系統(tǒng)運(yùn)維管理-信息安全漏洞管理規(guī)定

1、信息安全漏洞管理規(guī)定版本歷史編制人：審批人：目錄 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 目錄2 HYPERLINK l bookmark1 o Current Document 信息安全漏洞管理規(guī)定4目的4 HYPERLINK l bookmark21 o Current Document 圍4 HYPERLINK l bookmark25 o Current Document 定義43.1ISMS4 HYPERLINK l bookmark29 o Current Document 3.2安全弱點(diǎn)5 HYPERLINK

2、l bookmark32 o Current Document 職責(zé)和權(quán)限5 HYPERLINK l bookmark36 o Current Document 4.1安全管理員的職責(zé)和權(quán)限5 HYPERLINK l bookmark43 o Current Document 4.2系統(tǒng)管理員的職責(zé)和權(quán)限5 HYPERLINK l bookmark51 o Current Document 4.3信息安全經(jīng)理、IT相關(guān)經(jīng)理的職責(zé)和權(quán)限6 HYPERLINK l bookmark54 o Current Document 4.4安全審計(jì)員的職責(zé)和權(quán)限6 HYPERLINK l bookmark5

3、7 o Current Document 容6 HYPERLINK l bookmark61 o Current Document 5.1弱點(diǎn)管理要求6 HYPERLINK l bookmark77 o Current Document 5.2安全弱點(diǎn)評(píng)估8 HYPERLINK l bookmark80 o Current Document 5.3系統(tǒng)安全加固9 HYPERLINK l bookmark87 o Current Document 5.4監(jiān)督和檢查9 HYPERLINK l bookmark90 o Current Document 參考文件10 HYPERLINK l book

4、mark94 o Current Document 更改歷史記錄10 HYPERLINK l bookmark98 o Current Document 附則10附件10信息安全漏洞管理規(guī)定目的建立信息安全漏洞管理流程的目的是為了加強(qiáng)公司信息安全保障能力，建立 健全公司的安全管理體系，提高整體的網(wǎng)絡(luò)與信息安全水平，保證業(yè)務(wù)系統(tǒng)的正 常運(yùn)營(yíng)，提高網(wǎng)絡(luò)服務(wù)質(zhì)量，在公司安全體系框架下，本策略為規(guī)公司信息資產(chǎn) 的漏洞管理（主要包含IT設(shè)備的弱點(diǎn)評(píng)估及安全加固），將公司信息資產(chǎn)的風(fēng)險(xiǎn) 置于可控環(huán)境之下。圍本策略適用于公司所有在生產(chǎn)環(huán)境和辦公環(huán)境中使用的網(wǎng)絡(luò)系統(tǒng)、服務(wù)器、 應(yīng)用系統(tǒng)以及安全設(shè)備。定義3.1

5、 ISMS基于業(yè)務(wù)風(fēng)險(xiǎn)方法，建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、保持和改進(jìn)信息安全 的體系，是公司整個(gè)管理體系的一部分。3.2安全弱點(diǎn)安全弱點(diǎn)是由于系統(tǒng)硬件、軟件在設(shè)計(jì)實(shí)現(xiàn)時(shí)或者是在安全策略的制定配置 上的錯(cuò)誤而引起的缺陷，是違背安全策略的軟件或硬件特征。有惡意企圖的用戶 能夠利用安全弱點(diǎn)非法訪問(wèn)系統(tǒng)或者破壞系統(tǒng)的正常使用。3.3弱點(diǎn)評(píng)估弱點(diǎn)評(píng)估是通過(guò)風(fēng)險(xiǎn)調(diào)查，獲取與系統(tǒng)硬件、軟件在設(shè)計(jì)實(shí)現(xiàn)時(shí)或者是在安 全策略的制定配置的威脅和弱點(diǎn)相關(guān)的信息，并對(duì)收集到的信息進(jìn)行相應(yīng)分析， 在此基礎(chǔ)上，識(shí)別、分析、評(píng)估風(fēng)險(xiǎn)，綜合評(píng)判給出安全弱點(diǎn)被利用造成不良事 件發(fā)生的可能性及損失/影響程度的觀點(diǎn)，最終形成弱點(diǎn)評(píng)估

