信息系统设备缺陷管理规定.docVIP

信息系统设备缺陷管理规定 PAGE 共 SECTIONPAGES7 页 第 PAGE 7 页 信息系统设备缺陷管理规定 总则 为指导和规范全省信息系统设备缺陷管理工作，加强设备缺陷管理，提高设备健康水平，确保信息系统安全稳定运行，为设备维修提供依据，特制定本规定。 本规定所指的信息系统设备是指所有已投入运行或备用的各类重要信息系统设备。 本管理规定适用于XXXX公司及直属各单位。 规范性引用文件 下列文件中的条款通过本部分的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，凡是不注日期的引用文件，其最新版本适用于本规范。 Q/CSG-11813-2009 管理信息系统安全等级保护标准 术语和定义 3.1缺陷 是指使用中的设备、设施发生的异常或存在的隐患（包括信息安全漏洞）。这些异常或隐患将影响设备和系统安全、可靠运行。设备缺陷类别按照其严重程度分为紧急缺陷、重大缺陷和一般缺陷。 3.2紧急缺陷 也称I类缺陷。是指设备或设施存在直接威胁系统安全运行并需立即处理的隐患，随时可能造成系统重大运行事故或安全事件。 3.3重大缺陷 也称II类缺陷。是指设备尚可继续运行，但情况严重，已影响设备效率的正常发挥，不能满足系统正常运行之需要，或不及时处理会发生事故，或存在高级风险安全漏洞，威胁信息系统安全运行的缺陷。 3.4一般缺陷 也称III类缺陷。是指设备尚可继续运行，但性质一般、情况轻微，短时之内不会劣化为重大缺陷、紧急缺陷，或存在中级风险安全漏洞，对运行虽有影响但尚能坚持运行者。 3.5信息设备 所有已投入运行或备用的各类重要信息设备和系统，包括但不限于服务器类设备（微机服务器、刀片服务器、小型机、存储设备、备份设备等）、通信设备（各种交换机、路由器、负载均衡设备等）、安全设备（防火墙、入侵检测防护设备、漏洞扫描设备、运维审计设备等）、机房环境设备（空调新风、供配电设备、综合布线设备、综合监控设备等）设备缺陷的全过程管理。 3.6缺陷表象 缺陷表象是对缺陷现象的标准化描述。 3.7缺陷部位 缺陷部位是对缺陷发生部位的准确定位。 3.8缺陷原因 缺陷原因是从技术原因和责任原因两个方面对缺陷的产生原因进行分析。 3.9缺陷降级 对上报的紧急缺陷和重大缺陷经过一定的处理（包括通过调整缺陷设备的运行方式），使其危急程度有所下降，但未能达到彻底消除的情况，通过归口管理部门审核批准后，可将缺陷级别降低。 3.10运维部门 指按照设备运行管理的规定，负责信息设备运行维护、定检的部门。 总体管理要求 4.1设备缺陷管理必须坚持“三不放过”的原则（缺陷原因未查明不放过、缺陷没有得到彻底处理不放过、同类设备同一原因的缺陷没有采取防范措施不放过），做到控制源头、及时发现、及时消除。 4.2各单位应积极加强巡检，及时发现和处理缺陷。 4.3各单位应加强本单位的备品备件管理，确保关键设备有充足的备品备件，以缩短设备缺陷处理时间。 4.4在发现设备缺陷时，应尽快加以消除，努力做到防患于未然。 职责 公司信息部职责 5.1.1公司信息部是公司信息系统设备缺陷的归口管理部门； 5.1.2负责组织制定并督促落实信息设备缺陷管理的相关制度； 5.1.3组织协调公司范围内的信息设备重大缺陷、紧急缺陷的处理； 5.1.4协调解决消缺工作中的问题，负责审定技术复杂、费用较大的缺陷处理方案； 5.1.5审核运维部门提出的缺陷延时申请和降级申请。 信息中心职责 5.2.1信息中心是公司本部、直属中心机构信息系统设备缺陷管理工作的执行部门； 5.2.2及时掌握所辖设备的缺陷情况，负责对管辖范围内设备的缺陷消除工作，对尚不能立即消除的缺陷进行有效的监督； 5.2.3负责对直属各单位的信息设备缺陷消除工作提供技术支持，指导并监督各单位的设备缺陷管理工作； 5.2.4负责组织开展设备状态测评工作。 5.2.5按职责分工组织或参与管辖范围内设备缺陷的消除验收工作。 5.3 直属单位信息管理部门职责 5.3.1直属各单位信息管理部门是本单位设备缺陷管理工作的执行部门； 5.3.2及时掌握所辖设备的缺陷情况，负责对管辖范围内设备的缺陷消除工作，对尚不能立即消除的缺陷进行有效的监督； 5.3.3负责组织处理紧急、重大缺陷，并按要求及时上报； 5.3.4负责设备缺陷处理的统计、分析，并按规定上报。 设备缺陷管理流程 设备缺陷的管理工作流程 6.1.1设备缺陷的管理工作流程包括设备缺陷的发现与填报、受理分析、处理、验收环节。 6.1.2设备运维人员发现缺陷后，应及时填报缺陷处理单（格式见附件2 缺陷处理单），并对设备缺陷进行定级。 6.1.3发现紧急缺陷和对系统安全稳定运行有影