信息系统源代码安全扫描管理制度.docx

附件 2： 制度管理信息表 制度基本信息项 制度名称 XX 公司信息系统源代码安检测描管理规范 制度层级 □基本制度 ■一般制度 □操作规范 发文部门 信息安全部 主要业务领域 信息科技 现行版本 1.0 版 现行版本印发日期 主要关联制度 2019 年 X 月 X 日 上次版本 上次版本发文号 上次印发日期 密级 起草人 签发人 本次版本有效截止日期 修订信息 本次修订要点  秘密 2021 年 x 月 x 日 (对制度进行修订时填写) 历史修订记录 备注 XX 信息系统源代码安检测描管理规范 (1.0 版， 2019 年) 目录 1 总则 1 1.1 目的 1 1.2 适用范围 1 2 源代码漏洞评级 1 3 源代码安检测描要求及流程 1 3.1 源代码安检测描要求 1 3.2 源代码安检测描流程 2 4 漏洞处理流程及时效要求 2 5 职责分工 3 5.1 信息安全部 3 5.2 各部门开发室 3 6 处罚规定 4 7 附则 4 附录一 4 1 总则 1.1 目的 为规范 XX 公司信息系统源代码安检测描的操作流程，保障及时 发现安全漏洞，加快漏洞处理响应时间，消除安全隐患，特制定本管 理规范。 1.2 适用范围 本规范适用于公司所有拥有源代码的信息系统，包括但不限于： 自主开发和外购系统，系统类型包括 Web 系统、移动终端 APP、小程 序、 SDK 等。 2 源代码漏洞评级 源代码漏洞是在代码上存在的缺陷， 从而可以使攻击者能够在未 授权的情况下访问或破坏系统。 源代码漏洞根据检测的难易程度、 成 功利用的可能性、潜在影响等维度进行评级，分为高危漏洞、中危漏 洞、低危漏洞共三类，详细评级标准见附录一。 3 源代码安检测描要求及流程 3.1 源代码安检测描要求 源代码安检测描以子系统为单位进行代码扫描、检测和漏洞跟 1 进。子系统代码扫描范围如下： ➢ 新项目或重大变更的子系统，在上线前必须经过源代码安检测描 ➢ 未经过源代码安检测描的存量子系统，信息安全部排期进行扫描 3.2 源代码安检测描流程 需进行代码扫描的子系统可根据实际情况选择以下流程进行代 码扫描： 1)开发人员提交代码至信息安全部，由信息安全部进行扫描并对扫 描结果进行人工复查，提交最终扫描报告； 2)开发人员自行使用源代码安全检测平台进行代码扫描，并提交人 工复查申请。信息安全部对扫描结果进行人工复查后提交最终扫描报 告。 开发人员根据信息安全部提交的最终扫描报告对漏洞进行确认和 修复， 并提交源代码至信息安全部进行复测，确认漏洞最终修复状态。 4 漏洞处理流程及时效要求 4.1 漏洞处理流程 漏洞处理通过信息安全工单进行跟进，对于发现的源代码漏洞， 信息安全部将漏洞的风险等级、详细信息描述及修复建议通知到处理 负责人， 处理负责人应在 2 个自然日内对漏洞的影响范围、 整改修复 计划进行确认， 并在要求的处理时效内完成漏洞整改修复， 逾期未修 复漏洞将按逾期时间逐级上升至相关领导。 因特殊情况无法在要求的 2 时效内完成整改， 处理负责人需提前提交延期申请及修复计划， 由信 息安全部负责人、科技发展及创新条线总监及首席信息官审批。 4.2 漏洞处理时效要求 源代码漏洞通常为局部代码存在的风险， 在系统使用过程中不易 发现，被利用的条件不一定具备，但一旦触发，可对系统造成破坏。 结合源代码漏洞特点，不同级别漏洞的修复时效要求参考附录一。 5 职责分工 5.1 信息安全部 ➢ 发现公司信息系统在源代码层面存在的漏洞， 及时将发现的漏 洞转交相关部门做修复处理，并提供合理可行的修复建议。 ➢ 对本规范的执行情况进行检查， 确保所有漏洞都按照既定流程 进行了有效的处理。 5.2 各部门开发室 负责公司各应用系统源码代码漏洞的修复工作，包括： ➢ 根据信息安全部提供的扫描报告或漏洞描述，制定修复工作 日程，按照既定的时效要求进行整改修复。 ➢ 如确实存在特殊原因无法按时完成修复的，应在修复截止日 期前向信息安全部申请延期，并共同协商延后的修复时间和 排期。 3 6 处罚规定 对出现严重违反本管理规范的违规行为而引发信息安全事件或 令公司遭受名誉、经济等损失的，将视其所造成的影响或损失，依据 行内相关处罚规定，对相关责任人进行处罚。 7 附则 本规范由信息安全部制定、 修改并负责解释。 本规范自发布之日 起施行。 附录一 漏洞等级 评定标准 修复时效 1)对程序有很大的影响，出现频率高； 1 个月 高危 2)容易被检测和利用，且成功利用会造成巨 大损失。 1)对程序有很大的影响，但出现频率不高； 2 个月 中危 2)难以被检测和利用，但成功利用会造成巨 大损失。 1)对程序影响不大 ,成功利用造成的损失较 自行排期 低危 小。 注：参考扫描工具的分级说明 4