信息系统安全漏洞评估及管理制度.docxVIP

信息系统安全漏洞评估及管理制度 23安全漏洞生命周期3 24信息安全漏洞管理3 1概况 11目的 1、规集团部信息系统安全漏洞（包括操作系统、设备和应用系统）的评估及管理，降低信息系统安全风险； 2、明确信息系统安全漏洞评估和整改各方职责。 12适用围 本制度适用于虹微公司管理的所有信息系统，非虹微公司管理的信息系统可参照执行。 2正文 21术语定义 211信息安全security 保护、维持信息的性、完整性和可用性，也可包括真实性、可核查性、抗抵赖性、可靠性等性质。 信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷，这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体利用，就会对信息系统的安全造成损害，影响信息系统的正常运行。 213资产Asset 版本 安全策略中，需要保护的对象，包括信息、数据和资源等等。 资产的脆弱性利用给定的威胁，对信息系统造成损害的潜在可能。风险的危害可通过事件发生的概率和造成的影响进行度量。 由计算机硬件、和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统，本制度信息系统主要包括操作系统、设备以及应用系统等。 22职责分工 221安全服务部： 负责信息系统安全漏洞的评估和管理，漏洞修复的验证工作，并为发现的漏洞提供解决建议。 222各研发部门 研发部门负责修复应用系统存在的安全漏洞，并根据本制度的要求提供应用系统的测试环境信息和源代码给安全服务部进行安全评估。 223数据服务部 数据服务部负责修复生产环境和测试环境操作系统、设备存在的安全漏洞，并根据本制度的要求提供最全的操作系统和设备的IP地址信息。 23安全漏洞生命周期 依据信息安全漏洞从产生到消亡的整个过程，信息安全漏洞的生命周期可分为以下几个阶段： b)漏洞的利用：利用漏洞对信息系统的性、完整性和可用性造成破坏的过程。 c)漏洞的修复：通过补丁、升级版本或配置策略等方法对漏洞进行修补的过程，使该漏 洞不能被利用。 d)漏洞的公开：通过公开渠道（如、列表等）公布漏洞信息的过程。 24信息安全漏洞管理 241原则 信息安全漏洞管理遵循以下： b)及时性原则：安全服务部应及时把发现的漏洞发布给相关的负责人；各部门在对安全漏洞进行整改时，及时出具整改方案，及时进行研发或更新补丁和加固，及时消除漏洞与隐患； c)安全风险最小化原则：在处理漏洞信息时应以信息系统的风险最小化为原则； d)性原则：对于未修复前的安全漏洞，必须严格控制评估报告发放围，对评估报告中敏 版本 感的信息进行屏蔽。 242风险等级 充分考虑漏洞的利用难易程度以及对业务的影响情况，采取DREAD模型对安全漏洞进行风险等级划分。 版本 表二：风险等级对应分数 评估围 1)安全服务部应定期对信息系统进行例行的安全漏洞评估，操作系统层面的评估主要以自动化工具为主，应用系统层面评估以自动化工具和手动测试相结合。 2)操作系统层面评估的围为所有生产系统的服务器；层面评估的围为公司部所 有的路由器、交换机、防火墙等设备；应用系统层面评估的围为所有生产环境的应用系统，包括对互联网开发的应用系统以及网的应用系统。 3)操作系统层面安全漏洞评估的周期为每季度一次，并出具漏洞评估报告。 4)应用系统层面的安全评估，新系统在第一个版本上线前，必须经过安全测试和源代码安全扫描。 5)应用系统层面的安全评估，对于原有系统进行版本更新的，按照下面的规则进行评估： ①如果本次版本中涉及信息安全漏洞整改的，在上线前必须经过安全测试； ②如果本次版本中没有涉及信息安全漏洞整改的依据下面的规则进行安全测试： b、应用系统安全级别为中级或低级别的，每间隔5个版本进行一次安全测试，比如在10版本进行了安全测试，那下次测试在16版本需要进行安全测试； c、如果需要进行测试的版本为紧急版本，可以延后到下一个正常版本进行安全测试。 版本 6)安全服务部应定期跟进安全漏洞的修复情况，并对已修复的安全漏洞进行验证。 7)信息系统安全评估报告中应包括信息系统安全水平、漏洞风险等级的分布情况、漏洞的详细信息、漏洞的解决建议等。 244整改时效性 依据信息系统部署的不同方式和级别，以及发现的安全漏洞不同级别，整改时效性有一定的差异。 应用系统安全漏洞整改时效性要求 依据DREAD模型，和应用系统的不同级别，应用系统安全漏洞处理时效要求如下表,低风 险安全漏洞不做强制性要求。 表三：应用系统安全漏洞整改时效性要求 操作系统安全漏洞整改时效性要求 依据操作系统所处区域的不同，操作系统的安全漏洞处理时效要求如下表，低风险 安全漏洞不做强制性要求。 版本 表四：操作系统安全漏洞整改时效性要求 实施 根据安全漏洞生命周期中漏洞所处的不同状态，将漏洞管理行为对应为预防