iso27001-技术薄弱点控制程序.docx

技术薄弱点控制程序 （依据IS027001标准） 1?目的 为规范公司信息系统技术薄弱点的管理，包括信息管理的各个方面, 如基础网络、应用系统、桌面工作、电源、机房环境等，特制定本程序。 2.范围 本程序适用于公司的管理体系覆盖的所有要素和部门。 3?职责与权限 3.1技术部 公司信息系统相关技术薄弱点的归口管理部门，负责信息系统方面 技术薄弱点的管理及协调处理。 3.2其它部门 信息系统的技术薄弱点的上报及协助处理。 相关文件 a）《信息安全风险评估控制程序》 术语定义 无 控制程序 6.1技术薄弱点的识别 6.1.1技术部对公司信息系统内的资产进行识别，包括资产的软件 供应商、版本号、应用情况、资产管理人员。 6.1.2其它部门应定期对本部门管理和使用的资产进行识别，包括 资产的软件供应商、版本号、应用情况、资产管理人员。 6.2技术薄弱点管理 6.2.1归口管理部门对技术薄弱点应进行风险评估，进行专项分析, 制订风险处理计划，根据风险处理计划采取对应的技术和管理措施。风 险评估方法参见《信息安全风险评估控制程序》。 6.2.2本公司与信息安全管理有关的所有员工对发现的信息安全薄 弱点或潜在威胁均应履行报告义务。 6.2.3技术薄弱点的发现部门/发现者应填写《信息安全薄弱点报 告》，技术部及相关部门制订风险处理讣划，根据风险处理计划进行整改 处理。 6.2.4技术部负责人对风险处置计划进行审核，对需要执行的计划 组织相应资源进行整改。 7附件、记录 7.1《信息安全薄弱点报告》