等級保護信息安全管理制度模板

XXX公司信息安全管理制度：V1.0文件編號：XX-XX-P23XXX公司信息安全管理制度內部公開內部公開文件版本：V1.0文件編號：XX-XX-PXX編寫：審核：審批：20XX年XX月XX日發(fā)布 20XX年XX月XX日生效XXX公司本文件本文件中包含的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬XXX公司所有。未經許可任何人不得將此文件中的任何部分以任何形式進行復制、儲存和傳播。XXX公司信息系統(tǒng)補丁安全管理規(guī)定第一章總則為加強XXX公司信息系統(tǒng)安全補丁的跟蹤、分析、測試、分發(fā)和檢查流程，落實主機、網絡設備、數(shù)據庫系統(tǒng)補丁安全管理工作，降低信息系統(tǒng)安全漏洞帶來的安全風險，提高信息系統(tǒng)的抗攻擊能力，特制定本細則。本實施細則適用于XXX公司信息系統(tǒng)主機、網絡設備、數(shù)據庫系統(tǒng)、應用軟件的補丁安全管理。第二章職責與權限安全管理員職責：負責跟蹤下列信息，并直接獲取可信任安全補丁程序或將安全補丁獲取地址發(fā)布至系統(tǒng)管理員，數(shù)據庫管理員，網絡管理員：安全組織如CNCERT發(fā)布相關預警信息廠商、服務商發(fā)布的相關安全公告本部門發(fā)布的安全預警等安全公告類信息。負責對補丁加載情況定期審查、驗證并歸檔。系統(tǒng)管理員職責：通過安全管理員獲取補丁的安裝程序或發(fā)布地址，下載補丁安裝程序。負責補丁測試、加載、驗證并填寫相關報告、表單。對補丁的影響進行評估，對風險進行控制。數(shù)據庫管理員職責：通過安全管理員獲取補丁的安裝程序或發(fā)布地址，下載補丁安裝程序。負責補丁測試、加載、驗證并填寫相關報告、表單。對補丁的影響進行評估，對風險進行控制。網絡管理員職責：通過安全管理員獲取補丁或IOS文件的安裝程序或發(fā)布地址，下載補丁安裝程序。負責補丁或者IOS文件的測試、加載、驗證并填寫相關報告、表單。對補丁的影響進行評估，對風險進行控制。第三章補丁安全管理原則及時性原則：對于必要的安全補丁的發(fā)布和安裝流程，必須及時準確，把安全漏洞所造成的對信息系統(tǒng)的潛在威脅降到最低；嚴密性原則：補丁的測試和分發(fā)流程都需要嚴密的計劃，在保障安全行的同時不影響生產和應用系統(tǒng)的正常運行；持續(xù)性原則：補丁管理工作是一個長期持續(xù)性的工作，安全管理人員應時刻跟蹤廠商的補丁公告和安全公司的安全公告。適應性原則：分場景執(zhí)行安全補丁管理要求。第四章補丁安全管理細則補丁的追蹤與分析管理安全管理員需區(qū)分信息資產、IT系統(tǒng)環(huán)境、IT網絡環(huán)境的重要等級，以便有針對性地跟蹤所需要的系統(tǒng)補丁和需要采取的措施。安全管理員應每月定期跟蹤補丁的最新信息。信息的來源分為以下幾類：軟件廠商：軟件廠商是補丁的主要來源，每一次安全補丁的發(fā)布，產商都會發(fā)布通告；安全機構：官方安全機構會對一些影響特別大的安全事件進行通告；安全組織和安全公司：這是研究安全的主要力量，公告的特點是發(fā)布快速、內容詳細、方案全面，并且可知是否已經或者可以被利用。安全漏洞的威脅等級分類為：威脅等級定義緊急利用漏洞可以遠程獲取管理員權限嚴重攻擊程序和病毒結合，形成蠕蟲中等獲取普通用戶訪問權限/提升權限/遠程拒絕服務低等信息泄漏、本地拒絕服務安全管理員應分析安全漏洞的威脅等級，針對于不同的安全漏洞，對應的修補時間和修補方式要求如下：威脅等級允許修補的時間修補方式緊急2天用非補丁方式修補，如用防火墻或者限制功能等方式，同時增加監(jiān)控嚴重5-10天補丁方式修補中等10－30天限制使用程序、補丁方式低等30－90天補丁方式針對Windows操作系統(tǒng)，各系統(tǒng)管理員應關注以下四類補丁程序，其安裝時間要求如下：序號補丁類別安裝時間1安全修補程序參照對應漏洞的嚴重等級2安全更新參照最嚴重漏洞的嚴重等級3更新匯總系統(tǒng)重新安裝后或者階段性安裝4ServicePack系統(tǒng)重新安裝后或者階段性安裝各系統(tǒng)管理員、網絡管理員、數(shù)據庫管理員應掌握各應用系統(tǒng)及網絡環(huán)境：確定各系統(tǒng)當前所使用的系統(tǒng)類型和版本，以前沒有打的補丁，原因以及補救辦法。