信息系统安全漏洞评估及管理新规制度V.docxVIP

四川长虹虹微企业公布××××–××

四川长虹虹微企业公布

××××–××–××实施

××××–××–××公布

信息系统安全漏洞评定及管理制度

四川长虹电器股份

虹微企业管理文件

目录

TOC\o1-3\h\z\u1 概况 2

1.1目标 2

1.2目标 2

2 正文 2

2.1.术语定义 2

2.2.职责分工 3

2.3.安全漏洞生命周期 3

2.4.信息安全漏洞管理 3

2.4.1 标准 3

2.4.2 风险等级 4

2.4.3 评定范围 5

2.4.4 整改时效性 5

2.4.5 实施 6

3 例外处理 7

4 检验计划 8

5 解释 8

6 附录 8

概况

目标

1、规范集团内部信息系统安全漏洞（包含操作系统、网络设备和应用系统）评定及管理，降低信息系统安全风险；

2、明确信息系统安全漏洞评定和整改各方职责。

适用范围

本制度适适用于虹微企业管理全部信息系统，非虹微企业管理信息系统可参考实施。

正文

术语定义

信息安全Informationsecurity

保护、维持信息保密性、完整性和可用性，也可包含真实性、可核查性、抗抵赖性、可靠性等性质。

信息安全漏洞Informationsecurityvulnerability

信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生缺点，这些缺点以不一样形式存在于计算机信息系统各个层次和步骤之中，一旦被恶意主体利用，就会对信息系统安全造成损害，影响信息系统正常运行。

资产Asset

安全策略中，需要保护对象，包含信息、数据和资源等等。

风险Risk

资产脆弱性利用给定威胁，对信息系统造成损害潜在可能。风险危害可经过事件发生概率和造成影响进行度量。

信息系统（Informationsystem）

由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成以处理信息流为目标人机一体化系统，本制度信息系统关键包含操作系统、网络设备和应用系统等。

职责分工

安全服务部：

负责信息系统安全漏洞评定和管理，漏洞修复验证工作，并为发觉漏洞提供处理提议。

各研发部门

研发部门负责修复应用系统存在安全漏洞，并依据本制度要求提供给用系统测试环境信息和源代码给安全服务部进行安全评定。

数据服务部

数据服务部负责修复生产环境和测试环境操作系统、网络设备存在安全漏洞，并依据本制度要求提供最新最全操作系统和网络设备IP地址信息。

安全漏洞生命周期

依据信息安全漏洞从产生到消亡整个过程，信息安全漏洞生命周期可分为以下多个阶段：

漏洞发觉：经过人工或自动方法分析、挖掘出漏洞过程，且该漏洞可被验证和重现。

漏洞利用：利用漏洞对信息系统保密性、完整性和可用性造成破坏过程。

漏洞修复：经过补丁、升级版本或配置策略等方法对漏洞进行修补过程，使该漏洞不能被利用。

漏洞公开：经过公开渠道（如网站、邮件列表等）公布漏洞信息过程。

信息安全漏洞管理

标准

信息安全漏洞管理遵照以下：

分级标准：应依据对业务影响程度，对安全漏洞进行分级；同时对不一样等级安全漏洞实施不一样处理要求；

立即性标准：安全服务部应立即把发觉漏洞公布给相关责任人；各部门在对安全漏洞进行整改时，立即出具整改方案，立即进行研发或更新补丁和加固，立即消除漏洞和隐患；

安全风险最小化标准：在处理漏洞信息时应以信息系统风险最小化为标准；

保密性标准：对于未修复前安全漏洞，必需严格控制评定汇报发放范围，对评定汇报中敏感信息进行屏蔽。

风险等级

充足考虑漏洞利用难易程度和对业务影响情况，采取DREAD模型对安全漏洞进行风险等级划分。

在量化风险过程中，对每个威胁进行评分，并根据以下企业计算风险值：

Risk=D+R+E+A+D

DREAD模型

类别等级

高(3)

中(2)

低(1)

DamagePotential

潜在危害

获取完全权限；实施管理员操作；非法上传文件等等

泄露敏感信息

泄露其它信息

Reproducibility

反复利用可能性

攻击者能够随意再次攻击

攻击者能够反复攻击，但有时间或其它条件限制

攻击者极难反复攻击过程

Exploitability

利用困难程度

初学者在短期内能掌握攻击方法

熟练攻击者才能完成这次攻击

漏洞利用条件很苛刻

Affectedusers

影响用户范围

全部用户，默认配置，关键用户

部分用户，非默认配置

极少数用户，匿名用户

Discoverability

发觉难易程度

漏洞很显眼，攻击条件很轻易取得

在私有区域，部分人能看到，需要深入挖掘漏洞

发觉该漏洞极其困难

说明：每一项全部有3个等级，对应着权重，从