系统运维管理-信息安全漏洞管理规定

1、信息安全漏洞管理规定版本历史编制人：审批人：目录 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 目录2 HYPERLINK l bookmark1 o Current Document 信息安全漏洞管理规定4目的4 HYPERLINK l bookmark21 o Current Document 围4 HYPERLINK l bookmark25 o Current Document 定义43.1ISMS4 HYPERLINK l bookmark29 o Current Document 3.2安全弱点5 HYPERLINK

2、l bookmark32 o Current Document 职责和权限5 HYPERLINK l bookmark36 o Current Document 4.1安全管理员的职责和权限5 HYPERLINK l bookmark43 o Current Document 4.2系统管理员的职责和权限5 HYPERLINK l bookmark51 o Current Document 4.3信息安全经理、IT相关经理的职责和权限6 HYPERLINK l bookmark54 o Current Document 4.4安全审计员的职责和权限6 HYPERLINK l bookmark5

3、7 o Current Document 容6 HYPERLINK l bookmark61 o Current Document 5.1弱点管理要求6 HYPERLINK l bookmark77 o Current Document 5.2安全弱点评估8 HYPERLINK l bookmark80 o Current Document 5.3系统安全加固9 HYPERLINK l bookmark87 o Current Document 5.4监督和检查9 HYPERLINK l bookmark90 o Current Document 参考文件10 HYPERLINK l book

4、mark94 o Current Document 更改历史记录10 HYPERLINK l bookmark98 o Current Document 附则10附件10信息安全漏洞管理规定目的建立信息安全漏洞管理流程的目的是为了加强公司信息安全保障能力，建立 健全公司的安全管理体系，提高整体的网络与信息安全水平，保证业务系统的正 常运营，提高网络服务质量，在公司安全体系框架下，本策略为规公司信息资产 的漏洞管理（主要包含IT设备的弱点评估及安全加固），将公司信息资产的风险 置于可控环境之下。围本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、 应用系统以及安全设备。定义3.1

5、 ISMS基于业务风险方法，建立、实施、运行、监控、评审、保持和改进信息安全 的体系，是公司整个管理体系的一部分。3.2安全弱点安全弱点是由于系统硬件、软件在设计实现时或者是在安全策略的制定配置 上的错误而引起的缺陷，是违背安全策略的软件或硬件特征。有恶意企图的用户 能够利用安全弱点非法访问系统或者破坏系统的正常使用。3.3弱点评估弱点评估是通过风险调查，获取与系统硬件、软件在设计实现时或者是在安 全策略的制定配置的威胁和弱点相关的信息，并对收集到的信息进行相应分析， 在此基础上，识别、分析、评估风险，综合评判给出安全弱点被利用造成不良事 件发生的可能性及损失/影响程度的观点，最终形成弱点评估

6、报告。职责和权限阐述本制度/流程涉及的部门（角色）职责与权限。4.1安全管理员的职责和权限1、制定安全弱点评估方案，报信息安全经理和IT相关经理进行审批；2、进行信息系统的安全弱点评估；3、生成弱点分析报告并提交给信息安全经理和IT相关经理备案；4、根据安全弱点分析报告提供安全加固建议。4.2系统管理员的职责和权限1、依据安全弱点分析报告及加固建议制定详细的安全加固方案（包括回退 方案），报信息安全经理和IT相关经理进行审批；2、实施信息系统安全加固测试；3、实施信息系统的安全加固；4、在完成安全加固后编制加固报告并提交给信息安全经理和IT相关经理备 案；5、向信息安全审核员报告业务系统的安全

