9、信息安全漏洞管理流程.doc

信息安全漏洞管理规定信息安全漏洞管理规定主导部门： IT部支持部门： N/A审 批： IT部文档编号： IT-V01生效日期：版本发布日期发布原因生效日期VersionIssuance DateReasons of IssuanceEffective Date1.0 新版本发布 会签批准人签名签署日期Approval(s)SignaturesDate Signed起草人EditorIT经理IT ManagerIT高级总监Senior IT Director信息安全漏洞管理规定1. 目的建立信息安全漏洞管理流程的目的是为了加强公司信息安全保障能力，建立健全公司的安全管理体系，提高整体的网络与信息安全水平，保证业务系统的正常运营，提高网络服务质量，在公司安全体系框架下，本策略为规范公司信息资产的漏洞管理（主要包含IT设备的弱点评估及安全加固），将公司信息资产的风险置于可控环境之下。2. 范围本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、应用系统以及安全设备。3. 定义 3.1 ISMS基于业务风险方法，建立、实施、运行、监控、评审、保持和改进信息安全的体系，是公司整个管理体系的一部分。3.2 安全弱点安全弱点是由于系统硬件、软件在设计实现时或者是在安全策略的制定配置上的错误而引起的缺陷，是违背安全策略的软件或硬件特征。有恶意企图的用户能够利用安全弱点非法访问系统或者破坏系统的正常使用。3.3 弱点评估弱点评估是通过风险调查，获取与系统硬件、软件在设计实现时或者是在安全策略的制定配置的威胁和弱点相关的信息，并对收集到的信息进行相应分析，在此基础上，识别、分析、评估风险，综合评判给出安全弱点被利用造成不良事件发生的可能性及损失/影响程度的观点，最终形成弱点评估报告。4. 职责和权限阐述本制度/流程涉及的部门（角色）职责与权限。4.1 安全管理员的职责和权限1、制定安全弱点评估方案，报信息安全经理和IT相关经理进行审批；2、进行信息系统的安全弱点评估；3、生成弱点分析报告并提交给信息安全经理和IT相关经理备案；4、根据安全弱点分析报告提供安全加固建议。4.2 系统管理员的职责和权限1、依据安全弱点分析报告及加固建议制定详细的安全加固方案（包括回退方案），报信息安全经理和IT相关经理进行审批；2、实施信息系统安全加固测试；3、实施信息系统的安全加固；4、在完成安全加固后编制加固报告并提交给信息安全经理和IT相关经理备案；5、向信息安全审核员报告业务系统的安全加固情况。4.3 信息安全经理、IT相关经理的职责和权限1、信息安全经理和IT相关经理负责审核安全弱点评估方案、弱点分析报告、安全加固方案以及加固报告。4.4 安全审计员的职责和权限1、安全审计员负责安全加固后的检查和验证，以及定期的审核和汇报。5. 内容5.1 弱点管理要求通过定期的信息资产（主要是IT设备和系统）弱点评估可以及时知道公司安全威胁状况，这对及时掌握公司主要IT设备和系统弱点的状况是极为有重要的；通过评估后的安全加固，可以及时弥补发现的安全弱点，降低公司的信息安全风险。5.1.1 评估及加固对象a) 公司各类信息资产应定期进行弱点评估及相应加固工作。b) 弱点评估和加固的信息资产可以分为如下几类：i. 网络设备：路由器、交换机、及其他网络设备的操作系统及配置安全性。ii. 服务器：操作系统的安全补丁、账号号口令、安全配置、网络服务、权限设置等。iii. 应用系统：数据库及通用应用软件（如：WEB、Mail、DNS等）的安全补丁及安全配置，需应用部门在测试环境测试通过后方可在正式环境中进行安全补丁加载。iv. 安全设备：VPN网关、防火墙、各类安全管理系统等设备或软件的操作系统及配置安全性。5.1.2 评估及加固过程中的安全要求a) 在对信息资产进行弱点评估前应制定详细的弱点评估方案，充分考虑评估中出现的风险，同时制定对应的详细回退方案。b) 在对信息资产进行安全加固前应制定详细的安全加固方案，明确实施对象和实施步骤，如涉及到其他系统，应分析可能存在的风险以及应对措施，并与关联部门和厂商沟通。c) 对于重要信息资产的弱点评估及安全加固，在操作前要进行测试。需经本部门经理的确认，同时上报信息安全经理和IT相关经理进行审批。d) 对信息资产进行弱点评估和加固的时间应选择在业务闲时段，并保留充裕的回退时间。e) 对信息资产进行安全加固后，应进行总结并生成报告，进行弱点及加固措施的跟踪。f) 对信息资产进行安全加固完成后，应进行业务测试以确保系统的正常运行。加固实施期间业务系统支持人员应保证手机开机，确保出现问题时能及时处理。g) 安全加固完成后次日，系统管理员及业务系统支持人员应对加固后的系统进行监控，确保系统的正常运行。h) 弱点评估由IT相关经理和安全管理员协助进行，安全加固由系统管理员执行。如由供应商或服务提供商协助实施安全加固，则应由系统管理员确保评估和加固的有效性并提交信息IT信息安全经理和IT相关经理进行评定。5.2 安全弱点评估5.2.1 公司每季度进行一次弱点评估工作，信息资产的弱点评估由安全管理员负责。5.2.2 在进行信息资产弱点评估时应采用公司认可的扫描工具及检查列表，弱点评估计划需由IT信息安全经理和IT相关经理进行确认和审批。5.2.3 信息安全经理和IT相关经理弱点评估完成后，相关IT人员参考弱点评估报告编写安全加固方案，并进行系统安全加固工作。5.2.4 安全管理员在各系统完成安全加固后，组织弱点评估复查，验证加固后的效果。5.2.5 所有安全弱点评估文档应交付信息安全经理和IT相关经理备案。5.3 系统安全加固5.3.1 安全加固a) 公司每次完成安全弱点评估后，各系统管理员应根据弱点评估结果确定需要加固的资产，针对发现的安全弱点制定加固方案。b) 安全加固前，加固人员应制定详细的加固测试方案及加固实施方案（包括回退方案），并在测试环境中进行加固测试，确认无重大不良影响后才可实施正式加固。c) 在完成安全加固后，加固人员应根据加固过程中弱点的处理情况编制加固报告。安全管理员应对加固后的信息资产进行弱点评估复查，评估复查结果作为加固的措施验证。d) 所有加固文档应交付信息安全经理及IT相关经理备案。5.3.2 紧急安全加固a) 当安全管理部发现高危漏洞时，提出紧急加固建议，通知相关IT人员进行测试后进行紧急变更实施加固并事后给出评估报告。5.4 监督和检查5.4.1 安全审计员负责对信息安全弱点管理的执行情况进行检查，可通过安全漏洞扫描和现场人工抽查进行审计和检查，检查的内容包括弱点评估和安全加固的执行情况