信息系统安全漏洞评估及管理制度V1.0_第1页
信息系统安全漏洞评估及管理制度V1.0_第2页
信息系统安全漏洞评估及管理制度V1.0_第3页
信息系统安全漏洞评估及管理制度V1.0_第4页
信息系统安全漏洞评估及管理制度V1.0_第5页
已阅读5页,还剩4页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第5页共9页四川长虹虹微公司发布××××–××四川长虹虹微公司发布××××–××–××实施××××–××–××发布信息系统安全漏洞评估及管理制度四川长虹电器股份有限公司虹微公司管理文件目录1 概况 31.1目的 31.2目的 错误!未定义书签。2 正文 32.1.术语定义 32.2.职责分工 42.3.安全漏洞生命周期 42.4.信息安全漏洞管理 42.4.1 原则 42.4.2 风险等级 52.4.3 评估范围 62.4.4 整改时效性 62.4.5 实施 73 例外处理 84 检查计划 95 解释 96 附录 9表二:风险等级对应分数评估范围安全服务部应定期对信息系统进行例行的安全漏洞评估,操作系统层面的评估主要以自动化工具为主,应用系统层面评估以自动化工具和手动测试相结合。操作系统层面评估的范围为所有生产系统的服务器;网络层面评估的范围为公司内部网络所有的路由器、交换机、防火墙等网络设备;应用系统层面评估的范围为所有生产环境的应用系统,包括对互联网开发的应用系统以及内网的应用系统。操作系统层面安全漏洞评估的周期为每季度一次,并出具漏洞评估报告。应用系统层面的安全评估,新系统在第一个版本上线前,必须经过安全测试和源代码安全扫描。应用系统层面的安全评估,对于原有系统进行版本更新的,按照下面的规则进行评估:如果本次版本中涉及信息安全漏洞整改的,在上线前必须经过安全测试;如果本次版本中没有涉及信息安全漏洞整改的依据下面的规则进行安全测试:a、应用系统安全级别为高级别的,每间隔3个版本进行一次安全测试,比如在1.0版本进行了安全测试,那下次测试在1.4版本需要进行安全测试;b、应用系统安全级别为中级或低级别的,每间隔5个版本进行一次安全测试,比如在1.0版本进行了安全测试,那下次测试在1.6版本需要进行安全测试;c、如果需要进行测试的版本为紧急版本,可以延后到下一个正常版本进行安全测试。安全服务部应定期跟进安全漏洞的修复情况,并对已修复的安全漏洞进行验证。信息系统安全评估报告中应包括信息系统安全水平、漏洞风险等级的分布情况、漏洞的详细信息、漏洞的解决建议等。整改时效性依据信息系统部署的不同方式和级别,以及发现的安全漏洞不同级别,整改时效性有一定的差异。应用系统安全漏洞整改时效性要求依据DREAD模型,和应用系统的不同级别,应用系统安全漏洞处理时效要求如下表,低风险安全漏洞不做强制性要求。应用系统安全级别整改的时效性高风险漏洞中风险安全漏洞高级5个工作日10个工作日中级10个工作日10个工作日低级1个月内1个月内表三:应用系统安全漏洞整改时效性要求操作系统安全漏洞整改时效性要求依据操作系统所处网络区域的不同,操作系统的安全漏洞处理时效要求如下表,低风险安全漏洞不做强制性要求。所处网络区域整改的时效性高风险漏洞中风险漏洞对外提供服务区域Window操作系统3个月内Linux&unix操作系统6个月内对于影响特别严重,易受攻击的漏洞,根据公司安全组的通告立即整改完成Window操作系统3个月内Linux&unix操作系统6个月内对内提供服务区域Window操作系统6个月内Linux&unix操作系统12个月内对于影响特别严重,易受攻击的漏洞,根据公司安全组的通告立即整改完成Window操作系统6个月内Linux&unix操作系统12个月内表四:操作系统安全漏洞整改时效性要求实施根据安全漏洞生命周期中漏洞所处的不同状态,将漏洞管理行为对应为预防、发现、消减、发布和跟踪等阶段。漏洞的预防针对集团内部自行开发的Web应用系统,应采用安全开发生命周期流程(SDL-IT),在需求、设计、编码、测试、上线等阶段关注信息安全,提高应用系统的安全水平。数据服务部应依据已发布的安全配置标准,对计算机操作系统进行安全加固、及时安装补丁、关闭不必要的服务、安装安全防护产品等操作。漏洞的发现安全服务部应根据本制度的要求对公司的应用系统、操作系统和网络设备进行安全测试,及时发现信息系统存在的安全漏洞;安全服务部同时还应建立和维护公开的漏洞收集渠道,漏洞的来源应同时包括集团内部、厂商及第三方安全组织;安全服务部应在规定时间内验证自行发现或收集到的漏洞是否真实存在,并依据DREAD模型,确定漏洞的风险等级,并出具相应的解决建议。漏洞的发布安全服务部依据及时性原则,把发现的安全漏洞通知到相关的负责人;漏洞的发布应遵循保密性原则,在漏洞未整改完成前,仅发送给信息系统涉及的研发小组或管理小组,对敏感信息进行屏蔽。漏洞的消减安全漏洞所涉及的各部门应遵循及时处理原则,根据本制度的要求在规定时间内修复发现的安全漏洞;数据服务部在安装厂商发布的操作系统及应用软件补丁时,应保证补丁的有效性和安全性,并在安装之前进行测试,避免因更新补丁而对产品或系统带来影响或新的安全风险;在无法安装补丁或更新版本的情况下,各部门应共同协商安全漏洞的解决措施。漏洞的跟踪安全服务部应建立漏洞跟踪机制,对曾经出现的漏洞进行归档,并定期统计漏洞的修补情况,以便确切的找出信息系统的短板,为安全策略的制定提供依据。安全服务部应定期对安全漏洞的管理情况、安全漏洞解决措施和实施效果进行检查和审计,包括:预防措施是否落实到位,漏洞是否得到有效预防;已发现的漏洞是否得到有效处置;漏洞处理过程是否符合及时处理和安全风险最小化等原则。例外处理 如因特殊原因,不能按照规定的时效性要求完成漏洞修复的,可申请延期,申请延期必须经过研发总监或数据服务部部长和安全服

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论