銀行系統(tǒng)安全補丁管理辦法模版

1、 系統(tǒng)安全補丁管理辦法 編制部門： 版 次 號： 生效日期：xx年06月01日 目 錄 修改與審批記錄3 第一章總則4 第二章補丁管理流程說明4 第三章附則6 附件：6 第一章 總則 第一條 為了規(guī)范銀行（以下簡稱“本行”）及所轄分、支行信息系統(tǒng)安全補丁管理操作流程，保護信息系統(tǒng)安全，根據銀行信息科技管理基本制度，特制訂本管理辦法。 第二條 本辦法適用于本行及所轄分、支行計算機信息系統(tǒng)（包括未聯網計算機）系統(tǒng)補丁的管理工作。 第三條 本辦法所提安全補丁，是指為軟件或操作系統(tǒng)提供的，用于修復一個或多個安全漏洞的補丁或軟件的更新程序，主要包括： (一) 第三方商業(yè)軟件的更新程序； (二) 安全軟件

2、更新程序； (三) 操作系統(tǒng)安全補丁。 第二章 補丁管理流程說明 第四條 應當指定專人進行安全補丁管理工作，包括補丁公告和補丁列表的維護工作： (一) 系統(tǒng)：負責業(yè)務系統(tǒng)相關安全補??； (二) 設備：負責windows平臺相關安全補?。ò╥is等microsoft頒布的補?。?； (三) 網絡：負責網絡設備相關安全補丁； (四) 設備：負責安全產品相關安全補丁。 第五條 檢查所有補丁的來源： (一) 可信來源； (二) 交付手段可靠，內容不會被篡改； (三) 如果可能，在收到軟件后，用防病毒軟件檢查。 第六條 補丁更新檢查周期： (一) 負責各個系統(tǒng)安全補丁公告的系統(tǒng)管理員在每月的第一周檢查供

3、應商的補丁列表及公告牌，了解有關軟件的補丁發(fā)布情況并在內部網上進行發(fā)布； (二) 當供應商發(fā)布緊急的非常規(guī)的安全補丁時，相關系統(tǒng)管理員必須立即進行響應，發(fā)布補丁公告。 第七條 補丁評估： (一) 補丁評估人員的指定：補丁進行發(fā)布后，由負責補丁管理的系統(tǒng)管理員負責組織補丁的評估工作。補丁的評估工作由負責補丁管理工作的系統(tǒng)管理員、系統(tǒng)網絡安全管理員、應用開發(fā)安全協調員共同完成。對于可能需要其他人員參加評估的，由系統(tǒng)管理員提出要求并進行聯系。 (二) 補丁評估是對補丁的級別做出判斷，按照如下方法進行： 1. 緊急：如果廠商建議的安全級別為緊急的，且可能會造成嚴重的安全后果的，該補丁級別即為緊急； 2

4、. 高：如果廠商建議的安全級別為較高，受影響的服務器范圍較大，可能涉及較為廣泛的受影響的服務器范圍； 3. 受影響的網絡范圍； 4. 受影響的pc/終端范圍； 5. 是否影響到關鍵業(yè)務的應用，進行適當的風險判斷（資產、威脅、漏洞等）； 6. 已經知道該事件的人員范圍； 7. 可能被利用的漏洞以及漏洞載體； 8. 使用了什么類型的攻擊方法； 9. 是否取得權限，取得了什么樣的權限； 10. 事件的當前狀態(tài)，是否可以立即解決。 第八條 補丁級別： 補丁級別 實施期限 緊急 立即 高 10天之內 中 60天之內 低 無明確要求，根據需要定義 第九條 進行審核、測試： (一) 在使用前，作為變更管理的一部分，在測試環(huán)境中檢查其功能，以及對系統(tǒng)是否有負面影響進行測試。 (二) 制訂變更計劃以及變更恢復計劃。必要時，提交服務提供商進行測試并提出測試建議。 第十條 在補丁測試和安裝時，應用系統(tǒng)管理員必須給予技術支持。 第十一條 涉及應用的補丁必須提交