安全漏洞管理制度

安全漏洞管理制度文件名称文件编号公布日期版本号机密等级奏效日期 XXXX 安全漏洞管理制度拟制审查同意日期日期日期安全漏洞管理制度文件订正简历创立/ 更改人变化状态更改大纲( 章节/ 内容) 版本创立/ 更改时间同意人变化状态：新建，增添，更正 , 删除安全漏洞管理制度目录 1前言 . 目的 . 对象 . 范围 . 2漏洞获知 . 3级别定义和办理时间要求. 级别定义 . 高风险漏洞定义中风险漏洞定义漏洞办理原则 . . 4职责分工 . 信息安所有 . IT 中心各产品开发部门 . . 5漏洞办理流程 . 6罚则 . 错误 !不决义书签。错误 !不决义书签。错误 !不决义书签。错误 !不决义书签。错误 !不决义书签。错误 !不决义书签。错误 !不决义书签。错误 !不决义书签。错误 !不决义书签。错误 !不决义书签。错误 !不决义书签。错误 !不决义书签。错误 !不决义书签。错误 !不决义书签。错误 !不决义书签。错误 !不决义书签。安全漏洞管理制度 1 前言目的本制度规范了 XXXX （以下简称： XXXX）信息系统安全漏洞的发现、评估及办理过程。保障尽早发现安全漏洞，及时除掉安全隐患。加速安全办理响应时间，增强信息财富安全。对象本制度阅读对象为单位所有的运维人员、产品开发人员、测试和质量保障人员等。各产品开发、运营、系统运维、质量测试等部门负责人应通读并仔细履行本制度中与其职责相关的要求。范围本制度中的信息系统描述合用于 XXXX信息系统：应用系统：所有业务相关应用系统，包含自主开发和外购产品。操作系统： Windows 、Linux 和UNIX 等。数据库： Oracle 、MySQL、Sql Server等。中间件： Tomcat ，Apache ，Nginx 等。网络设备：交换机、路由器等。安全设备：安全管理、审计、防范设备等。 2 漏洞获知漏洞获知平时有以下方式：来自软、硬件厂商和国际、国内著名安全组织的安全通知。单位信息安所有门工作人员的浸透测试结果及安全评审建议。使用安全漏洞评估工具扫描。来自单位合作的安全厂商或友善的外面安全组织给出的漏洞通知。 3 级别定义和办理时间要求级别定义对于没有 CVE 评级的安全漏洞一致参照附录一标准进行漏洞评级。高风险漏洞定义 1. 操作系统层面：依照 CVE 标准。 2. 网络层面：依照 CVE 标准。 3. 数据库层面：依照 CVE 标准。 4. 中间件（包含应用组件包）：依照 CVE 标准。 5. 单位自主开发的业务应用：详见附录一。中风险漏洞定义 1 操作系统层面：依照 CVE 标准。安全漏洞管理制度 2 网络层面：依照 CVE 标准。 3. 数据库层面：依照 CVE 标准。 4. 中间件（包含应用组件包）：依照 CVE 标准。 5. 单位自主开发的业务应用：详见附录一。漏洞办理原则 1. 所有高、中风险一定在规准时间内完成修复。 2. 对于相关安全漏洞的修复方案经评估后会影响系统稳固或短期不可以找到解决方案的漏洞，由信息安所有会同相关部门出详尽解决方案。 4 职责分工信息安所有 1. 按期对单位生产系统使用的应用软件及第三方组件进行漏洞监控和查找，并在当日将高、中风险转交给相关部门办理。 2. 不按期对本制度履行状况进行检查，保证所有漏洞都依照流程进行了有效办理。 3. 针对发生的安全事件，及时总结经验和教训，防范再度发生近似事件。 4. 协助各部门供给安全漏洞测试和修复方法，并按期组织安全培训。 IT 中心负责办公网、生产网中：操作系统、数据库、中间件、网络设备等安全漏洞的监控和修复工作： 1. 负责保护信息系统所有设备（包含虚假机）和信息财富列表。 2. 运维部门依据信息安所有供给的安全扫描报告和本制度，拟定整顿工作日程，依据优先级依照“办理时间要求”进行整顿。外面漏洞优先办理，内部漏洞经信息安所有协商后可以延后办理。各产品开发部门各产品开发部门应在接到漏洞修复通知后，依照“办理时间要求”及附录一的相关要求，准时修复所负责应用系统的安全漏洞： 1. 在生产系统中：可获得系统权限（操作系统、数据库、中间件、网络设备、业务系统等）的漏洞；可直接以致客户信息、交易信息、单位机密信息外泄的漏洞；可直接篡改系统数据的漏洞，一定在 48 小时以内完成修复。 2. 假如的确存在客观原由，没法依照规准时间完成修复工作的，应在修复截止日期前与信息安所有申请延期，并共同约定延后的修复时间和排期。安全漏洞管理制度 5 漏洞办理流程安全漏洞管理制度 6 罚则本制度合用于单位全体员工，自宣布之日起履行。违反本制度条款的责任人，第一次发现由行政部或相关部门领导对其进行口头责备；第二次发现以邮件形式在书面进行通知责备并通知所在部门领导；第三次发现以邮件形式在全单位通知责备，并通知单位内审部；因违反本制度造成严重结果或对单位造成经济损失的，由单位内审部对责任人提出办理建议并进行办理。