《安全漏洞管理制度》由会员分享,可在线阅读,更多相关《安全漏洞管理制度(8页珍藏版)》请在金锄头文库上搜索。
1、.文件名称版本号文件编号XX等级发布日期生效日期拟制日期审核日期批准日期XXXX平安漏洞管理制度. v.创立/变更人变化状态变更摘要(章节/内容)版本创立/变更时间批准人文件修订履历变化状态:新建,增加,修改,删除. v. v. v.目录1引言31.1目的31.2对象31.3X围32漏洞获知33级别定义和处理时间要求33.1级别定义33.1.1高风险漏洞定义33.1.2中风险漏洞定义33.1.3漏洞处理原那么34职责分工34.1信息平安部34.2 IT中心34.3各产品开发部门35漏洞处理流程36罚那么3. v. v.1引言1.1目的本制度规X了XXXX以下简称:XXXX信息系统平安漏洞的发现
2、、评估及处理过程。保障尽早发现平安漏洞,及时消除平安隐患。加快平安处理响应时间,加强信息资产平安。1.2对象本制度阅读对象为单位所有的运维人员、产品开发人员、测试和质量保障人员等。各产品开发、运营、系统运维、质量测试等部门负责人应通读并认真执行本制度中与其职责相关的要求。1.3X围本制度中的信息系统描述适用于XXXX信息系统:应用系统:所有业务相关应用系统,包括自主开发和外购产品。操作系统:Windows、Linux和UNIX等。数据库:Oracle、MySQL、SqlServer等。中间件:Tomcat,Apache,Nginx等。网络设备:交换机、路由器等。平安设备:平安管理、审计、防护设
3、备等。2漏洞获知漏洞获知通常有如下方式: 来自软、硬件厂商和国际、国内知名平安组织的平安通告。 单位信息平安部门工作人员的渗透测试结果及平安评审意见。 使用平安漏洞评估工具扫描。 来自单位合作的平安厂商或友好的外部平安组织给出的漏洞通知。3级别定义和处理时间要求3.1级别定义对于没有CVE评级的平安漏洞统一参考附录一标准进展漏洞评级。3.1.1高风险漏洞定义1.操作系统层面:依据CVE标准。2.网络层面:依据CVE标准。3.数据库层面:依据CVE标准。4.中间件包括应用组件包:依据CVE标准。5.单位自主开发的业务应用:详见附录一。3.1.2中风险漏洞定义1操作系统层面:依据CVE标准。2网络
4、层面:依据CVE标准。3.数据库层面:依据CVE标准。4.中间件包括应用组件包:依据CVE标准。5.单位自主开发的业务应用:详见附录一。3.1.3漏洞处理原那么1.所有高、中风险必须在规定时间内完成修复。2.对于有关平安漏洞的修复方案经评估后会影响系统稳定或短期不能找到解决方案的漏洞,由信息平安部会同有关部门出具体解决方案。4职责分工4.1信息平安部1.定期对单位生产系统使用的应用软件及第三方组件进展漏洞监控和查找,并在当天将高、中风险转交给有关部门处理。2.不定期对本制度执行情况进展检查,确保所有漏洞都按照流程进展了有效处理。3.针对发生的平安事件,及时总结经历和教训,防止再度发生类似事件。
5、4.协助各部门提供平安漏洞测试和修复方法,并定期组织平安培训。4.2 IT中心负责办公网、生产网中:操作系统、数据库、中间件、网络设备等平安漏洞的监控和修复工作:1.负责维护信息系统所有设备包括虚拟机和信息资产列表。2.运维部门根据信息平安部提供的平安扫描报告和本制度,制定整改工作日程,根据优先级按照“3.2处理时间要求进展整改。外部漏洞优先处理,内部漏洞经信息平安部协商后可以延后处理。4.3各产品开发部门各产品开发部门应在接到漏洞修复通知后,按照“3.2处理时间要求及附录一的相关要求,按时修复所负责应用系统的平安漏洞:1.在生产系统中:可获取系统权限操作系统、数据库、中间件、网络设备、业务系
6、统等的漏洞;可直接导致客户信息、交易信息、单位XX信息外泄的漏洞;可直接篡改系统数据的漏洞,必须在48小时之内完成修复。2.如果确实存在客观原因,无法按照规定时间完成修复工作的,应在修复截止日期前与信息平安部申请延期,并共同商定延后的修复时间和排期。. v.5漏洞处理流程. v.6罚那么本制度适用于单位全体员工,自公布之日起执行。违反本制度条款的责任人,第一次发现由行政部或相关部门领导对其进展口头批评;第二次发现以形式在书面进展通报批评并通知所在部门领导;第三次发现以形式在全单位通报批评,并通知单位内审部;因违反本制度造成严重后果或对单位造成经济损失的,由单位内审部对责任人提出处理意见并进展处理。. v
