信息系统安全漏洞评估及管理制度V1.0

第5页共9页四川长虹虹微公司发布××××–××四川长虹虹微公司发布××××–××–××实施××××–××–××发布信息系统安全漏洞评估及管理制度四川长虹电器股份有限公司虹微公司管理文件目录1 概况 31.1目的 31.2目的 错误!未定义书签。2 正文 32.1.术语定义 32.2.职责分工 42.3.安全漏洞生命周期 42.4.信息安全漏洞管理 42.4.1 原则 42.4.2 风险等级 52.4.3 评估范围 62.4.4 整改时效性 62.4.5 实施 73 例外处理 84 检查计划 95 解释 96 附录 9表二：风险等级对应分数评估范围安全服务部应定期对信息系统进行例行的安全漏洞评估，操作系统层面的评估主要以自动化工具为主，应用系统层面评估以自动化工具和手动测试相结合。操作系统层面评估的范围为所有生产系统的服务器；网络层面评估的范围为公司内部网络所有的路由器、交换机、防火墙等网络设备；应用系统层面评估的范围为所有生产环境的应用系统，包括对互联网开发的应用系统以及内网的应用系统。操作系统层面安全漏洞评估的周期为每季度一次，并出具漏洞评估报告。应用系统层面的安全评估，新系统在第一个版本上线前，必须经过安全测试和源代码安全扫描。应用系统层面的安全评估，对于原有系统进行版本更新的，按照下面的规则进行评估：如果本次版本中涉及信息安全漏洞整改的，在上线前必须经过安全测试；如果本次版本中没有涉及信息安全漏洞整改的依据下面的规则进行安全测试：a、应用系统安全级别为高级别的，每间隔3个版本进行一次安全测试，比如在1.0版本进行了安全测试，那下次测试在1.4版本需要进行安全测试；b、应用系统安全级别为中级或低级别的，每间隔5个版本进行一次安全测试，比如在1.0版本进行了安全测试，那下次测试在1.6版本需要进行安全测试；c、如果需要进行测试的版本为紧急版本，可以延后到下一个正常版本进行安全测试。安全服务部应定期跟进安全漏洞的修复情况，并对已修复的安全漏洞进行验证。信息系统安全评估报告中应包括信息系统安全水平、漏洞风险等级的分布情况、漏洞的详细信息、漏洞的解决建议等。整改时效性依据信息系统部署的不同方式和级别，以及发现的安全漏洞不同级别，整改时效性有一定的差异。应用系统安全漏洞整改时效性要求依据DREAD模型，和应用系统的不同级别，应用系统安全漏洞处理时效要求如下表,低风险安全漏洞不做强制性要求。应用系统安全级别整改的时效性高风险漏洞中风险安全漏洞高级5个工作日10个工作日中级10个工作日10个工作日低级1个月内1个月内表三：应用系统安全漏洞整改时效性要求操作系统安全漏洞整改时效性要求依据操作系统所处网络区域的不同，操作系统的安全漏洞处理时效要求如下表，低风险安全漏洞不做强制性要求。所处网络区域整改的时效性高风险漏洞中风险漏洞对外提供服务区域Window操作系统3个月内Linux&unix操作系统6个月内对于影响特别严重，易受攻击的漏洞，根据公司安全组的通告立即整改完成Window操作系统3个月内Linux&unix操作系统6个月内对内提供服务区域Window操作系统6个月内Linux&unix操作系统12个月内对于影响特别严重，易受攻击的漏洞，根据公司安全组的通告立即整改完成Window操作系统6个月内Linux&unix操作系统12个月内表四：操作系统安全漏洞整改时效性要求实施根据安全漏洞生命周期中漏洞所处的不同状态，将漏洞管理行为对应为预防、发现、消减、发布和跟踪等阶段。漏洞的预防针对集团内部自行开发的Web应用系统，应采用安全开发生命周期流程（SDL-IT），在需求、设计、编码、测试、上线等阶段关注信息安全，提高应用系统的安全水平。数据服务部应依据已发布的安全配置标准，对计算机操作系统进行安全加固、及时安装补丁、关闭不必要的服务、安装安全防护产品等操作。漏洞的发现安全服务部应根据本制度的要求对公司的应用系统、操作系统和网络设备进行安全测试，及时发现信息系统存在的安全漏洞；安全服务部同时还应建立和维护公开的漏洞收集渠道，漏洞的来源应同时包括集团内部、厂商及第三方安全组织；安全服务部应在规定时间内验证自行发现或收集到的漏洞是否真实存在，并依据DREAD模型，确定漏洞的风险等级，并出具相应的解决建议。漏洞的发布安全服务部依据及时性原则，把发现的安全漏洞通知到相关的负责人；漏洞的发布应遵循保密性原则，在漏洞未整改完成前，仅发送给信息系统涉及的研发小组或管理小组，对敏感信息进行屏蔽。漏洞的消减安全漏洞所涉及的各部门应遵循及时处理原则，根据本制度的要求在规定时间内修复发现的安全漏洞；数据服务部在安装厂商发布的操作系统及应用软件补丁时，应保证补丁的有效性和安全性，并在安装之前进行测试，避免因更新补丁而对产品或系统带来影响或新的安全风险；在无法安装补丁或更新版本的情况下，各部门应共同协商安全漏洞的解决措施。漏洞的跟踪安全服务部应建立漏洞跟踪机制，对曾经出现的漏洞进行归档，并定期统计漏洞的修补情况，以便确切的找出信息系统的短板，为安全策略的制定提供依据。安全服务部应定期对安全漏洞的管理情况、安全漏洞解决措施和实施效果进行检查和审计，包括：预防措施是否落实到位，漏洞是否得到有效预防；已发现的漏洞是否得到有效处置；漏洞处理过程是否符合及时处理和安全风险最小化等原则。例外处理 如因特殊原因，不能按照规定的时效性要求完成漏洞修复的，可申请延期，申请延期必须经过研发总监或数据服务部部长和安全服