補(bǔ)丁管理制度

----------------------------精品word文檔值得下載值得擁有--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------補(bǔ)丁管理制度補(bǔ)丁跟進(jìn)和通告：系統(tǒng)管理員負(fù)責(zé)跟進(jìn)各產(chǎn)品的安全漏洞信息和產(chǎn)品廠商發(fā)布的安全補(bǔ)丁信息。安全補(bǔ)丁根據(jù)其對(duì)應(yīng)漏洞的嚴(yán)重程度分為三個(gè)級(jí)別：緊急補(bǔ)丁、重要補(bǔ)丁和一般補(bǔ)??；緊急補(bǔ)丁必須在5天內(nèi)完成加載，重要補(bǔ)丁必須在10天內(nèi)完成加載，一般補(bǔ)丁要求1個(gè)月內(nèi)完整加載?？偛亢透鞣止鞠到y(tǒng)管理員分別經(jīng)總部信息系統(tǒng)管理部或分公司信息管理部門主管領(lǐng)導(dǎo)批準(zhǔn)后采用公告和郵件形式向相關(guān)的業(yè)務(wù)系統(tǒng)管理員和下屬單位的信息系統(tǒng)管理部門通告安全補(bǔ)丁信息。補(bǔ)丁獲?。合到y(tǒng)管理員負(fù)責(zé)從正式渠道獲取安全補(bǔ)丁，正式渠道包括集團(tuán)公司下發(fā)的、產(chǎn)品廠商提供的或從產(chǎn)品廠商網(wǎng)站下載的安全補(bǔ)丁。系統(tǒng)管理員負(fù)責(zé)對(duì)安全補(bǔ)丁進(jìn)行完整性校驗(yàn)，確保獲取的安全補(bǔ)丁軟件未被修改和可用。補(bǔ)丁測(cè)試：補(bǔ)丁加載之前必須經(jīng)過嚴(yán)格的測(cè)試，嚴(yán)禁未經(jīng)測(cè)試直接在生產(chǎn)系統(tǒng)上加載補(bǔ)丁。加載經(jīng)上級(jí)信息系統(tǒng)管理部門測(cè)試后下發(fā)的補(bǔ)丁可以不做測(cè)試。補(bǔ)丁測(cè)試的方式有兩種：實(shí)驗(yàn)機(jī)測(cè)試和現(xiàn)網(wǎng)測(cè)試。實(shí)驗(yàn)機(jī)測(cè)試必須進(jìn)行，實(shí)驗(yàn)機(jī)配置環(huán)境需要與現(xiàn)網(wǎng)環(huán)境盡可能一致，并考慮差異性帶來的風(fēng)險(xiǎn)；條件允許的情況下（如有測(cè)試設(shè)備或備機(jī)）可以進(jìn)行現(xiàn)網(wǎng)測(cè)試。補(bǔ)丁測(cè)試的內(nèi)容包括安裝測(cè)試、功能性測(cè)試、兼容性測(cè)試和回退測(cè)試。安裝測(cè)試主要測(cè)試補(bǔ)丁安裝過程是否正確無誤，補(bǔ)丁安裝后系統(tǒng)是否正常運(yùn)行。功能性測(cè)試主要測(cè)試補(bǔ)丁是否對(duì)安全漏洞進(jìn)行了修補(bǔ)。兼容性測(cè)試主要測(cè)試補(bǔ)丁加載后是否對(duì)應(yīng)用系統(tǒng)帶來影響，業(yè)務(wù)是否可以正常運(yùn)行?；赝藴y(cè)試主要包括補(bǔ)丁卸載測(cè)試、系統(tǒng)還原測(cè)試。補(bǔ)丁測(cè)試的工作由系統(tǒng)集成商或系統(tǒng)管理員負(fù)責(zé)實(shí)施。必須對(duì)補(bǔ)丁的現(xiàn)場(chǎng)測(cè)試和現(xiàn)網(wǎng)測(cè)試限定時(shí)間，測(cè)試完成后需要編寫詳細(xì)的測(cè)試報(bào)告，給出明確的測(cè)試結(jié)論。系統(tǒng)管理員需要把《補(bǔ)丁測(cè)試報(bào)告》提交部門主管領(lǐng)導(dǎo)進(jìn)行審核，審核通過后可以進(jìn)行補(bǔ)丁加載和發(fā)布。