




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、文件名稱版本號文件編號機(jī)密等級發(fā)布日期生效日期XXXX安全漏洞管理制度文件修訂履歷創(chuàng)建/變更人變化狀態(tài)變更摘要章節(jié)/內(nèi)容)版本創(chuàng)建/變更時(shí)間批準(zhǔn)人變化狀態(tài):新建,增加,修改刪除目錄TOC o 1-5 h z HYPERLINK l bookmark4 1引言4 HYPERLINK l bookmark6 目的4 HYPERLINK l bookmark8 對象4范圍4 HYPERLINK l bookmark10 2漏洞獲知4 HYPERLINK l bookmark12 3級別定義和處理時(shí)間要求4 HYPERLINK l bookmark14 級別定義4高風(fēng)險(xiǎn)漏洞定義4中風(fēng)險(xiǎn)漏洞定義4漏洞處
2、理原則5 HYPERLINK l bookmark16 4職責(zé)分工5 HYPERLINK l bookmark18 信息安全部511中心5 HYPERLINK l bookmark22 各產(chǎn)品開發(fā)部門5 HYPERLINK l bookmark24 5漏洞處理流程6 HYPERLINK l bookmark26 6罰則71引言目的本制度規(guī)范了乂乂乂乂(以下簡稱:XXXX)信息系統(tǒng)安全漏洞的發(fā)現(xiàn)、評估及處理過程。保障盡早發(fā)現(xiàn)安全漏洞,及時(shí)消除安全隱患。加快安全處理響應(yīng)時(shí)間,加強(qiáng)信息資產(chǎn)安全。對象本制度閱讀對象為單位所有的運(yùn)維人員、產(chǎn)品開發(fā)人員、測試和質(zhì)量保障人員等。各產(chǎn)品開發(fā)、運(yùn)營、系統(tǒng)運(yùn)維、質(zhì)
3、量測試等部門負(fù)責(zé)人應(yīng)通讀并認(rèn)真執(zhí)行本制度中與其職責(zé)相關(guān)的要求。1.3范圍本制度中的信息系統(tǒng)描述適用于XXXX信息系統(tǒng):應(yīng)用系統(tǒng):所有業(yè)務(wù)相關(guān)應(yīng)用系統(tǒng),包括自主開發(fā)和外購產(chǎn)品。操作系統(tǒng):Windows、Linux和UNIX等。數(shù)據(jù)庫:Oracle、MySQL、SqlServer等。中間件:Tomcat,Apache,Nginx等。網(wǎng)絡(luò)設(shè)備:交換機(jī)、路由器等。安全設(shè)備:安全管理、審計(jì)、防護(hù)設(shè)備等。2漏洞獲知漏洞獲知通常有如下方式:來自軟、硬件廠商和國際、國內(nèi)知名安全組織的安全通告。單位信息安全部門工作人員的滲透測試結(jié)果及安全評審意見。使用安全漏洞評估工具掃描。來自單位合作的安全廠商或友好的外部安全
4、組織給出的漏洞通知。3級別定義和處理時(shí)間要求級別定義對于沒有CVE評級的安全漏洞統(tǒng)一參考附錄一標(biāo)準(zhǔn)進(jìn)行漏洞評級。高風(fēng)險(xiǎn)漏洞定義.操作系統(tǒng)層面:依據(jù)CVE標(biāo)準(zhǔn)。.網(wǎng)絡(luò)層面:依據(jù)CVE標(biāo)準(zhǔn)。.數(shù)據(jù)庫層面:依據(jù)CVE標(biāo)準(zhǔn)。.中間件(包括應(yīng)用組件包):依據(jù)CVE標(biāo)準(zhǔn)。.單位自主開發(fā)的業(yè)務(wù)應(yīng)用:詳見附錄一。中風(fēng)險(xiǎn)漏洞定義1操作系統(tǒng)層面:依據(jù)CVE標(biāo)準(zhǔn)。2網(wǎng)絡(luò)層面:依據(jù)CVE標(biāo)準(zhǔn)。.數(shù)據(jù)庫層面:依據(jù)CVE標(biāo)準(zhǔn)。.中間件(包括應(yīng)用組件包):依據(jù)CVE標(biāo)準(zhǔn)。.單位自主開發(fā)的業(yè)務(wù)應(yīng)用:詳見附錄一。3.1.3漏洞處理原則.所有高、中風(fēng)險(xiǎn)必須在規(guī)定時(shí)間內(nèi)完成修復(fù)。.對于有關(guān)安全漏洞的修復(fù)方案經(jīng)評估后會影響系統(tǒng)穩(wěn)定或
