，按時(shí)修復(fù)所負(fù)責(zé)應(yīng)用系統(tǒng)的安全漏洞：1.在生產(chǎn)系統(tǒng)中：可獲取系統(tǒng)權(quán)限（操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)等）的漏洞；可直接導(dǎo)致客戶信息、交易信息、單位機(jī)密信息外泄的漏洞；可直接篡改系統(tǒng)數(shù)據(jù)的漏洞，必須在48小時(shí)之內(nèi)完成修復(fù)。2.如果確實(shí)存在客觀原因，無(wú)法按照規(guī)定時(shí)間完成修復(fù)工作的，應(yīng)在修復(fù)截止日期前與信息安全部申請(qǐng)延期，并共同商定延后的修復(fù)時(shí)間和排期。5漏洞處理流程6罰則本制度適用于單位全體員工，自頒布之日起執(zhí)行。違反本制度條款的責(zé)任人，第一次發(fā)現(xiàn)由行政部或相關(guān)部門領(lǐng)導(dǎo)對(duì)其進(jìn)行口頭批評(píng)；第二次發(fā)現(xiàn)以郵件形式在書(shū)面進(jìn)行通報(bào)