等級(jí)保護(hù)信息安全管理制度模板_第1頁(yè)
等級(jí)保護(hù)信息安全管理制度模板_第2頁(yè)
等級(jí)保護(hù)信息安全管理制度模板_第3頁(yè)
等級(jí)保護(hù)信息安全管理制度模板_第4頁(yè)
等級(jí)保護(hù)信息安全管理制度模板_第5頁(yè)
已閱讀5頁(yè),還剩176頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

XXX公司信息安全管理制度:V1.0文件編號(hào):XX-XX-P23XXX公司信息安全管理制度內(nèi)部公開內(nèi)部公開文件版本:V1.0文件編號(hào):XX-XX-PXX編寫:審核:審批:20XX年XX月XX日發(fā)布 20XX年XX月XX日生效XXX公司本文件本文件中包含的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過程等內(nèi)容,除另有特別注明,版權(quán)均屬XXX公司所有。未經(jīng)許可任何人不得將此文件中的任何部分以任何形式進(jìn)行復(fù)制、儲(chǔ)存和傳播。XXX公司信息系統(tǒng)補(bǔ)丁安全管理規(guī)定第一章總則為加強(qiáng)XXX公司信息系統(tǒng)安全補(bǔ)丁的跟蹤、分析、測(cè)試、分發(fā)和檢查流程,落實(shí)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)系統(tǒng)補(bǔ)丁安全管理工作,降低信息系統(tǒng)安全漏洞帶來的安全風(fēng)險(xiǎn),提高信息系統(tǒng)的抗攻擊能力,特制定本細(xì)則。本實(shí)施細(xì)則適用于XXX公司信息系統(tǒng)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用軟件的補(bǔ)丁安全管理。第二章職責(zé)與權(quán)限安全管理員職責(zé):負(fù)責(zé)跟蹤下列信息,并直接獲取可信任安全補(bǔ)丁程序或?qū)踩a(bǔ)丁獲取地址發(fā)布至系統(tǒng)管理員,數(shù)據(jù)庫(kù)管理員,網(wǎng)絡(luò)管理員:安全組織如CNCERT發(fā)布相關(guān)預(yù)警信息廠商、服務(wù)商發(fā)布的相關(guān)安全公告本部門發(fā)布的安全預(yù)警等安全公告類信息。負(fù)責(zé)對(duì)補(bǔ)丁加載情況定期審查、驗(yàn)證并歸檔。系統(tǒng)管理員職責(zé):通過安全管理員獲取補(bǔ)丁的安裝程序或發(fā)布地址,下載補(bǔ)丁安裝程序。負(fù)責(zé)補(bǔ)丁測(cè)試、加載、驗(yàn)證并填寫相關(guān)報(bào)告、表單。對(duì)補(bǔ)丁的影響進(jìn)行評(píng)估,對(duì)風(fēng)險(xiǎn)進(jìn)行控制。數(shù)據(jù)庫(kù)管理員職責(zé):通過安全管理員獲取補(bǔ)丁的安裝程序或發(fā)布地址,下載補(bǔ)丁安裝程序。負(fù)責(zé)補(bǔ)丁測(cè)試、加載、驗(yàn)證并填寫相關(guān)報(bào)告、表單。對(duì)補(bǔ)丁的影響進(jìn)行評(píng)估,對(duì)風(fēng)險(xiǎn)進(jìn)行控制。網(wǎng)絡(luò)管理員職責(zé):通過安全管理員獲取補(bǔ)丁或IOS文件的安裝程序或發(fā)布地址,下載補(bǔ)丁安裝程序。負(fù)責(zé)補(bǔ)丁或者IOS文件的測(cè)試、加載、驗(yàn)證并填寫相關(guān)報(bào)告、表單。對(duì)補(bǔ)丁的影響進(jìn)行評(píng)估,對(duì)風(fēng)險(xiǎn)進(jìn)行控制。第三章補(bǔ)丁安全管理原則及時(shí)性原則:對(duì)于必要的安全補(bǔ)丁的發(fā)布和安裝流程,必須及時(shí)準(zhǔn)確,把安全漏洞所造成的對(duì)信息系統(tǒng)的潛在威脅降到最低;嚴(yán)密性原則:補(bǔ)丁的測(cè)試和分發(fā)流程都需要嚴(yán)密的計(jì)劃,在保障安全行的同時(shí)不影響生產(chǎn)和應(yīng)用系統(tǒng)的正常運(yùn)行;持續(xù)性原則:補(bǔ)丁管理工作是一個(gè)長(zhǎng)期持續(xù)性的工作,安全管理人員應(yīng)時(shí)刻跟蹤廠商的補(bǔ)丁公告和安全公司的安全公告。