(完整版)安全漏洞管理制度

1、文件名稱版本號文件編號機密等級發(fā)布日期生效日期XXXX安全漏洞管理制度文件修訂履歷創(chuàng)建/變更人變化狀態(tài)變更摘要章節(jié)/內容）版本創(chuàng)建/變更時間批準人變化狀態(tài)：新建，增加，修改刪除目錄TOC o 1-5 h z HYPERLINK l bookmark4 1引言4 HYPERLINK l bookmark6 目的4 HYPERLINK l bookmark8 對象4范圍4 HYPERLINK l bookmark10 2漏洞獲知4 HYPERLINK l bookmark12 3級別定義和處理時間要求4 HYPERLINK l bookmark14 級別定義4高風險漏洞定義4中風險漏洞定義4漏洞處

2、理原則5 HYPERLINK l bookmark16 4職責分工5 HYPERLINK l bookmark18 信息安全部511中心5 HYPERLINK l bookmark22 各產品開發(fā)部門5 HYPERLINK l bookmark24 5漏洞處理流程6 HYPERLINK l bookmark26 6罰則71引言目的本制度規(guī)范了乂乂乂乂（以下簡稱：XXXX）信息系統(tǒng)安全漏洞的發(fā)現、評估及處理過程。保障盡早發(fā)現安全漏洞，及時消除安全隱患。加快安全處理響應時間，加強信息資產安全。對象本制度閱讀對象為單位所有的運維人員、產品開發(fā)人員、測試和質量保障人員等。各產品開發(fā)、運營、系統(tǒng)運維、質

3、量測試等部門負責人應通讀并認真執(zhí)行本制度中與其職責相關的要求。1.3范圍本制度中的信息系統(tǒng)描述適用于XXXX信息系統(tǒng)：應用系統(tǒng)：所有業(yè)務相關應用系統(tǒng)，包括自主開發(fā)和外購產品。操作系統(tǒng)：Windows、Linux和UNIX等。數據庫：Oracle、MySQL、SqlServer等。中間件：Tomcat，Apache，Nginx等。網絡設備：交換機、路由器等。安全設備：安全管理、審計、防護設備等。2漏洞獲知漏洞獲知通常有如下方式：來自軟、硬件廠商和國際、國內知名安全組織的安全通告。單位信息安全部門工作人員的滲透測試結果及安全評審意見。使用安全漏洞評估工具掃描。來自單位合作的安全廠商或友好的外部安全

4、組織給出的漏洞通知。3級別定義和處理時間要求級別定義對于沒有CVE評級的安全漏洞統(tǒng)一參考附錄一標準進行漏洞評級。高風險漏洞定義.操作系統(tǒng)層面：依據CVE標準。.網絡層面：依據CVE標準。.數據庫層面：依據CVE標準。.中間件（包括應用組件包）：依據CVE標準。.單位自主開發(fā)的業(yè)務應用：詳見附錄一。中風險漏洞定義1操作系統(tǒng)層面：依據CVE標準。2網絡層面：依據CVE標準。.數據庫層面：依據CVE標準。.中間件（包括應用組件包）：依據CVE標準。.單位自主開發(fā)的業(yè)務應用：詳見附錄一。3.1.3漏洞處理原則.所有高、中風險必須在規(guī)定時間內完成修復。.對于有關安全漏洞的修復方案經評估后會影響系統(tǒng)穩(wěn)定或

5、短期不能找到解決方案的漏洞，由信息安全部會同有關部門出具體解決方案。4職責分工信息安全部.定期對單位生產系統(tǒng)使用的應用軟件及第三方組件進行漏洞監(jiān)控和查找，并在當天將高、中風險轉交給有關部門處理。.不定期對本制度執(zhí)行情況進行檢查，確保所有漏洞都按照流程進行了有效處理。.針對發(fā)生的安全事件，及時總結經驗和教訓，避免再度發(fā)生類似事件。.協(xié)助各部門提供安全漏洞測試和修復方法，并定期組織安全培訓。IT中心負責辦公網、生產網中：操作系統(tǒng)、數據庫、中間件、網絡設備等安全漏洞的監(jiān)控和修復工作：.負責維護信息系統(tǒng)所有設備（包括虛擬機）和信息資產列表。.運維部門根據信息安全部提供的安全掃描報告和本制度，制定整改工

6、作日程，根據優(yōu)先級按照“3.2處理時間要求”進行整改。外部漏洞優(yōu)先處理，內部漏洞經信息安全部協(xié)商后可以延后處理。各產品開發(fā)部門各產品開發(fā)部門應在接到漏洞修復通知后，按照“3.2處理時間要求”及附錄一的相關要求，按時修復所負責應用系統(tǒng)的安全漏洞：.在生產系統(tǒng)中：可獲取系統(tǒng)權限（操作系統(tǒng)、數據庫、中間件、網絡設備、業(yè)務系統(tǒng)等）的漏洞；可直接導致客戶信息、交易信息、單位機密信息外泄的漏洞；可直接篡改系統(tǒng)數據的漏洞，必須在48小時之內完成修復。.如果確實存在客觀原因，無法按照規(guī)定時間完成修復工作的，應在修復截止日期前與信息安全部申請延期，并共同商定延后的修復時間和排期。5漏洞處理流程發(fā)現漏瓶圖示說明,

7、火白軟,酒沖廠品匯國際，國因力史與仝同生的藻飛通生.,公司傳夙安生部門工作人曼的港虎謝京站果泉安星挪審意見T:.,飩用安礪洞器牯H具蜀而.究自外刑舍拿的安生廠商或友叱的外部安住殂蝸結對的痂時通如訐估海泥不處理,根據環(huán)結站區(qū)“1時早否丫睦時胤臨進行處治r左耳螺及嗓不a4魏受囪屐道襄處理修補漏瓶未通過泳方式口.凡，&ilL歸I京門燈灌m加寤河儲夏訃丁二，二確配廿相關血井,桌線和u等:上三二升裝.人員就正代網中的安全留祠或3能就陶.，山京息安坐滿對惚豆站果進擰削性見試和臉谿崔昆娟洞成功低復,總”和培訓：i射發(fā)U內安全明1,閨七1總結蟀期轉U.I.避必益次的L類心珅.6罰則本制度適用于單位全體員工，自頒布之日起執(zhí)行。違反本制度條款的責任人，第一次發(fā)現由行政部或相關部門領導