5、短期不能找到解決方案的漏洞,由信息安全部會同有關(guān)部門出具體解決方案。4職責(zé)分工信息安全部.定期對單位生產(chǎn)系統(tǒng)使用的應(yīng)用軟件及第三方組件進(jìn)行漏洞監(jiān)控和查找,并在當(dāng)天將高、中風(fēng)險(xiǎn)轉(zhuǎn)交給有關(guān)部門處理。.不定期對本制度執(zhí)行情況進(jìn)行檢查,確保所有漏洞都按照流程進(jìn)行了有效處理。.針對發(fā)生的安全事件,及時(shí)總結(jié)經(jīng)驗(yàn)和教訓(xùn),避免再度發(fā)生類似事件。.協(xié)助各部門提供安全漏洞測試和修復(fù)方法,并定期組織安全培訓(xùn)。IT中心負(fù)責(zé)辦公網(wǎng)、生產(chǎn)網(wǎng)中:操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備等安全漏洞的監(jiān)控和修復(fù)工作:.負(fù)責(zé)維護(hù)信息系統(tǒng)所有設(shè)備(包括虛擬機(jī))和信息資產(chǎn)列表。.運(yùn)維部門根據(jù)信息安全部提供的安全掃描報(bào)告和本制度,制定整改工
6、作日程,根據(jù)優(yōu)先級按照“3.2處理時(shí)間要求”進(jìn)行整改。外部漏洞優(yōu)先處理,內(nèi)部漏洞經(jīng)信息安全部協(xié)商后可以延后處理。各產(chǎn)品開發(fā)部門各產(chǎn)品開發(fā)部門應(yīng)在接到漏洞修復(fù)通知后,按照“3.2處理時(shí)間要求”及附錄一的相關(guān)要求,按時(shí)修復(fù)所負(fù)責(zé)應(yīng)用系統(tǒng)的安全漏洞:.在生產(chǎn)系統(tǒng)中:可獲取系統(tǒng)權(quán)限(操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)等)的漏洞;可直接導(dǎo)致客戶信息、交易信息、單位機(jī)密信息外泄的漏洞;可直接篡改系統(tǒng)數(shù)據(jù)的漏洞,必須在48小時(shí)之內(nèi)完成修復(fù)。.如果確實(shí)存在客觀原因,無法按照規(guī)定時(shí)間完成修復(fù)工作的,應(yīng)在修復(fù)截止日期前與信息安全部申請延期,并共同商定延后的修復(fù)時(shí)間和排期。5漏洞處理流程發(fā)現(xiàn)漏瓶圖示說明,
7、火白軟,酒沖廠品匯國際,國因力史與仝同生的藻飛通生.,公司傳夙安生部門工作人曼的港虎謝京站果泉安星挪審意見T:.,飩用安礪洞器牯H具蜀而.究自外刑舍拿的安生廠商或友叱的外部安住殂蝸結(jié)對的痂時(shí)通如訐估海泥不處理,根據(jù)環(huán)結(jié)站區(qū)“1時(shí)早否丫睦時(shí)胤臨進(jìn)行處治r左耳螺及嗓不a4魏受囪屐道襄處理修補(bǔ)漏瓶未通過泳方式口.凡,&ilL歸I京門燈灌m加寤河儲夏訃丁二,二確配廿相關(guān)血井,桌線和u等:上三二升裝.人員就正代網(wǎng)中的安全留祠或3能就陶.,山京息安坐滿對惚豆站果進(jìn)擰削性見試和臉谿崔昆娟洞成功低復(fù),總”和培訓(xùn):i射發(fā)U內(nèi)安全明1,閨七1總結(jié)蟀期轉(zhuǎn)U.I.避必益次的L類心珅.6罰則本制度適用于單位全體員工,自頒布之日起執(zhí)行。違反本制度條款的責(zé)任人,第一次發(fā)現(xiàn)由行政部或相關(guān)部門領(lǐng)導(dǎo)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 游艇碼頭泊位租賃及水上活動策劃服務(wù)合同
- 新能源汽車技術(shù)保障與售后服務(wù)補(bǔ)充協(xié)議
- 收入增長子女撫養(yǎng)金動態(tài)調(diào)整合同
- 深海資源開發(fā)私募股權(quán)投資基金有限合伙人獨(dú)家合作協(xié)議
- 農(nóng)業(yè)產(chǎn)業(yè)園農(nóng)業(yè)園區(qū)生態(tài)保護(hù)與可持續(xù)發(fā)展合作協(xié)議
- 綠色建筑碳排放權(quán)交易稅收優(yōu)惠合同
- 抖音短視頻用戶權(quán)益保護(hù)與投訴處理合同
- 秋季傳染病健康教育(小學(xué))
- 護(hù)理部護(hù)理不良事件分析
- 年產(chǎn)6000噸引發(fā)劑A、3000噸雙二五硫化劑等精細(xì)化工產(chǎn)品項(xiàng)目可行性研究報(bào)告寫作模板-拿地申報(bào)
- 小學(xué)生德育教育ppt課件
- 《菱形的判定》教學(xué)設(shè)計(jì)(共3頁)
- 配電箱系統(tǒng)圖
- 精選靜電感應(yīng)現(xiàn)象的應(yīng)用練習(xí)題(有答案)
- 電纜井工程量計(jì)算
- 初中音樂--人聲的分類--(1)pptppt課件
- 育種學(xué) 第6章雜交育種
- 小作坊生產(chǎn)工藝流程圖(共2頁)
- 生態(tài)瓶記錄單
- 鋼芯鋁絞線參數(shù)
- 音王點(diǎn)歌機(jī)800S加歌操作方法
評論
0/150
提交評論