安全漏洞管理制度.docVIP

文件名称 版本号 ?n?i n? m 令iM乍.sVP 文件编号 机密等级 发布日期 生效日期 XXXX 安全漏洞管理制度 拟制 日期 审核 日期 批准 日期 文件修订履历 目录 TOC \o 1-5 \h \z \o Current Document 1引言 44 1.1目的 44 1.2对象 44 1.3范围 44 \o Current Document 2漏洞获知 44 \o Current Document 3级别定义和处理时间要求 44 3?1级别定义 44 3.1.1高风险漏洞定义 44 3.1.2中风险漏洞定义 55 3.1.3漏洞处理原则 55 \o Current Document 4职责分工 55 4.1信息安全部 55 4.2 IT 中心 55 4. 3各产品开发部门 55 5漏洞处理流程 77 \o Current Document 6罚则 88 1引言 1.1目的 本制度规范了 XXXX （以下简称：XXXX）信息系统安全漏洞的发现、评估及处理过程。保 障尽早发现安全漏洞，及时消除安全隐患。加快安全处理响应时间，加强信息资产安全。 1.2对象 本制度阅读对象为单位所有的运维人员、产品开发人员、测试和质量保障人员等。各产 品开发、运营、系统运维、质量测试等部门负责人应通读并认真执行本制度中与其职责相关 的要求。 1.3范围 本制度中的信息系统描述适用于XXXX信息系统： 应用系统：所有业务相关应用系统，包括自主开发和外购产品。 操作系统：Windows. Linux 和 UNIX 等。 数据库：Oracle、MySQLSql Server 等。 中间件：Tomcat, Apache, Nginx 等。 网络设备：交换机、路曲器等。 安全设备：安全管理、审计、防护设备等。 2漏洞获知 漏洞获知通常有如下方式： ＞来自软、硬件厂商和国际、国内知名安全组织的安全通告。 ＞单位信息安全部门工作人员的渗透测试结果及安全评审意见。 ＞使用安全漏洞评估工具扫描。 ＞来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知。 3级别定义和处理时间要求 3.1级别定义 对于没有CVE评级的安全漏洞统一参考附录一标准进行漏洞评级。 3.1.1高风险漏洞定义 1?操作系统层面：依据CVE标准。 网络层面：依据CVE标准。 3?数据库层面：依据CVE标准。 中间件（包括应用组件包）：依据CVE标准。 单位自主开发的业务应用：详见附录一。 3.1.2中风险漏洞定义 1操作系统层面：依据CVE标准。 2网络层面：依据CVE标准。 数据库层面：依据CVE标准。 中间件（包括应用组件包）：依据CVE标准。 单位自主开发的业务应用：详见附录一。 3?1?3漏洞处理原则 所有高、中风险必须在规定时间内完成修复。 对于有关安全漏洞的修复方案经评估后会影响系统稳定或短期不能找到解决方案的漏 洞，III信息安全部会同有关部门出具体解决方案。 4职责分工 4.1信息安全部 定期对单位生产系统使用的应用软件及第三方组件进行漏洞监控和查找，并在当天将 高、中风险转交给有关部门处理。 不定期对本制度执行情况进行检查，确保所有漏洞都按照流程进行了有效处理。 针对发生的安全事件，及时总结经验和教训，避免再度发生类似事件。 协助各部门提供安全漏洞测试和修复方法，并定期组织安全培训。 4.2IT中心 负责办公网、生产网中：操作系统、数据库、中间件、网络设备等安全漏洞的监控和修 复工作： 负责维护信息系统所有设备（包括虚拟机）和信息资产列表。 运维部门根据信息安全部提供的安全扫描报告和本制度，制定整改工作日程，根据优 先级按照“3.2处理时间要求”进行整改。外部漏洞优先处理，内部漏洞经信息安全部协商后 可以延后处理。 4. 3各产品开发部门 各产品开发部门应在接到漏洞修复通知后，按照“3. 2处理时间要求”及附录一的相关 要求，按时修复所负责应用系统的安全漏洞： 在生产系统中：可获取系统权限（操作系统、数据库、中间件、网络设备、业务系统 等）的漏洞；可直接导致客户信息、交易信息、单位机密信息外泄的漏洞；可直接篡改系统 数据的漏洞，必须在48小时之内完成修复。 如果确实存在客观原因，无法按照规定时间完成修复匸作的，应在修复截止日期前与 信息安全部申请延期，并共同商定延后的修复时间和排期。 图示说明 一、 朕口转、磧件厂麻板也际、国內知乞安仝纽织I .公司信息g部门二作人员的肉透测试结果及 二、 使用安饰谛炖估二具冋乩 二.來白公划合临的安全厂商或友磅的外部安全组畳 一、根掘井估瓷咚州时足否畫憂讨凶险逬行处恥 r“接受凤険不处理 2.人叮接受凤险品要处理 條补漏淀 册卜方式如A ?、及时更傘厂家岂芳灭供的涵洞俺夏补丁 二卩诚起23相先湖I.亲统