补丁及安全漏洞管理办法模板.docxVIP

PAGE

PAGE1

补丁及安全漏洞及安全漏洞管理制度

第一章总则

第一条目的

为了公司计算机系统安全稳定，避免或降低因系统漏洞及脆弱性对公司信息资产带来的风险，特制定本管理规定。

第二条适用范围

本管理规定适用于公司全体员工所使用的服务器操作系统、工作站操作系统、PC机及笔记本电脑系统、各类数据库、应用系统的补丁及安全漏洞管理。

第三条职责

（一）各部门负责所辖服务器系统、数据库及应用平台补丁及安全漏洞管理控制工作；所辖服务器系统、数据库及应用平台补丁及安全漏洞测试、更新及安装；为各部门桌面计算机及笔记本电脑系统补丁及安全漏洞管理提供技术性支持。

（二）各部门员工负责本人管理服务器设备和使用的系统补丁及安全漏洞升级。

第二章工作过程及规定

第四条影响评估

在正式升级补丁及安全漏洞前，信息安全管理部门应考虑以下方面的安全要求：

（一）升级补丁及安全漏洞对目前业务的影响；

（二）操作系统的变更对应用系统的影响；

（三）变坚实施前应进行安全测试（重要或紧急补丁及安全漏洞，以软件供应商的定义为准）；

（四）不成功的变更恢复措施（重要或紧急补丁及安全漏洞，以软件供应商的定义为准）。

第五条补丁及安全漏洞的获取

（一）补丁及安全漏洞重要、紧急及普通的区别以软件供应商的定义为准；

（二）信息安全管理部门应及时关注涉及公司核心业务的操作系统、数据库、应用系统的软件供应商发布的补丁及安全漏洞信息，对于软件供应商发布的重要、紧急补丁及安全漏洞，信息安全管理部门必须在补丁及安全漏洞发布两天内向软件供应商获取最新补丁及安全漏洞。

（三）重要、紧急补丁及安全漏洞，信息安全管理部门获取后，必须完成影响评估与测试，编制重要补丁及安全漏洞测试报告，提交部门经理审批后，方可安装，更多要求参见公司相关策略。

（四）若计算机或服务器可以访问互联网，对于普通补丁及安全漏洞升级，可以通过公司计算机或服务器安装的安全软件或系统的自动更新功能自动进行获取。

（五）若因计算机或服务器不能访问互联网而导致不能获取普通补丁及安全漏洞，则信息安全管理部门应在新补丁及安全漏洞发布一周内，将新补丁及安全漏洞下载并刻录于光盘上，交由相关设备管理人员升级补丁及安全漏洞。

（六）普通PC机及笔记本电脑用户每周应自我检查本人PC或笔记本电脑系统（包括操作系统与主要应用系统）补丁及安全漏洞升级状况，确保补丁及安全漏洞升级至最新。

（七）信息安全管理部门每周应抽查服务器系统（包括操作系统与主要应用系统）补丁及安全漏洞升级状况；

（八）公司高级管理人员使用计算机，可以指定信息安全管理部门IT人员负责其补丁及安全漏洞升级，信息安全管理部门应同时提供两人承担此项工作，一人操作一人监控，且相关设备不可带出其所有者办公区域；

第六条重提紧急补丁及安全漏洞的放置于测试

（一）信息安全管理部门必须对获取的重要、紧急补丁及安全漏洞进行测试；

（二）测试完成后，信息安全管理部门应编制《重要、紧急补丁及安全漏洞测试报告》；

（三）通过测试的重要、紧急补丁及安全漏洞连同测试报告及安装使用说明一同放置于指定服务器位置或刻录光盘并通过内部公告通知公司员工进行安装升级；

（四）若重要、紧急补丁及安全漏洞未通过测试，则信息安全管理部门应及时联系软件供应商，寻求技术支持，在问题未解决期间，信息安全管理部门应安排人员严密监控系统运行，做好数据备份或设备冗余；

第七条重要、紧急补丁及安全漏洞的升级

（一）测试通过后，各系统使用者接到信息安全管理部门升级通知后应及时进行备份，并升级补丁及安全漏洞；

（二）如升级过程中出现特例的升级冲突，应及时联系信息安全管理部门支持，恢复备份系统或回退至原有状态；

（三）对特例的升级冲突，应立即组织对特例环境下该补丁及安全漏洞包的重新测试，如问题不能得到解决应及时寻求软件供应商支持。

第三章其它及处罚

第八条记录

补丁及安全漏洞管理过程相关记录由信息安全管理部门门收集、归档、保管。

第九条处罚

对造成公司损失的责任单位和责任人，视情节轻重通报和给予相应的处罚。