軟件和補丁升級管理制度

軟件和補丁升級管理制度第1章概述第1條為保證XXXXXX運營維護部所有計算機系統(tǒng)（包括主機服務器、存儲、網(wǎng)絡設備、通信設備、個人計算機、系統(tǒng)軟件、應用軟件等）的正常運行，需要及時更新計算機系統(tǒng)的軟件補丁，特制定本制度。第2條適用范圍：適用于XXXXXX運營維護部所轄范圍系統(tǒng)。第2章跟進和更新第3條系統(tǒng)管理員負責跟進各產(chǎn)品的安全漏洞信息和產(chǎn)品廠商發(fā)布的安全更新補丁信息。第4條安全補丁根據(jù)其對應漏洞的嚴重程度分為三個級別：緊急補丁、重要補丁和一般補丁；緊急補丁必須在15天內(nèi)完成加載，重要補丁必須在30天內(nèi)完成加載，一般補丁要求3個月內(nèi)完整加載。第5條系統(tǒng)管理員分別經(jīng)主管領導批準后采用公告和郵件形式向相關的業(yè)務系統(tǒng)管理員和分公司的信息系統(tǒng)管理部門通告安全補丁信息。第3章獲取第6條系統(tǒng)管理員負責從正式渠道獲取軟件及安全補丁，正式渠道包括集團公司下發(fā)的、產(chǎn)品廠商提供的或從產(chǎn)品廠商網(wǎng)站下載的安全補丁。第7條系統(tǒng)管理員負責對安全補丁進行完整性校驗，確保獲取的安全補丁軟件未被修改和可用。第4章測試第8條軟件及補丁升級加載之前必須經(jīng)過嚴格的測試，嚴禁未經(jīng)測試直接在生產(chǎn)系統(tǒng)上加載。加載經(jīng)上級信息系統(tǒng)管理部門測試后下發(fā)的補丁可以不做測試。第9條補丁測試的方式有兩種：實驗機測試和現(xiàn)網(wǎng)測試。實驗機測試必須進行，實驗機配置環(huán)境需要與現(xiàn)網(wǎng)環(huán)境盡可能一致，并考慮差異性帶來的風險；條件允許的情況下（如有測試設備或備機）可以進行現(xiàn)網(wǎng)測試。第10條補丁測試的內(nèi)容包括安裝測試、功能性測試、兼容性測試和回退測試：(一)安裝測試主要測試補丁安裝過程是否正確無誤，補丁安裝后系統(tǒng)是否正常運行。(二)功能性測試主要測試補丁是否對安全漏洞進行了修補。(三)兼容性測試主要測試補丁加載后是否對應用系統(tǒng)帶來影響，業(yè)務是否可以正常運行。(四)回退測試主要包括補丁卸載測試、系統(tǒng)還原測試。第11條補丁測試的工作由系統(tǒng)集成商或系統(tǒng)管理員負責實施。必須對補丁的現(xiàn)場測試和現(xiàn)網(wǎng)測試限定時間，測試完成后需要編寫詳細的測試報告，給出明確的測試結(jié)論。第12條系統(tǒng)管理員需要把《補丁測試報告》提交部門主管領導進行審核，審核通過后可以進行補丁加載和發(fā)布。第13條為確保系統(tǒng)集成商及時配合補丁的測試和安裝工作，需要通過合同的方式，明確集成商的安全補丁測試和安裝責任，約束條款至少應包括：實驗機測試環(huán)境的構(gòu)建，在規(guī)定時間內(nèi)完成補丁測試，補丁加載，補丁加載失敗時的測試與分析，補丁與應用沖突時的系統(tǒng)改造和升級等工作。第5章安裝第14條軟件補丁安裝前，系統(tǒng)管理員根據(jù)需要給出應急措施建議，例如通過加強訪問控制、臨時關閉服務、加強安全審計等應急措施來加強網(wǎng)絡安全，各相關業(yè)務系統(tǒng)根據(jù)建議采取適當?shù)姆雷o措施，并加強對系統(tǒng)的監(jiān)控，及時發(fā)現(xiàn)和報告安全事件。第15條補丁加載前，必須向主管領導提交《安全補丁測試報告》、《安全補丁安裝計劃和實施方案》、《安全補丁回退實施方案》，經(jīng)審批通過后按計劃執(zhí)行，審批的周期應限制在2個工作日內(nèi)，并盡量縮短。第16條在補丁安裝前，必須做好數(shù)據(jù)備份工作，確保任何的操作都可回退，在到達回退時間補丁加載沒有完成時，啟動回退操作，保證業(yè)務的正常運行。第17條補丁加載必須安排在業(yè)務比較空閑的時間進行，對補丁加載的操作過程必須詳細記錄。同時必須維護已成功加載設備、未加載設備及加載失敗的設備清單。第18條核心業(yè)務主機的補丁加載建議要求廠商工程師現(xiàn)場支持。第6章驗證第19條補丁安裝完成后，業(yè)務系統(tǒng)管理員必需查看系統(tǒng)信息，確保安全補丁已經(jīng)成功加載。第20條必須對加載補丁后的系統(tǒng)按照計劃和驗證方