6、報(bào)告。職責(zé)和權(quán)限闡述本制度/流程涉及的部門（角色）職責(zé)與權(quán)限。4.1安全管理員的職責(zé)和權(quán)限1、制定安全弱點(diǎn)評(píng)估方案，報(bào)信息安全經(jīng)理和IT相關(guān)經(jīng)理進(jìn)行審批；2、進(jìn)行信息系統(tǒng)的安全弱點(diǎn)評(píng)估；3、生成弱點(diǎn)分析報(bào)告并提交給信息安全經(jīng)理和IT相關(guān)經(jīng)理備案；4、根據(jù)安全弱點(diǎn)分析報(bào)告提供安全加固建議。4.2系統(tǒng)管理員的職責(zé)和權(quán)限1、依據(jù)安全弱點(diǎn)分析報(bào)告及加固建議制定詳細(xì)的安全加固方案（包括回退 方案），報(bào)信息安全經(jīng)理和IT相關(guān)經(jīng)理進(jìn)行審批；2、實(shí)施信息系統(tǒng)安全加固測(cè)試；3、實(shí)施信息系統(tǒng)的安全加固；4、在完成安全加固后編制加固報(bào)告并提交給信息安全經(jīng)理和IT相關(guān)經(jīng)理備 案；5、向信息安全審核員報(bào)告業(yè)務(wù)系統(tǒng)的安全

7、加固情況。4.3信息安全經(jīng)理、IT相關(guān)經(jīng)理的職責(zé)和權(quán)限1、信息安全經(jīng)理和IT相關(guān)經(jīng)理負(fù)責(zé)審核安全弱點(diǎn)評(píng)估方案溺點(diǎn)分析報(bào)告、 安全加固方案以及加固報(bào)告。4.4安全審計(jì)員的職責(zé)和權(quán)限1、安全審計(jì)員負(fù)責(zé)安全加固后的檢查和驗(yàn)證，以及定期的審核和匯報(bào)。容5.1弱點(diǎn)管理要求通過(guò)定期的信息資產(chǎn)（主要是IT設(shè)備和系統(tǒng)）弱點(diǎn)評(píng)估可以及時(shí)知道公司 安全威脅狀況，這對(duì)及時(shí)掌握公司主要IT設(shè)備和系統(tǒng)弱點(diǎn)的狀況是極為有重要 的；通過(guò)評(píng)估后的安全加固，可以及時(shí)彌補(bǔ)發(fā)現(xiàn)的安全弱點(diǎn)，降低公司的信息安 全風(fēng)險(xiǎn)。5.1.1 評(píng)估及加固對(duì)象a）公司各類信息資產(chǎn)應(yīng)定期進(jìn)行弱點(diǎn)評(píng)估及相應(yīng)加固工作。b）弱點(diǎn)評(píng)估和加固的信息資產(chǎn)可以分為如

8、下幾類：i.網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)、及其他網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)及配置安全性。服務(wù)器：操作系統(tǒng)的安全補(bǔ)丁、賬號(hào)號(hào)口令、安全配置、網(wǎng)絡(luò)服務(wù)、 權(quán)限設(shè)置等。應(yīng)用系統(tǒng)：數(shù)據(jù)庫(kù)及通用應(yīng)用軟件（如：WEB、Mail、DNS等）的 安全補(bǔ)丁及安全配置，需應(yīng)用部門在測(cè)試環(huán)境測(cè)試通過(guò)后方可在正式環(huán)境中 進(jìn)行安全補(bǔ)丁加載。安全設(shè)備：VPN網(wǎng)關(guān)、防火墻、各類安全管理系統(tǒng)等設(shè)備或軟件的 操作系統(tǒng)及配置安全性。5.1.2 評(píng)估及加固過(guò)程中的安全要求a）在對(duì)信息資產(chǎn)進(jìn)行弱點(diǎn)評(píng)估前應(yīng)制定詳細(xì)的弱點(diǎn)評(píng)估方案，充分考 慮評(píng)估中出現(xiàn)的風(fēng)險(xiǎn)，同時(shí)制定對(duì)應(yīng)的詳細(xì)回退方案。b）在對(duì)信息資產(chǎn)進(jìn)行安全加固前應(yīng)制定詳細(xì)的安全加固方案，明確實(shí)

