安全漏洞管理制度

XXXX 安全漏洞管理制度 文文件件名名称称版版本本号号 文文件件编编号号机机密密等等级级 发发布布日日期期生生效效日日期期 拟拟制制日日期期 审审核核日日期期 批批准准日日期期 文文件件修修订订履履历历 变化状态 新建 增加 修改 删除 创创建建 变变更更人人变变化化状状态态 变变更更摘摘要要 章章节 节 内内容 容 版版本本创创建建 变变更更时时间间批批准准人人 目录 1 1 引言引言 5 1 1 1 1目的目的 5 1 1 2 2 对对象象 5 1 1 3 3 范范围围 5 2 2 漏洞获知漏洞获知 5 3 3 级别定义和处理时间要求级别定义和处理时间要求 5 3 3 1 1 级级别别定定义义 5 3 1 1 高高风风险险漏漏洞洞定定义义 5 3 1 2 中中风风险险漏漏洞洞定定义义 5 3 1 3 漏漏洞洞处处理理原原则则 6 4 4 职责分工职责分工 6 4 4 1 1 信信息息安安全全部部 6 4 4 2 2 I IT T 中中心心 6 4 4 3 3 各各产产品品开开发发部部门门 6 5 5 漏洞处理流程漏洞处理流程 7 6 6 罚则罚则 8 1 1 引言引言 1 1 1 1目的目的 本制度规范了XXXX 以下简称 XXXX 信息系统安全漏洞的发现 评估及处理过程 保障 尽早发现安全漏洞 及时消除安全 隐患 加快安全处理响应时间 加强信息资产安全 1 1 2 2 对对象象 本制度阅读对象为 单位所有的运维人员 产品开发人员 测试和质量保障人员等 各产 品开发 运营 系统运维 质量测试等部门负责人应通读并认真执行本制度中与其职责相关 的要求 1 1 3 3 范范围围 本制度中的信息系统描述适用于XXXX 信息系统 应用系统 所有业务相关应用系统 包括自主开发和外购产品 操作系统 Windows Linux 和 UNIX 等 数据库 Oracle MySQL Sql Server 等 中间件 Tomcat Apache Nginx 等 网络设备 交换机 路由器等 安全设备 安全管理 审计 防护设备等 2 2 漏洞获知漏洞获知 漏洞获知通常有如下方式 来自软 硬件厂商和国际 国内知名安全组织的安全通告 单位信息安全部门工作人员的渗透测试结果及安全评审意见 使用安全漏洞评估工具扫描 来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知 3 3 级别定义和处理时间要求级别定义和处理时间要求 3 3 1 1 级级别别定定义义 对于没有CVE 评级的安全漏洞统一参考附录一标准进行漏洞评级 3 1 1 高高风风险险漏漏洞洞定定义义 1 操作系统层面 依据CVE 标准 2 网络层面 依据CVE 标准 3 数据库层面 依据CVE 标准 4 中间件 包括应用组件包 依据CVE 标准 5 单位自主开发的业务应用 详见附录一 3 1 2 中中风风险险漏漏洞洞定定义义 1 操作系统层面 依据CVE 标准 2 网络层面 依据CVE 标准 3 数据库层面 依据CVE 标准 4 中间件 包括应用组件包 依据CVE 标准 5 单位自主开发的业务应用 详见附录一 3 1 3 漏漏洞洞处处理理原原则则 1 所有高 中风险必须在规定时间内完成修复 2 对于有关安全漏洞的修复方案经评估后会影响系统稳定或短期不能找到解决方案的漏 洞 由信息安全部会同有关部门出具体解决方案 4 4 职责分工职责分工 4 4 1 1 信信息息安安全全部部 1 定期对单位生产系统使用的应用软件及第三方组件进行漏洞监控和查找 并在当天将 高 中风险转交给有关部门处理 2 不定期对本制度执行情况进行检查 确保所有漏洞都按照流程进行了有效处理 3 针对发生的安全事件 及时总结经验和教训 避免再度发生类似事件 4 协助各部门提供安全漏洞测试和修复方法 并定期组织安全培训 4 4 2 2 I IT T 中中心心 负责办公网 生产网中 操作系统 数据库 中间件 网络设备等 安全漏洞的监控 和修复 工作 1 负责维护信息系统所有设备 包括虚拟机 和信息资产列表 2 运维部门根据信息安全部提供的安全扫描报告和本制度 制定整改工作日程 根据优 先级按照 3 2 处理时间要求 进行整改 外部漏洞优先处理 内部漏洞经信息安全部协商后 可以延后处理 4 4 3 3 各各产产品品开开发发部部门门 各产品开发部门应在接到漏洞修复通知后 按照 3 2 处理时间要求 及附录一的相关要 求 按时修复所负责应用系统的安全漏洞 1 在生产系统中 可获取系统权限 操作系统 数据库 中间件 网络设备 业务系统 等 的漏洞 可直接导致客户信息 交易信息 单位机密信息外泄的漏洞 可直接篡改系统数 据的漏洞 必须在48 小时之内完成修复 2 如果确实存在客观原因 无法按照规定时间完成修复工作的 应在修复截止日期前与 信息安全部申请延期 并共同商定延后的修复时间和排期 5 5 漏洞处理流程漏洞处理流程 6 6 罚则罚则 本制度适用于单位全体员工 自颁布之日起执行 违反本制度条款的责任人 第一次发现由行政部或相关部门领导对其进行口头批