補丁的測試各系統(tǒng)管理員、網絡管理員、數(shù)據庫管理員應確保從安全可靠的地方獲取補丁程序，推薦直接從廠商網站上下載，如果補丁支持校驗，必須進行安全校驗，以驗證補丁的可靠性，防止補丁被惡意用戶篡改。嚴禁未經測試直接在生產系統(tǒng)上加載補丁。補丁測試的過程要考慮測試的廣泛性和針對性，即在實際情況下盡量充分地測試。補丁測試的方式有兩種：測試環(huán)境測試和現(xiàn)網測試；測試環(huán)境測試必須進行，測試環(huán)境需要與現(xiàn)網環(huán)境盡可能一致，并考慮差異性帶來的風險；條件允許的情況下（如有測試環(huán)境或備機）可以現(xiàn)網測試。補丁測試的內容包括補丁安裝測試、補丁兼容性測試和補丁回退測試：安裝測試主要測試補丁安裝過程是否正確無誤，補丁安裝后系統(tǒng)是否正常啟動。補丁兼容性測試主要測試補丁安裝后是否對應用系統(tǒng)帶來影響，業(yè)務是否可以正常運行。補丁回退測試主要包括補丁卸載測試、系統(tǒng)還原測試。補丁測試的工作可由系統(tǒng)集成商負責實施，所屬管理員負責協(xié)調，必須對補丁的現(xiàn)場測試和現(xiàn)網測試限定時間，測試完成后需要編寫詳細的測試報告，給出明確的測試結論。為確保系統(tǒng)集成商及時配合補丁的測試和安裝工作，需要通過合同的方式，明確集成商的安全補丁測試和安裝責任，約束條款至少應包括：實驗室測試環(huán)境的搭建，在規(guī)定時間內完成補丁測試，補丁的安裝，補丁安裝失敗時的測試與分析，補丁與應用沖突時的系統(tǒng)改造和升級工作。補丁分發(fā)及安裝完成補丁測試后，所屬管理員如果未發(fā)現(xiàn)問題，則要根據漏洞威脅的緊急程度，與管理員制定補丁分發(fā)計劃，根據實際情況在所屬系統(tǒng)中分批安裝。分發(fā)補丁的優(yōu)先次序為：辦公網環(huán)境的計算機優(yōu)先安裝；生產網中資產價值大、威脅等級高的系統(tǒng)優(yōu)先安裝；對于具有多臺服務器并行的負載均衡系統(tǒng)，并行的服務器組應分批多次分發(fā)和安裝系統(tǒng)補丁。安全管理員應根據最新的補丁通告信息，指導和組織各部門進行安全補丁的安裝工作。如無特殊原因，辦公網環(huán)境、各部門的計算機應優(yōu)先安裝系統(tǒng)安全補丁安全管理員應督促本職責范圍內計算機安全補丁的安裝工作。各系統(tǒng)管理員、網絡管理員、數(shù)據庫管理員確定生產環(huán)境所屬系統(tǒng)的補丁分發(fā)順序后，應上報安全管理員審批，由其通知其它相關影響部門。在審批通過后，組織相關人員按計劃執(zhí)行補丁安裝。對重要的業(yè)務系統(tǒng)安裝系統(tǒng)安全補丁，系統(tǒng)管理員應事先做好系統(tǒng)和數(shù)據的備份工作，以便在補丁安裝失敗后可以盡快恢復系統(tǒng)。補丁的安裝操作過程必須詳細記錄，核心業(yè)務系統(tǒng)的補丁加載必須要求廠商工程師現(xiàn)場支持。終端操作系統(tǒng)安全補丁要隨出隨打；服務器安全補丁要隨應用軟件升級一同安裝；定期打補丁的周期不得多于6個月。在沒打補丁期間，要采取臨時替代措施。補丁疑難解決和檢查對補丁安裝過程中出現(xiàn)且能解決的問題，盡快進行總結，以便為解決同類問題提供借鑒。對于一些不能解決的補丁安裝問題，需采用應急方案，使用備份系統(tǒng)或者卸載補丁，同時需確定一個臨時的解決辦法消除漏洞的潛在威脅，并盡快向補丁廠商尋求技術支持。完成系統(tǒng)補丁的安裝變更后，系統(tǒng)管理員需對安裝的系統(tǒng)