系统运维管理信息安全漏洞管理规定

信息安全漏洞管理规定版本历史 编制人： 审批人： 目录信息安全漏洞管理规定1. 目的2. 范围3. 定义3.1ISMS3.2安全弱点4. 职责和权限 4.1安全管理员的职责和权限 4.2系统管理员的职责和权限4.3信息安全经理、IT相关经理的职责和权限4.4安全审计员的职责和权限5. 内容5.1弱点管理要求5.2安全弱点评估5.3系统安全加固5.4监督和检查6. 参考文件7. 更改历史记录8. 附则9. 附件信息安全漏洞管理规定1. 目的IT建立信息安全漏洞管理流程的目的是为了加强公司信息安全保障能力，建立健全公司 的安全管理体系，提高整体的网络与信息安全水平，保证业务系统的正常运营，提高网络 服务质量，在公司安全体系框架下，本策略为规范公司信息资产的漏洞管理（主要包含 设备的弱点评估及安全加固），将公司信息资产的风险置于可控环境之下。2. 范围本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、应用系统 以及安全设备。3. 定义3.1ISMS基于业务风险方法，建立、实施、运行、监控、评审、保持和改进信息安全的体系， 是公司整个管理体系的一部分。3.2 安全弱点安全弱点是由于系统硬件、软件在设计实现时或者是在安全策略的制定配置上的错误 而引起的缺陷，是违背安全策略的软件或硬件特征。有恶意企图的用户能够利用安全弱点 非法访问系统或者破坏系统的正常使用。 3.3 弱点评估弱点评估是通过风险调查，获取与系统硬件、软件在设计实现时或者是在安全策略的 制定配置的威胁和弱点相关的信息， 并对收集到的信息进行相应分析， 在此基础上， 识别、 分析、评估风险，综合评判给出安全弱点被利用造成不良事件发生的可能性及损失 / 影响程 度的观点，最终形成弱点评估报告。4. 职责和权限阐述本制度 / 流程涉及的部门（角色）职责与权限。4.1 安全管理员的职责和权限1、制定安全弱点评估方案，报信息安全经理和 IT 相关经理进行审批；2、进行信息系统的安全弱点评估；3、生成弱点分析报告并提交给信息安全经理和 IT 相关经理备案；4、根据安全弱点分析报告提供安全加固建议。4.2 系统管理员的职责和权限1、依据安全弱点分析报告及加固建议制定详细的安全加固方案（包括回退方案） ，报 信息安全经理和 IT 相关经理进行审批；2、实施信息系统安全加固测试；3、实施信息系统的安全加固；4、在完成安全加固后编制加固报告并提交给信息安全经理和IT 相关经理备案；5、向信息安全审核员报告业务系统的安全加固情况。4.3 信息安全经理、 IT 相关经理的职责和权限1、信息安全经理和 IT 相关经理负责审核安全弱点评估方案、弱点分析报告、安全加 固方案以及加固报告。4.4 安全审计员的职责和权限1、安全审计员负责安全加固后的检查和验证，以及定期的审核和汇报。5. 内容5.1 弱点管理要求通过定期的信息资产 （主要是 IT 设备和系统） 弱点评估可以及时知道公司安全威胁状 况，这对及时掌握公司主要 IT 设备和系统弱点的状况是极为有重要的； 通过评估后的安全 加固，可以及时弥补发现的安全弱点，降低公司的信息安全风险。a）公司各类信息资产应定期进行弱点评估及相应加固工作。b）弱点评估和加固的信息资产可以分为如下几类：i. 网络设备：路由器、交换机、及其他网络设备的操作系统及配置安全性。ii. 服务器：操作系统的安全补丁、账号号口令、安全配置、网络服务、权限设置等。iii. 应用系统：数据库及通用应用软件（如：WEB Mail、DNS等）的安全补丁及安全配置，需应用部门在测试环境测试通过后方可在正式环境中进行安全补丁加载。iv. 安全设备：VPN网关、防火墙、各类安全管理系统等设备或软件的操作系统及配置安全性。a）在对信息资产进行弱点评估前应制定详细的弱点评估方案，充分考虑评估中出 现的风险，同时制定对应的详细回退方案。b）在对信息资产进行安全加固前应制定详细的安全加固方案，明确实施对象和实 施步骤，如涉及到其他系统，应分析可能存在的风险以及应对措施，并与关联部门和厂商沟通。c) 对于重要信息资产的弱点评估及安全加固，在操作前要进行测试。需经本部门 经理的确认，同时上报信息安全经理和 IT 相关经理进行审批。d) 对信息资产进行弱点评估和加固的时间应选择在业务闲时段，并保留充裕的回 退时间。e) 对信息资产进行安全加固后，应进行总结并生成报告，进行弱点及加固措施的 跟踪。f) 对信息资产进行安全加固完成后，应进行业务测试以确保系统的正常运行。加 固实施期间业务系统支持人员应保证手机开机，确保出现问题时能及时处理。g) 安全加固完成后次日，系统管理员及业务系统支持人员应对加固后的系统进行 监控，确保系统的正常运行。h) 弱点评估由 IT 相关经理和安全管理员协助进行，安全加固由系统管理员执行 如由供应商或服务提供商协助实施安全加固，则应由系统管理员确保评估和加固的有 效性并提交信息 IT 信息安全经理和 IT 相关经理进行评定。5.2 安全弱点评估复查，验证加固后的效果。5.3 系统安全加固a) 公司每次完成安全弱点评估后，各系统管理员应根据弱点评估结果确定需要加固的资产，针对发现的安全弱点制定加固方案。b) 安全加固前，加固人员应制定详细的加固测试方案及加固实施方案(包括回退J 户 方案)并在测试环境中进行加固测试，确认无重大不良影响后才可实施正式加固。c) 在完成安全加固后，加固人员应根据加固过程中弱点的处理情况编制加固报告。 安全管理员应对加固后的信息资产进行弱点评估复查，评估复查结果作为加固的措施 验证。d) 所有加固文档应交付信息安全经理及 IT 相关经理备案。a) 当安全管理部发现高危漏洞时，提出紧急加固建议，通知相关IT 人员进行测试后进行紧急变更实施加固并事后给出评估报告。5.4 监督和检查执行情况进行检查，可通过安全漏洞扫描和现场人工抽查进行审计和检查，检查 的内容包括弱点评估和安全加固的执行情况及相关文档记录。6. 参考文件无7. 更改历史记录IT-007-V01 新版本发布8. 附则本制度由信息技术部每年复审一次，根据复审结果进行修订并颁布执行。本制度的解释权归信息技术部。本规定自签发之日起生效，凡有与该规定冲突的，以此规定 为准。9. 附件无