適應(yīng)性原則:分場(chǎng)景執(zhí)行安全補(bǔ)丁管理要求。第四章補(bǔ)丁安全管理細(xì)則補(bǔ)丁的追蹤與分析管理安全管理員需區(qū)分信息資產(chǎn)、IT系統(tǒng)環(huán)境、IT網(wǎng)絡(luò)環(huán)境的重要等級(jí),以便有針對(duì)性地跟蹤所需要的系統(tǒng)補(bǔ)丁和需要采取的措施。安全管理員應(yīng)每月定期跟蹤補(bǔ)丁的最新信息。信息的來源分為以下幾類:軟件廠商:軟件廠商是補(bǔ)丁的主要來源,每一次安全補(bǔ)丁的發(fā)布,產(chǎn)商都會(huì)發(fā)布通告;安全機(jī)構(gòu):官方安全機(jī)構(gòu)會(huì)對(duì)一些影響特別大的安全事件進(jìn)行通告;安全組織和安全公司:這是研究安全的主要力量,公告的特點(diǎn)是發(fā)布快速、內(nèi)容詳細(xì)、方案全面,并且可知是否已經(jīng)或者可以被利用。安全漏洞的威脅等級(jí)分類為:威脅等級(jí)定義緊急利用漏洞可以遠(yuǎn)程獲取管理員權(quán)限嚴(yán)重攻擊程序和病毒結(jié)合,形成蠕蟲中等獲取普通用戶訪問權(quán)限/提升權(quán)限/遠(yuǎn)程拒絕服務(wù)低等信息泄漏、本地拒絕服務(wù)安全管理員應(yīng)分析安全漏洞的威脅等級(jí),針對(duì)于不同的安全漏洞,對(duì)應(yīng)的修補(bǔ)時(shí)間和修補(bǔ)方式要求如下:威脅等級(jí)允許修補(bǔ)的時(shí)間修補(bǔ)方式緊急2天用非補(bǔ)丁方式修補(bǔ),如用防火墻或者限制功能等方式,同時(shí)增加監(jiān)控嚴(yán)重5-10天補(bǔ)丁方式修補(bǔ)中等10-30天限制使用程序、補(bǔ)丁方式低等30-90天補(bǔ)丁方式針對(duì)Windows操作系統(tǒng),各系統(tǒng)管理員應(yīng)關(guān)注以下四類補(bǔ)丁程序,其安裝時(shí)間要求如下:序號(hào)補(bǔ)丁類別安裝時(shí)間1安全修補(bǔ)程序參照對(duì)應(yīng)漏洞的嚴(yán)重等級(jí)2安全更新參照最嚴(yán)重漏洞的嚴(yán)重等級(jí)3更新匯總系統(tǒng)重新安裝后或者階段性安裝4ServicePack系統(tǒng)重新安裝后或者階段性安裝各系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員應(yīng)掌握各應(yīng)用系統(tǒng)及網(wǎng)絡(luò)環(huán)境:確定各系統(tǒng)當(dāng)前所使用的系統(tǒng)類型和版本,以前沒有打的補(bǔ)丁,原因以及補(bǔ)救辦法。補(bǔ)丁的測(cè)試各系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員應(yīng)確保從安全可靠的地方獲取補(bǔ)丁程序,推薦直接從廠商網(wǎng)站上下載,如果補(bǔ)丁支持校驗(yàn),必須進(jìn)行安全校驗(yàn),以驗(yàn)證補(bǔ)丁的可靠性,防止補(bǔ)丁被惡意用戶篡改。嚴(yán)禁未經(jīng)測(cè)試直接在生產(chǎn)系統(tǒng)上加載補(bǔ)丁。補(bǔ)丁測(cè)試的過程要考慮測(cè)試的廣泛性和針對(duì)性,即在實(shí)際情況下盡量充分地測(cè)試。補(bǔ)丁測(cè)試的方式有兩種:測(cè)試環(huán)境測(cè)試和現(xiàn)網(wǎng)測(cè)試;測(cè)試環(huán)境測(cè)試必須進(jìn)行,測(cè)試環(huán)境需要與現(xiàn)網(wǎng)環(huán)境盡可能一致,并考慮差異性帶來的風(fēng)險(xiǎn);條件允許的情況下(如有測(cè)試環(huán)境或備機(jī))可以現(xiàn)網(wǎng)測(cè)試。補(bǔ)丁測(cè)試的內(nèi)容包括補(bǔ)丁安裝測(cè)試、補(bǔ)丁兼容性測(cè)試和補(bǔ)丁回退測(cè)試:安裝測(cè)試主要測(cè)試補(bǔ)丁安裝過程是否正確無(wú)誤,補(bǔ)丁安裝后系統(tǒng)是否正常啟動(dòng)。