网络安全与信息化信息安全扫描与漏洞修复管理细则.pdf

安全管理第1版/第0次修改

信息安全扫描与漏洞修复管理细则

第一章目的

第一条为了加强xxx单位信息系统针对恶意攻击的防护能

力，规范信息安全技术扫描及漏洞修复过程的安全管控，特

制定本管理细则。

第二章范围

第二条本细则适用于xxx单位信息系统安全扫描及漏洞修

复等相关管理工作。

第三章概述

第三条本细则为xxx单位实施安全扫描及漏洞修复提供指

导，文章中定义了事件相关角色，并详细描述了漏洞扫描及

漏洞修复工作的规范性内容。

第四章角色与职责

第四条信息安全部门

（一）负责组织定期或不定期的信息系统安全技术扫描，

根据扫描结果提出加固要求；

（二）负责组织跟踪验证加固结果，并保留相关记录、证据。

第五条执行部门

（一）负责根据信息安全部门要求进行信息安全漏洞相关

的自查工作；

1

安全管理第1版/第0次修改

（二）负责根据信息安全部门要求制定相应的技术扫描实施

方案；

（三）负责完成加固方案的编制，进行相应的加固工作。

第五章信息安全漏洞扫描

第六条基本规定

（一）应对xxx单位信息系统进行周期性的安全技术扫描，

覆盖所有的信息系统安全扫描周期应至少每学期开展一次。

（二）未经信息安全部门批准，任何人员、组织不得以任何

形式对xxx单位网络及信息系统进行任何形式的安全技术扫

描工作；

（三）扫描过程中原则上不得使用对信息系统具有破坏性手

段和程序，如果需要采用，须说明原因和准备预案并信息安

全部门批准；

（四）安全扫描应尽量选择非业务高峰期或工作时间进行，

原则上在下班时间或者周六、周日进行。

第七条安全扫描工作发起

（一）信息安全部门在组织开展风险评估、信息安全检查

等工作时可同步组织进行安全扫描工作。

（二）为提升信息系统安全防范能力，信息安全部门可聘请

外部专业技术人员进行扫描，执行部门应负责配合执行。

第八条安全扫描工作准备

2

安全管理第1版/第0次修改

（一）任何安全扫描工作应制定详细的工作方案或计划，内

容包括：工作原理、工作方式、工作范围、组织分工、所需

资源、工作步骤、时间安排、风险评估、应急措施。

（二）对于安全扫描应严格限定扫描范围，有条件的情况下

应搭建测试和模拟环境进行扫描测试，测试环境与生产环境

一致。

（三）应充分的预计安全扫描过程中可能产生的风险，并

进行评估，根据评估结果选取相应的风险处置方式，对于风

险过大的扫描工作可以考虑不进行。

（四）安全扫描所需申请资源包括端口、IP、用户权限等应

在扫描工作前执行部门进行申请审批，其他资源应在工作前

向相关部门进行申请。

（五）针对安全扫描引起的风险应准备相应应急和回退措

施。

（六）安全扫描前应对所采取主要的工具、使用方式进行说

明，原则上不使用未经验证的检查手段，使使用测试用测试模拟环境

除外。

（七）对于由外部专业人员进行的安全扫描工作，应与相

应人员签订保密协议。

所有上述内容应整理制定成安全检查计划/方案，并填写相关

表单，提交信息安全部门进行审批后执行。

第九条安全扫描实施控制

3

安全管理第1版/第0次修改

（一）扫描过程中应指定支持配合的执行人员，对于引起

的信息安全事件应及时进行处置。

（二）对于外部人员在中心内部网络发起的扫描测试，信

息安全部门应协调执行单位专人现场监督，防止出现非法和

恶意操作。

（三）扫描过程中网络管理员应及时观察IDS、防火墙及其

他网络安全监