安全漏洞管理制度【范本模板】.docVIP

  1. 1、本文档共7页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
文件名称 版本号 文件编号 机密等级 发布日期 生效日期 拟制 日期 审核 日期 批准 日期 XXXX 安全漏洞管理制度 创建/变更人 变化状态 变更摘要(章节/ 内容) 版本 创建/变更时间 批准人 文件修订履历变化状态:新建,增加,修改 文件修订履历 变化状态:新建,增加,修改,删除 目录 TOC \o 1-3 \h \z \u 1引言 5 1.1目的 5 1.2对象 5 1.3范围 5 2漏洞获知 5 3级别定义和处理时间要求 5 3.1级别定义 5 3.1.1高风险漏洞定义 5 3.1.2中风险漏洞定义 5 3.1.3漏洞处理原则 6 4职责分工 6 4.1信息安全部 6 4.2 IT中心 6 4.3各产品开发部门 6 5漏洞处理流程 7 6罚则 8 1引言 1。1目的 本制度规范了XXXX(以下简称:XXXX)信息系统安全漏洞的发现、评估及处理过程。保障尽早发现安全漏洞,及时消除安全隐患。加快安全处理响应时间,加强信息资产安全。 1。2对象 本制度阅读对象为单位所有的运维人员、产品开发人员、测试和质量保障人员等。各产品开发、运营、系统运维、质量测试等部门负责人应通读并认真执行本制度中与其职责相关的要求。 1.3范围 本制度中的信息系统描述适用于XXXX信息系统: 应用系统:所有业务相关应用系统,包括自主开发和外购产品。 操作系统:Windows、Linux?和?UNIX?等。 数据库:Oracle、MySQL、Sql?Server?等。 中间件:Tomcat,Apache,Nginx?等. 网络设备:交换机、路由器等。 安全设备:安全管理、审计、防护设备等。 2漏洞获知 漏洞获知通常有如下方式: 来自软、硬件厂商和国际、国内知名安全组织的安全通告. 单位信息安全部门工作人员的渗透测试结果及安全评审意见. 使用安全漏洞评估工具扫描。 来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知。 3级别定义和处理时间要求 3.1级别定义 对于没有CVE评级的安全漏洞统一参考附录一标准进行漏洞评级. 3.1.1高风险漏洞定义 1.操作系统层面:依据CVE标准。 2。网络层面:依据CVE标准。 3。数据库层面:依据CVE标准。 4.中间件(包括应用组件包):依据CVE标准。 5。单位自主开发的业务应用:详见附录一。 3。1。2中风险漏洞定义 1操作系统层面:依据CVE标准。 2网络层面:依据CVE标准. 3。数据库层面:依据CVE标准。 4。中间件(包括应用组件包):依据CVE标准。 5.单位自主开发的业务应用:详见附录一。 3。1。3漏洞处理原则 1.所有高、中风险必须在规定时间内完成修复。 2.对于有关安全漏洞的修复方案经评估后会影响系统稳定或短期不能找到解决方案的漏洞,由信息安全部会同有关部门出具体解决方案。 4职责分工 4。1信息安全部 1.定期对单位生产系统使用的应用软件及第三方组件进行漏洞监控和查找,并在当天将高、中风险转交给有关部门处理。 2.不定期对本制度执行情况进行检查,确保所有漏洞都按照流程进行了有效处理。 3.针对发生的安全事件,及时总结经验和教训,避免再度发生类似事件。 4.协助各部门提供安全漏洞测试和修复方法,并定期组织安全培训。 4.2 IT中心 负责办公网、生产网中:操作系统、数据库、中间件、网络设备等安全漏洞的监控和修复工作: 1。负责维护信息系统所有设备(包括虚拟机)和信息资产列表。 2.运维部门根据信息安全部提供的安全扫描报告和本制度,制定整改工作日程,根据优先级按照“3。2处理时间要求”进行整改。外部漏洞优先处理,内部漏洞经信息安全部协商后可以延后处理。 4。3各产品开发部门 各产品开发部门应在接到漏洞修复通知后,按照“3.2处理时间要求”及附录一的相关要求,按时修复所负责应用系统的安全漏洞: 1。在生产系统中:可获取系统权限(操作系统、数据库、中间件、网络设备、业务系统等)的漏洞;可直接导致客户信息、交易信息、单位机密信息外泄的漏洞;可直接篡改系统数据的漏洞,必须在48小时之内完成修复. 2.如果确实存在客观原因,无法按照规定时间完成修复工作的,应在修复截止日期前与信息安全部申请延期,并共同商定延后的修复时间和排期。 5漏洞处理流程 6罚则 本制度适用于单位全体员工,自颁布之日起执行。 违反本制度条款的责任人,第一次发现由行政部或相关部门领导对其进行口头批评;第二次发现以邮件形式在书面进行通报批评并通知所在部门领导;第三次发现以邮件形式在全单位通报批评,并通知单位内审部;因违反本制度造成严重后果或对单位造成经济损失的,由单位内审部对责任人提出处理意见并进行处理。

文档评论(0)

151****0181 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档