7、加固情况。4.3信息安全经理、IT相关经理的职责和权限1、信息安全经理和IT相关经理负责审核安全弱点评估方案溺点分析报告、 安全加固方案以及加固报告。4.4安全审计员的职责和权限1、安全审计员负责安全加固后的检查和验证，以及定期的审核和汇报。容5.1弱点管理要求通过定期的信息资产（主要是IT设备和系统）弱点评估可以及时知道公司 安全威胁状况，这对及时掌握公司主要IT设备和系统弱点的状况是极为有重要 的；通过评估后的安全加固，可以及时弥补发现的安全弱点，降低公司的信息安 全风险。5.1.1 评估及加固对象a）公司各类信息资产应定期进行弱点评估及相应加固工作。b）弱点评估和加固的信息资产可以分为如

8、下几类：i.网络设备：路由器、交换机、及其他网络设备的操作系统及配置安全性。服务器：操作系统的安全补丁、账号号口令、安全配置、网络服务、 权限设置等。应用系统：数据库及通用应用软件（如：WEB、Mail、DNS等）的 安全补丁及安全配置，需应用部门在测试环境测试通过后方可在正式环境中 进行安全补丁加载。安全设备：VPN网关、防火墙、各类安全管理系统等设备或软件的 操作系统及配置安全性。5.1.2 评估及加固过程中的安全要求a）在对信息资产进行弱点评估前应制定详细的弱点评估方案，充分考 虑评估中出现的风险，同时制定对应的详细回退方案。b）在对信息资产进行安全加固前应制定详细的安全加固方案，明确实

9、 施对象和实施步骤，如涉及到其他系统，应分析可能存在的风险以及应对措 施，并与关联部门和厂商沟通。c）对于重要信息资产的弱点评估及安全加固，在操作前要进行测试。需经本部门经理的确认，同时上报信息安全经理和IT相关经理进行审批。d）对信息资产进行弱点评估和加固的时间应选择在业务闲时段，并保 留充裕的回退时间。e）对信息资产进行安全加固后，应进行总结并生成报告，进行弱点及 加固措施的跟踪。f）对信息资产进行安全加固完成后，应进行业务测试以确保系统的正常运行。加固实施期间业务系统支持人员应保证手机开机，确保出现问题时能及时处理。g）安全加固完成后次日，系统管理员及业务系统支持人员应对加固后 的系统进

10、行监控，确保系统的正常运行。h）弱点评估由IT相关经理和安全管理员协助进行，安全加固由系统管 理员执行。如由供应商或服务提供商协助实施安全加固，则应由系统管理员 确保评估和加固的有效性并提交信息IT信息安全经理和IT相关经理进行评 定。5.2安全弱点评估5.2.1公司每季度进行一次弱点评估工作，信息资产的弱点评估由安全 管理员负责。5.2.2 在进行信息资产弱点评估时应采用公司认可的扫描工具及检查 列表，弱点评估计划需由IT信息安全经理和IT相关经理进行确认和审批。5.2.3信息安全经理和IT相关经理弱点评估完成后，相关IT人员参 考弱点评估报告编写安全加固方案，并进行系统安全加固工作。5.2

11、.4安全管理员在各系统完成安全加固后，组织弱点评估复查，验证 加固后的效果。5.2.5 所有安全弱点评估文档应交付信息安全经理和IT相关经理备 案。5.3系统安全加固5.3.1安全加固a）公司每次完成安全弱点评估后，各系统管理员应根据弱点评估结果 确定需要加固的资产，针对发现的安全弱点制定加固方案。b）安全加固前，加固人员应制定详细的加固测试方案及加固实施方案（包括回退方案）并在测试环境中进行加固测试，确认无重大不良影响后才可实施正式加 固。c）在完成安全加固后，加固人员应根据加固过程中弱点的处理情况编 制加固报告。安全管理员应对加固后的信息资产进行弱点评估复查，评估复 查结果作为加固的措施验证。d）所有加固文档应交付信息安全经理及IT相关经理备案。5.3.2紧急安全加固a）当安全管理部发现高危漏洞时，提出紧急加固建议，通知相关IT人 员进行测试后进行紧急变更实施加固并事后给出评估报告。5.4监督和检查5.4.1安全审计员负责对