安全漏洞管理制度

安全漏洞管理制度安全漏洞管理制度安全漏洞管理制度文件名稱 版本號文件編號 機密等級公布日期 奏效日期XXXX安全漏洞管理制度擬制 日期審查 日期同意 日期文件訂正簡歷創(chuàng)立/更改人變化狀態(tài)更改大綱(章節(jié)/版本創(chuàng)立/更改時間同意人內容)變化狀態(tài)：新建，增添，更正,刪除目錄1前言...................................................................錯誤!不決義書簽。目的.................................................................錯誤!不決義書簽。對象.................................................................錯誤!不決義書簽。范圍.................................................................錯誤!不決義書簽。2漏洞獲知...............................................................錯誤!不決義書簽。3級別定義和辦理時間要求.................................................錯誤!不決義書簽。級別定義.............................................................錯誤!不決義書簽。高風險漏洞定義....................................................錯誤!不決義書簽。中風險漏洞定義....................................................錯誤!不決義書簽。漏洞辦理原則......................................................錯誤!不決義書簽。4職責分工...............................................................錯誤!不決義書簽。信息安所有...........................................................錯誤!不決義書簽。IT中心..............................................................錯誤!不決義書簽。各產品開發(fā)部門........................................................錯誤!不決義書簽。5漏洞辦理流程...........................................................錯誤!不決義書簽。6罰則...................................................................錯誤!不決義書簽。前言目的本制度規(guī)范了XXXX（以下簡稱：XXXX）信息系統安全漏洞的發(fā)現、評估及辦理過程。保障盡早發(fā)現安全漏洞，及時除掉安全隱患。加速安全辦理響應時間，增強信息財富安全。對象本制度閱讀對象為單位所有的運維人員、產品開發(fā)人員、測試和質量保障人員等。各產品開發(fā)、運營、系統運維、質量測試等部門負責人應通讀并仔細履行本制度中與其職責相關的要求。范圍本制度中的信息系統描述合用于XXXX信息系統：應用系統：所有業(yè)務相關應用系統，包含自主開發(fā)和外購產品。操作系統：Windows、Linux 和 UNIX等。數據庫：Oracle、MySQL、Sql Server 等。中間件：Tomcat，Apache，Nginx 等。網絡設備：交換機、路由器等。安全設備：安全管理、審計、防范設備等。漏洞獲知漏洞獲知平時有以下方式：來自軟、硬件廠商和國際、國內著名安全組織的安全通知。單位信息安所有門工作人員的浸透測試結果及安全評審建議。使用安全漏洞評估工具掃描。來自單位合作的安全廠商或友善的外面安全組織給出的漏洞通知。級別定義和辦理時間要求級別定義對于沒有CVE評級的安全漏洞一致參照附錄一標準進行漏洞評級。高風險漏洞定義操作系統層面：依照CVE標準。網絡層面：依照CVE標準。數據庫層面：依照CVE標準。中間件（包含應用組件包）：依照CVE標準。單位自主開發(fā)的業(yè)務應用：詳見附錄一。中風險漏洞定義1操作系統層面：依照CVE標準。2網絡層面：依照CVE標準。數據庫層面：依照CVE標準。中間件（包含應用組件包）：依照CVE標準。單位自主開發(fā)的業(yè)務應用：詳見附錄一。漏洞辦理原則所有高、中風險一定在規(guī)準時間內完成修復。對于相關安全漏洞的修復方案經評估后會影響系統穩(wěn)固或短期不可以找到解決方案的漏洞，由信息安所有會同相關部門出詳盡解決方案。職責分工信息安所有按期對單位生產系統使用的應用軟件及第三方組件進行漏洞監(jiān)控和查找，并在當日將高、中風險轉交給相關部門辦理。不按期對本制度履行狀況進行檢查，保證所有漏洞都依照流程進行了有效辦理。針對發(fā)生的安全事件，及時總結經驗和教訓，防范再度發(fā)生近似事件。協助各部門供給安全漏洞測試和修復方法，并按期組織安全培訓。IT中心負責辦公網、生產網中：操作系統、數據庫、中間件、網絡設備等安全漏洞的監(jiān)控和修復工作：負責保護信息系統所有設備（包含虛假機）和信息財富列表。運維部門依據信息安所有供給的安全掃描報告和本制度，擬定整頓工作日程，依據優(yōu)先級依照“辦理時間要求”進行整頓。外面漏洞優(yōu)先辦理，內部漏洞經信息安所有協商后可以延后辦理。各產品開發(fā)部門各產品開發(fā)部門應在接到漏洞修復通知后，依照“辦理時間要求”及附錄一的相關要求，準時修復所負責應用系統的安全漏洞：在生產系統中：可獲得系統權限（操作系統、數據庫、中間件、網絡設備、業(yè)務系統等）的漏洞；可直接以致客戶信息、交易信息、單位機密信息外泄的漏洞；可直接篡改系統數據的漏洞，一定在48小時以內完成修復。假如的確存在客觀原由，沒法依照規(guī)準時間完成修復工作的，應在修復截止日期前與信息安所有申請延期，并共同約定延后的修復時間和排期。漏洞辦理流程罰則本制度合用于單位全體員工，自宣布之日起履行。