网络安全与信息化信息系统安全补丁管理细则 .pdfVIP

安全管理第1版/第0次修改

信息系统安全补丁管理细则

第一章目的

第一条为了加强和规范xxx单位信息系统安全补丁管理工

作，提高信息系统安全防护能力，确保信息系统持续稳定运

行，特制定本管理细则。

第二章范围

第二条本细则适用于xxx单位信息系统安全补丁的获取、

测试、安装和归档管理。

第三章概述

第三条本文为xxx单位实施信息系统安全补丁管理提供指

导。其中定义了事件相关角色，及角色职责，并详细描述了

补丁管理过程中的规范性内容。

第四章角色与职责

第四条信息安全部门

（一）负责审批安全补丁安装申请。

（二）负责组织发布安全补丁相关信息。

（三）负责审核安全补丁测试结果，协调检查安全补丁安装

的结果。

（四）负责组织补丁的测试工作。

第五条信息安全执行部门

1

安全管理第1版/第0次修改

（一）负责安全补丁具体更新工作，包括安全补丁跟进、

获取、测试、安装和验证等；

（二）对安全补丁安装的相关记录进行备案。

（三）负责安全补丁的信息发布和安全补丁的提供；

（四）负责配合制定安全补丁测试和回退计划、安全补丁安

装、安全补丁回退等工作。

第五章补丁的跟进和获取

第六条在信息系统安全补丁跟进与获取过程中，执行人员

主要负责以下几点工作：

（一）负责定期进行漏洞扫描，跟进相应的安全漏洞信息；

跟进信息系统开发商/设备厂商发布的安全补丁信息，及时

向信息安全部门报告安全补丁信息。

（二）负责从正式渠道获取安全补丁，包括信息系统开发

商/设备厂商提供、专业网站获取。

（三）负责对安全补丁进行完整性校验，确保获取的安全补

丁程序未被修改和可用。

第七条获得最新安全补丁后，由执行人员和安全管理员共

同负责补丁的评估工作。安全补丁评估是对补丁的级别做出

判断，参考如下方法进行：

（一）受影响的网络范围；

（二）受影响的PC/终端范围；

2

安全管理第1版/第0次修改

（三）是否影响到关键业务的应用，进行适当的风险判断；

（四）已经知道该漏洞的人员范围；

（五）是否已经出现针对此漏洞的攻击方法；

（六）此漏洞会获得什么样的权限。

第八条安全补丁根据其对应漏洞的严重程度分为三个级别：

紧急安全补丁、重要安全补丁和一般安全补丁：

（一）紧急安全补丁应在1个月内完成安装；

（二）重要安全补丁推荐应在2个月内完成安装；

（三）一般安全补丁经评审后推荐在3个月天内完成安装。

第六章补丁测试与安装

第九条安全补丁安装之前必须经过严格的测试，严禁未经

测试的安全补丁直接在生产系统上安装，具体管理要求如下：

（一）安全补丁测试的内容包括安装测试、功能性测试、

兼容性测试和回退测试：

（二）安装测试主要测试安全补丁安装过程是否正确无误，

安全补丁安装后系统是否正常启动；

（三）功能性测试主要测试安全补丁是否对安全漏洞进行了

修补；

（四）兼容性测试主要测试安全补丁安装后是否对系统带来

影响，系统是否可以正常运行；

3

安全管理第1版/第0次修改

（五）回退测试主要包括安全补丁卸载测试、系统还原测试。

第十条在xxx单位测试环境进行的测试的工作由信息系统

开发商/设备厂商负责实施，由安全部门负责组织协调补丁

测试工作，执行部门负责执行测试，信息系统开发人员/开

发商/设备厂商提供技术支持和工作协助，测试完成后应编

写相应的测试报告，给出明确的测试结论。第十一条为确

保信息系统开发商/设备提供商及时配合安全补丁的测试和