安全漏洞管理制度

安全漏洞管理制度安全漏洞管理制度安全漏洞管理制度文件名稱 版本號文件編號 機(jī)密等級公布日期 奏效日期XXXX安全漏洞管理制度擬制 日期審查 日期同意 日期文件訂正簡歷創(chuàng)立/更改人變化狀態(tài)更改大綱(章節(jié)/版本創(chuàng)立/更改時間同意人內(nèi)容)變化狀態(tài)：新建，增添，更正,刪除目錄1前言...................................................................錯誤!不決義書簽。目的.................................................................錯誤!不決義書簽。對象.................................................................錯誤!不決義書簽。范圍.................................................................錯誤!不決義書簽。2漏洞獲知...............................................................錯誤!不決義書簽。3級別定義和辦理時間要求.................................................錯誤!不決義書簽。級別定義.............................................................錯誤!不決義書簽。高風(fēng)險漏洞定義....................................................錯誤!不決義書簽。中風(fēng)險漏洞定義....................................................錯誤!不決義書簽。漏洞辦理原則......................................................錯誤!不決義書簽。4職責(zé)分工...............................................................錯誤!不決義書簽。信息安所有...........................................................錯誤!不決義書簽。IT中心..............................................................錯誤!不決義書簽。各產(chǎn)品開發(fā)部門........................................................錯誤!不決義書簽。5漏洞辦理流程...........................................................錯誤!不決義書簽。6罰則...................................................................錯誤!不決義書簽。前言目的本制度規(guī)范了XXXX（以下簡稱：XXXX）信息系統(tǒng)安全漏洞的發(fā)現(xiàn)、評估及辦理過程。保障盡早發(fā)現(xiàn)安全漏洞，及時除掉安全隱患。加速安全辦理響應(yīng)時間，增強(qiáng)信息財(cái)富安全。對象本制度閱讀對象為單位所有的運(yùn)維人員、產(chǎn)品開發(fā)人員、測試和質(zhì)量保障人員等。各產(chǎn)品開發(fā)、運(yùn)營、系統(tǒng)運(yùn)維、質(zhì)量測試等部門負(fù)責(zé)人應(yīng)通讀并仔細(xì)履行本制度中與其職責(zé)相關(guān)的要求。范圍本制度中的信息系統(tǒng)描述合用于XXXX信息系統(tǒng)：應(yīng)用系統(tǒng)：所有業(yè)務(wù)相關(guān)應(yīng)用系統(tǒng)，包含自主開發(fā)和外購產(chǎn)品。操作系統(tǒng)：Windows、Linux 和 UNIX等。數(shù)據(jù)庫：Oracle、MySQL、Sql Server 等。中間件：Tomcat，Apache，Nginx 等。網(wǎng)絡(luò)設(shè)備：交換機(jī)、路由器等。安全設(shè)備：安全管理、審計(jì)、防范設(shè)備等。漏洞獲知漏洞獲知平時有以下方式：來自軟、硬件廠商和國際、國內(nèi)著名安全組織的安全通知。單位信息安所有門工作人員的浸透測試結(jié)果及安全評審建議。使用安全漏洞評估工具掃描。來自單位合作的安全廠商或友善的外面安全組織給出的漏洞通知。級別定義和辦理時間要求級別定義對于沒有CVE評級的安全漏洞一致參照附錄一標(biāo)準(zhǔn)進(jìn)行漏洞評級。高風(fēng)險漏洞定義操作系統(tǒng)層面：依照CVE標(biāo)準(zhǔn)。網(wǎng)絡(luò)層面：依照CVE標(biāo)準(zhǔn)。數(shù)據(jù)庫層面：依照CVE標(biāo)準(zhǔn)。中間件（包含應(yīng)用組件包）：依照CVE標(biāo)準(zhǔn)。單位自主開發(fā)的業(yè)務(wù)應(yīng)用：詳見附錄一。中風(fēng)險漏洞定義1操作系統(tǒng)層面：依照CVE標(biāo)準(zhǔn)。2網(wǎng)絡(luò)層面：依照CVE標(biāo)準(zhǔn)。數(shù)據(jù)庫層面：依照CVE標(biāo)準(zhǔn)。中間件（包含應(yīng)用組件包）：依照CVE標(biāo)準(zhǔn)。單位自主開發(fā)的業(yè)務(wù)應(yīng)用：詳見附錄一。漏洞辦理原則所有高、中風(fēng)險一定在規(guī)準(zhǔn)時間內(nèi)完成修復(fù)。對于相關(guān)安全漏洞的修復(fù)方案經(jīng)評估后會影響系統(tǒng)穩(wěn)固或短期不可以找到解決方案的漏洞，由信息安所有會同相關(guān)部門出詳盡解決方案。職責(zé)分工信息安所有按期對單位生產(chǎn)系統(tǒng)使用的應(yīng)用軟件及第三方組件進(jìn)行漏洞監(jiān)控和查找，并在當(dāng)日將高、中風(fēng)險轉(zhuǎn)交給相關(guān)部門辦理。不按期對本制度履行狀況進(jìn)行檢查，保證所有漏洞都依照流程進(jìn)行了有效辦理。針對發(fā)生的安全事件，及時總結(jié)經(jīng)驗(yàn)和教訓(xùn)，防范再度發(fā)生近似事件。協(xié)助各部門供給安全漏洞測試和修復(fù)方法，并按期組織安全培訓(xùn)。IT中心負(fù)責(zé)辦公網(wǎng)、生產(chǎn)網(wǎng)中：操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備等安全漏洞的監(jiān)控和修復(fù)工作：負(fù)責(zé)保護(hù)信息系統(tǒng)所有設(shè)備（包含虛假機(jī)）和信息財(cái)富列表。運(yùn)維部門依據(jù)信息安所有供給的安全掃描報(bào)告和本制度，擬定整頓工作日程，依據(jù)優(yōu)先級依照“辦理時間要求”進(jìn)行整頓。外面漏洞優(yōu)先辦理，內(nèi)部漏洞經(jīng)信息安所有協(xié)商后可以延后辦理。各產(chǎn)品開發(fā)部門各產(chǎn)品開發(fā)部門應(yīng)在接到漏洞修復(fù)通知后，依照“辦理時間要求”及附錄一的相關(guān)要求，準(zhǔn)時修復(fù)所負(fù)責(zé)應(yīng)用系統(tǒng)的安全漏洞：在生產(chǎn)系統(tǒng)中：可獲得系統(tǒng)權(quán)限（操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)等）的漏洞；可直接以致客戶信息、交易信息、單位機(jī)密信息外泄的漏洞；可直接篡改系統(tǒng)數(shù)據(jù)的漏洞，一定在48小時以內(nèi)完成修復(fù)。假如的確存在客觀原由，沒法依照規(guī)準(zhǔn)時間完成修復(fù)工作的，應(yīng)在修復(fù)截止日期前與信息安所有申請延期，并共同約定延后的修復(fù)時間和排期。漏洞辦理流程罰則本制度合用于單位全體員工，自宣布之日起履行。