為確保系統(tǒng)集成商及時(shí)配合補(bǔ)丁的測(cè)試和安裝工作，需要通過合同的方式，明確集成商的安全補(bǔ)丁測(cè)試和安裝責(zé)任，約束條款至少應(yīng)包括：實(shí)驗(yàn)機(jī)測(cè)試環(huán)境的構(gòu)建，在規(guī)定時(shí)間內(nèi)完成補(bǔ)丁測(cè)試，補(bǔ)丁加載，補(bǔ)丁加載失敗時(shí)的測(cè)試與分析，補(bǔ)丁與應(yīng)用沖突時(shí)的系統(tǒng)改造和升級(jí)等工作。補(bǔ)丁加載：從安全漏洞發(fā)布到補(bǔ)丁加載前，公司系統(tǒng)管理員根據(jù)需要給出應(yīng)急措施建議，例如通過加強(qiáng)訪問控制、臨時(shí)關(guān)閉服務(wù)、加強(qiáng)安全審計(jì)等應(yīng)急措施來加強(qiáng)網(wǎng)絡(luò)安全，各相關(guān)業(yè)務(wù)系統(tǒng)根據(jù)建議采取適當(dāng)?shù)姆雷o(hù)措施，并加強(qiáng)對(duì)系統(tǒng)的監(jiān)控，及時(shí)發(fā)現(xiàn)和報(bào)告安全事件。補(bǔ)丁加載前，必須向主管領(lǐng)導(dǎo)提交《安全補(bǔ)丁測(cè)試報(bào)告》、《安全補(bǔ)丁安裝計(jì)劃和實(shí)施方案》、《安全補(bǔ)丁回退實(shí)施方案》，經(jīng)審批通過后按計(jì)劃執(zhí)行，審批的周期應(yīng)限制在2個(gè)工作日內(nèi)，并盡量縮短。在補(bǔ)丁安裝前，必須做好數(shù)據(jù)備份工作，確保任何的操作都可回退，在到達(dá)回退時(shí)間補(bǔ)丁加載沒有完成時(shí)，啟動(dòng)回退操作，保證業(yè)務(wù)的正常運(yùn)行。補(bǔ)丁加載必須安排在業(yè)務(wù)比較空閑的時(shí)間進(jìn)行，對(duì)補(bǔ)丁加載的操作過程必須詳細(xì)記錄。同時(shí)必須維護(hù)已成功加載設(shè)備、未加載設(shè)備及加載失敗的設(shè)備清單。核心業(yè)務(wù)主機(jī)的補(bǔ)丁加載建議要求廠商工程師現(xiàn)場(chǎng)支持。補(bǔ)丁驗(yàn)證：補(bǔ)丁安裝完成后，業(yè)務(wù)系統(tǒng)管理員必需查看系統(tǒng)信息，確保安全補(bǔ)丁已經(jīng)成功加載。必須對(duì)加載補(bǔ)丁后的系統(tǒng)按照計(jì)劃和驗(yàn)證方案進(jìn)行嚴(yán)格的測(cè)試驗(yàn)證，確保補(bǔ)丁加載后不影響系統(tǒng)的性能，確保各項(xiàng)業(yè)務(wù)操作正常。補(bǔ)丁加載后的一周內(nèi)，系統(tǒng)管理員必須加強(qiáng)對(duì)系統(tǒng)性能和事件進(jìn)行密切的監(jiān)控，填寫每天的運(yùn)行監(jiān)控報(bào)告。補(bǔ)丁歸檔：補(bǔ)丁加載驗(yàn)證結(jié)束后，系統(tǒng)管理員必須編寫《補(bǔ)丁安裝報(bào)告》、《補(bǔ)丁驗(yàn)證測(cè)試報(bào)告》，并進(jìn)行歸檔。系統(tǒng)管理員負(fù)責(zé)對(duì)安全補(bǔ)丁軟件進(jìn)行歸檔，以備系統(tǒng)重裝時(shí)需要。監(jiān)督和檢查：信息系統(tǒng)管理部門主管領(lǐng)導(dǎo)負(fù)責(zé)對(duì)各部門補(bǔ)丁管理的執(zhí)行情況進(jìn)行考核，考核的內(nèi)容包括補(bǔ)丁加載情況、補(bǔ)丁版本信息的準(zhǔn)確性和相關(guān)文檔的質(zhì)量。可通過安全漏洞掃描和現(xiàn)場(chǎng)人工抽查進(jìn)行審計(jì)和檢查