（完整版）系统运维管理-信息安全漏洞管理规定.pdfVIP

（完整版）系统运维管理-信息安全漏洞管理规定--第1页

（完整版）系统运维管理-信息安全漏洞管理规定

信息安全漏洞管理规定

版本历史

编制人：

审批人：

目录

目录(2)

信息安全漏洞管理规定(4)

1.目的(4)

2.范围(4)

3.定义(4)

3.1ISMS(4)

3.2安全弱点(4)

4.职责和权限(5)

4.1安全管理员的职责和权限(5)

4.2系统管理员的职责和权限(5)

4.3信息安全经理、IT相关经理的职责和权限(6)

4.4安全审计员的职责和权限(6)

5.内容(6)

5.1弱点管理要求(6)

5.2安全弱点评估(8)

5.3系统安全加固(8)

5.4监督和检查(9)

6.参考文件(9)

7.更改历史记录(9)

8.附则(9)

9.附件(9)

信息安全漏洞管理规定

1.目的

（完整版）系统运维管理-信息安全漏洞管理规定--第1页

（完整版）系统运维管理-信息安全漏洞管理规定--第2页

建立信息安全漏洞管理流程的目的是为了加强公司信息安全保障

能力，建立健全公司的安全管理体系，提高整体的网络与信息安全水

平，保证业务系统的正常运营，提高网络服务质量，在公司安全体系

框架下，本策略为规范公司信息资产的漏洞管理（主要包含IT设备的

弱点评估及安全加固），将公司信息资产的风险置于可控环境之下。

2.范围

本策略适用于公司所有在生产环境和办公环境中使用的网络系统、

服务器、应用系统以及安全设备。

3.定义

3.1ISMS

基于业务风险方法，建立、实施、运行、监控、评审、保持和改

进信息安全的体系，是公司整个管理体系的一部分。

3.2安全弱点

安全弱点是由于系统硬件、软件在设计实现时或者是在安全策略

的制定配置上的错误而引起的缺陷，是违背安全策略的软件或硬件特

征。有恶意企图的用户

能够利用安全弱点非法访问系统或者破坏系统的正常使用。3.3

弱点评估弱点评估是通过风险调查，获取与系统硬件、软件在设计实

现时或者是在安全策略的制定配置的威胁和弱点相关的信息，并对收

集到的信息进行相应分析，在此基础上，识别、分析、评估风险，综

合评判给出安全弱点被利用造成不良事件发生的可能性及损失/影响程

度的观点，最终形成弱点评估报告。

4.职责和权限

阐述本制度/流程涉及的部门（角色）职责与权限。

4.1安全管理员的职责和权限

1、制定安全弱点评估方案，报信息安全经理和IT相关经理进行审

批；

2、进行信息系统的安全弱点评估；

3、生成弱点分析报告并提交给信息安全经理和IT相关经理备案；

4、根据安全弱点分析报告提供安全加固建议。

（完整版）系统运维管理-信息安全漏洞管理规定--第2页

（完整版）系统运维管理-信息安全漏洞管理规定--第3页

4.2系统管理员的职责和权限

1、依据安全弱点分析报