安全漏洞管理新规制度.doc

1、文件名称版本号文件编号机密等级公布日期生效日期拟制日期审核日期同意日期XXXX 安全漏洞管理制度创建/变更人改变状态变更摘要(章节/内容)版本创建/变更时间同意人文件修订履历改变状态：新建，增加，修改,删除目录1引言51.1目的51.2对象51.3范围52漏洞获知53级别定义和处理时间要求53.1级别定义53.1.1高风险漏洞定义53.1.2中风险漏洞定义53.1.3漏洞处理原则64职责分工64.1信息安全部64.2 IT中心64.3各产品开发部门65漏洞处理流程76罚则81引言1.1目标本制度规范了XXXX（以下简称：XXXX）信息系统安全漏洞发觉、评定及处理过程。保障尽早发觉安全漏洞，立即

2、消除安全隐患。加紧安全处理响应时间，加强信息资产安全。1.2对象本制度阅读对象为单位全部运维人员、产品开发人员、测试和质量保障人员等。各产品开发、运行、系统运维、质量测试等部门责任人应通读并认真实施本制度中和其职责相关要求。1.3范围本制度中信息系统描述适适用于XXXX信息系统：应用系统：全部业务相关应用系统，包含自主开发和外购产品。操作系统：Windows、Linux和UNIX等。数据库：Oracle、MySQL、SqlServer等。中间件：Tomcat，Apache，Nginx等。网络设备：交换机、路由器等。安全设备：安全管理、审计、防护设备等。2漏洞获知漏洞获知通常有以下方法： 来自软

3、、硬件厂商和国际、中国著名安全组织安全通告。 单位信息安全部门工作人员渗透测试结果及安全评审意见。 使用安全漏洞评定工具扫描。 来自单位合作安全厂商或友好外部安全组织给出漏洞通知。3等级定义和处理时间要求3.1等级定义对于没有CVE评级安全漏洞统一参考附录一标准进行漏洞评级。3.1.1高风险漏洞定义1.操作系统层面：依据CVE标准。2.网络层面：依据CVE标准。3.数据库层面：依据CVE标准。4.中间件（包含应用组件包）：依据CVE标准。5.单位自主开发业务应用：详见附录一。3.1.2中风险漏洞定义1操作系统层面：依据CVE标准。2网络层面：依据CVE标准。3.数据库层面：依据CVE标准。4.

4、中间件（包含应用组件包）：依据CVE标准。5.单位自主开发业务应用：详见附录一。3.1.3漏洞处理标准1.全部高、中风险必需在要求时间内完成修复。2.对于相关安全漏洞修复方案经评定后会影响系统稳定或短期不能找四处理方案漏洞，由信息安全部会同相关部门出具体处理方案。4职责分工4.1信息安全部1.定时对单位生产系统使用应用软件及第三方组件进行漏洞监控和查找，并在当日将高、中风险转交给相关部门处理。2.不定时对本制度实施情况进行检验，确保全部漏洞全部根据步骤进行了有效处理。3.针对发生安全事件，立即总结经验和教训，避免再度发生类似事件。4.帮助各部门提供安全漏洞测试和修复方法，并定时组织安全培训。4

5、.2 IT中心负责办公网、生产网中：操作系统、数据库、中间件、网络设备等安全漏洞监控和修复工作：1.负责维护信息系统全部设备（包含虚拟机）和信息资产列表。2.运维部门依据信息安全部提供安全扫描汇报和本制度，制订整改工作日程，依据优先级根据“3.2处理时间要求”进行整改。外部漏洞优先处理，内部漏洞经信息安全部协商后能够延后处理。4.3各产品开发部门各产品开发部门应在接到漏洞修复通知后，根据“3.2处理时间要求”及附录一相关要求，按时修复所负责应用系统安全漏洞：1.在生产系统中：可获取系统权限（操作系统、数据库、中间件、网络设备、业务系统等）漏洞；可直接造成用户信息、交易信息、单位机密信息外泄漏洞；可直接篡改系统数据漏洞，必需在48小时之内完成修复。2.假如确实存在客观原因，无法根据要求时间完成修复工作，应在修复截止日期前和信息安全部申请延期，并共同约定延后修复时间和排期。5漏洞处理步骤6罚则本制度适适用于单位全体职员，自颁布之日起实施。违反本制度条款责任人，第一次发觉由行政部或相关部门领导对其进行口头批评；第二次发觉以邮件形式在书面进行通报批评并通知所在部门领导；第三次发觉以邮件形式在全单位通报批评，并通知单位内审部；因违反本制度造成严重后果或对单位造成经济损失，由单位内审部对责任人提出处理意见并进行处理。