9、 施對(duì)象和實(shí)施步驟，如涉及到其他系統(tǒng)，應(yīng)分析可能存在的風(fēng)險(xiǎn)以及應(yīng)對(duì)措 施，并與關(guān)聯(lián)部門和廠商溝通。c）對(duì)于重要信息資產(chǎn)的弱點(diǎn)評(píng)估及安全加固，在操作前要進(jìn)行測(cè)試。需經(jīng)本部門經(jīng)理的確認(rèn)，同時(shí)上報(bào)信息安全經(jīng)理和IT相關(guān)經(jīng)理進(jìn)行審批。d）對(duì)信息資產(chǎn)進(jìn)行弱點(diǎn)評(píng)估和加固的時(shí)間應(yīng)選擇在業(yè)務(wù)閑時(shí)段，并保 留充裕的回退時(shí)間。e）對(duì)信息資產(chǎn)進(jìn)行安全加固后，應(yīng)進(jìn)行總結(jié)并生成報(bào)告，進(jìn)行弱點(diǎn)及 加固措施的跟蹤。f）對(duì)信息資產(chǎn)進(jìn)行安全加固完成后，應(yīng)進(jìn)行業(yè)務(wù)測(cè)試以確保系統(tǒng)的正常運(yùn)行。加固實(shí)施期間業(yè)務(wù)系統(tǒng)支持人員應(yīng)保證手機(jī)開(kāi)機(jī)，確保出現(xiàn)問(wèn)題時(shí)能及時(shí)處理。g）安全加固完成后次日，系統(tǒng)管理員及業(yè)務(wù)系統(tǒng)支持人員應(yīng)對(duì)加固后 的系統(tǒng)進(jìn)

10、行監(jiān)控，確保系統(tǒng)的正常運(yùn)行。h）弱點(diǎn)評(píng)估由IT相關(guān)經(jīng)理和安全管理員協(xié)助進(jìn)行，安全加固由系統(tǒng)管 理員執(zhí)行。如由供應(yīng)商或服務(wù)提供商協(xié)助實(shí)施安全加固，則應(yīng)由系統(tǒng)管理員 確保評(píng)估和加固的有效性并提交信息IT信息安全經(jīng)理和IT相關(guān)經(jīng)理進(jìn)行評(píng) 定。5.2安全弱點(diǎn)評(píng)估5.2.1公司每季度進(jìn)行一次弱點(diǎn)評(píng)估工作，信息資產(chǎn)的弱點(diǎn)評(píng)估由安全 管理員負(fù)責(zé)。5.2.2 在進(jìn)行信息資產(chǎn)弱點(diǎn)評(píng)估時(shí)應(yīng)采用公司認(rèn)可的掃描工具及檢查 列表，弱點(diǎn)評(píng)估計(jì)劃需由IT信息安全經(jīng)理和IT相關(guān)經(jīng)理進(jìn)行確認(rèn)和審批。5.2.3信息安全經(jīng)理和IT相關(guān)經(jīng)理弱點(diǎn)評(píng)估完成后，相關(guān)IT人員參 考弱點(diǎn)評(píng)估報(bào)告編寫(xiě)安全加固方案，并進(jìn)行系統(tǒng)安全加固工作。5.2

11、.4安全管理員在各系統(tǒng)完成安全加固后，組織弱點(diǎn)評(píng)估復(fù)查，驗(yàn)證 加固后的效果。5.2.5 所有安全弱點(diǎn)評(píng)估文檔應(yīng)交付信息安全經(jīng)理和IT相關(guān)經(jīng)理備 案。5.3系統(tǒng)安全加固5.3.1安全加固a）公司每次完成安全弱點(diǎn)評(píng)估后，各系統(tǒng)管理員應(yīng)根據(jù)弱點(diǎn)評(píng)估結(jié)果 確定需要加固的資產(chǎn)，針對(duì)發(fā)現(xiàn)的安全弱點(diǎn)制定加固方案。b）安全加固前，加固人員應(yīng)制定詳細(xì)的加固測(cè)試方案及加固實(shí)施方案（包括回退方案）并在測(cè)試環(huán)境中進(jìn)行加固測(cè)試，確認(rèn)無(wú)重大不良影響后才可實(shí)施正式加 固。c）在完成安全加固后，加固人員應(yīng)根據(jù)加固過(guò)程中弱點(diǎn)的處理情況編 制加固報(bào)告。安全管理員應(yīng)對(duì)加固后的信息資產(chǎn)進(jìn)行弱點(diǎn)評(píng)估復(fù)查，評(píng)估復(fù) 查結(jié)果作為加固的措施驗(yàn)證。d）所有加固文檔應(yīng)交付信息安全經(jīng)理及IT相關(guān)經(jīng)理備案。5.3.2緊急安全加固a）當(dāng)安全管理部發(fā)現(xiàn)高危漏洞時(shí)，提出緊急加固建議，通知相關(guān)IT人 員進(jìn)行測(cè)試后進(jìn)行緊急變更實(shí)施加固并事后給出評(píng)估報(bào)告。5.4監(jiān)督和檢查5.4.1安全審計(jì)員負(fù)責(zé)對(duì)