補(bǔ)丁兼容性測(cè)試主要測(cè)試補(bǔ)丁安裝后是否對(duì)應(yīng)用系統(tǒng)帶來影響,業(yè)務(wù)是否可以正常運(yùn)行。補(bǔ)丁回退測(cè)試主要包括補(bǔ)丁卸載測(cè)試、系統(tǒng)還原測(cè)試。補(bǔ)丁測(cè)試的工作可由系統(tǒng)集成商負(fù)責(zé)實(shí)施,所屬管理員負(fù)責(zé)協(xié)調(diào),必須對(duì)補(bǔ)丁的現(xiàn)場(chǎng)測(cè)試和現(xiàn)網(wǎng)測(cè)試限定時(shí)間,測(cè)試完成后需要編寫詳細(xì)的測(cè)試報(bào)告,給出明確的測(cè)試結(jié)論。為確保系統(tǒng)集成商及時(shí)配合補(bǔ)丁的測(cè)試和安裝工作,需要通過合同的方式,明確集成商的安全補(bǔ)丁測(cè)試和安裝責(zé)任,約束條款至少應(yīng)包括:實(shí)驗(yàn)室測(cè)試環(huán)境的搭建,在規(guī)定時(shí)間內(nèi)完成補(bǔ)丁測(cè)試,補(bǔ)丁的安裝,補(bǔ)丁安裝失敗時(shí)的測(cè)試與分析,補(bǔ)丁與應(yīng)用沖突時(shí)的系統(tǒng)改造和升級(jí)工作。補(bǔ)丁分發(fā)及安裝完成補(bǔ)丁測(cè)試后,所屬管理員如果未發(fā)現(xiàn)問題,則要根據(jù)漏洞威脅的緊急程度,與管理員制定補(bǔ)丁分發(fā)計(jì)劃,根據(jù)實(shí)際情況在所屬系統(tǒng)中分批安裝。分發(fā)補(bǔ)丁的優(yōu)先次序?yàn)椋恨k公網(wǎng)環(huán)境的計(jì)算機(jī)優(yōu)先安裝;生產(chǎn)網(wǎng)中資產(chǎn)價(jià)值大、威脅等級(jí)高的系統(tǒng)優(yōu)先安裝;對(duì)于具有多臺(tái)服務(wù)器并行的負(fù)載均衡系統(tǒng),并行的服務(wù)器組應(yīng)分批多次分發(fā)和安裝系統(tǒng)補(bǔ)丁。安全管理員應(yīng)根據(jù)最新的補(bǔ)丁通告信息,指導(dǎo)和組織各部門進(jìn)行安全補(bǔ)丁的安裝工作。如無(wú)特殊原因,辦公網(wǎng)環(huán)境、各部門的計(jì)算機(jī)應(yīng)優(yōu)先安裝系統(tǒng)安全補(bǔ)丁安全管理員應(yīng)督促本職責(zé)范圍內(nèi)計(jì)算機(jī)安全補(bǔ)丁的安裝工作。各系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員確定生產(chǎn)環(huán)境所屬系統(tǒng)的補(bǔ)丁分發(fā)順序后,應(yīng)上報(bào)安全管理員審批,由其通知其它相關(guān)影響部門。在審批通過后,組織相關(guān)人員按計(jì)劃執(zhí)行補(bǔ)丁安裝。對(duì)重要的業(yè)務(wù)系統(tǒng)安裝系統(tǒng)安全補(bǔ)丁,系統(tǒng)管理員應(yīng)事先做好系統(tǒng)和數(shù)據(jù)的備份工作,以便在補(bǔ)丁安裝失敗后可以盡快恢復(fù)系統(tǒng)。補(bǔ)丁的安裝操作過程必須詳細(xì)記錄,核心業(yè)務(wù)系統(tǒng)的補(bǔ)丁加載必須要求廠商工程師現(xiàn)場(chǎng)支持。終端操作系統(tǒng)安全補(bǔ)丁要隨出隨打;服務(wù)器安全補(bǔ)丁要隨應(yīng)用軟件升級(jí)一同安裝;定期打補(bǔ)丁的周期不得多于6個(gè)月。在沒打補(bǔ)丁期間,要采取臨時(shí)替代措施。補(bǔ)丁疑難解決和檢查對(duì)補(bǔ)丁安裝過程中出現(xiàn)且能解決的問題,盡快進(jìn)行總結(jié),以便為解決同類問題提供借鑒。對(duì)于一些不能解決的補(bǔ)丁安裝問題,需采用應(yīng)急方案,使用備份系統(tǒng)或者卸載補(bǔ)丁,同時(shí)需確定一個(gè)臨時(shí)的解決辦法消除漏洞的潛在威脅,并盡快向補(bǔ)丁廠商尋求技術(shù)支持。完成系統(tǒng)補(bǔ)丁的安裝變更后,系統(tǒng)管理員需對(duì)安裝的系統(tǒng)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論