信息系统源代码安全扫描管理制度.pdfVIP

附件2：

制度管理信息表

制度基本信息项

制度名称XX公司信息系统源代码安检测描管理规范

制度层级□基本制度■一般制度□操作规范

发文部门信息安全部

主要业务领域信息科技

现行版本1.0版

现行版本印发日期2019年X月X日

主要关联制度

上次版本

上次版本发文号

上次印发日期

密级秘密

起草人

签发人

本次版本有效截止日期2021年x月x日

修订信息（对制度进行修订时填写）

本次修订要点

历史修订记录

备注

XX信息系统源代码安检测描管理规范

（1.0版，2019年）

目录

1总则

1.1目的

1.2适用范围

2源代码漏洞评级

3源代码安检测描要求及流程

3.1源代码安检测描要求

3.2源代码安检测描流程

4漏洞处理流程及时效要求

5职责分工

5.1信息安全部

5.2各部门开发室

6处罚规定

7附则

附录一

1总则

1.1目的

为规范XX公司信息系统源代码安检测描的操作流程，保障及时

发现安全漏洞，加快漏洞处理响应时间，消除安全隐患，特制定本管

理规范。

1.2适用范围

本规范适用于公司所有拥有源代码的信息系统，包括但不限于：

自主开发和外购系统，系统类型包括Web系统、移动终端APP、小程

序、SDK等。

2源代码漏洞评级

源代码漏洞是在代码上存在的缺陷，从而可以使攻击者能够在未

授权的情况下访问或破坏系统。源代码漏洞根据检测的难易程度、成

功利用的可能性、潜在影响等维度进行评级，分为高危漏洞、中危漏

洞、低危漏洞共三类，详细评级标准见附录一。

3源代码安检测描要求及流程

3.1源代码安检测描要求

源代码安检测描以子系统为单位进行代码扫描、检测和漏洞跟

1

进。子系统代码扫描范围如下：

➢新项目或重大变更的子系统，在上线前必须经过源代码安检测描

➢未经过源代码安检测描的存量子系统，信息安全部排期进行扫描

3.2源代码安检测描流程

需进行代码扫描的子系统可根据实际情况选择以下流程进行代

码扫描：

1）开发人员提交代码至信息安全部，由信息安全部进行扫描并对扫

描结果进行人工复查，提交最终扫描报告；

2）开发人员自行使用源代码安全检测平台进行代码扫描，并提交人

工复查申请。信息安全部对扫描结果进行人工复查后提交最终扫描报

告。

开发人员根据信息安全部提交的最终扫描报告对漏洞进行确认和

修复，并提交源代码至信息安全部进行复测，确认漏洞最终修复状态。

4漏洞处理流程及时效要求

4.1漏洞处理流程

漏洞处理通过信息安全工单进行跟进，对于发现的源代码漏洞，

信息安全部将漏洞的风险等级、详细信息描述及修复建议通知到处理

负责人，处理负责人应在2个自然日内对漏洞的影响范围、整改修复

计划进行确认，并在要求的处理时效内完成漏洞整改修复，逾期未修

复漏洞将按逾期时间逐级上升至相关领导。因特殊情况无法在要求的

2

时效内完成整改，处理负责人需提前提交延期申请及修复计划，由信

息安全部负责人、科技发展及创新条线总监及首席信息官审批。

4.2漏洞处理时效要求

源代码漏洞通常为局部代码存在的风险，在系统使用过程中不易

发现，被利用的条件不一定具备，但一旦触发，可对系统造成破坏。

结合源代码漏洞特点，不同级别漏洞的修复时效要求参考附录一。

5职责分工

5.1信息安全部

➢发现公司信息系统在源代码层面存在的漏洞，及时将发现的漏

洞转