系统运维管理信息安全漏洞管理规定.docx

系统运维管理信息安全漏洞管理规定.docx

《系统运维管理信息安全漏洞管理规定.docx》由会员分享，可在线阅读，更多相关《系统运维管理信息安全漏洞管理规定.docx（5页珍藏版）》请在冰豆网上搜索。

系统运维管理信息安全漏洞管理规定

信息平安漏洞管理规定

版本历史

编制人：

审批人：

信息平安漏洞管理规定

1.目的

建立信息平安漏洞管理流程的目的是为了加强公司信息平安保障能力，建立健全公司的平安管理体系，提高整体的网络与信息平安水平，保证业务系统的正常运营，提高网络效劳质量，在公司平安体系框架下，本策略为标准公司信息资产的漏洞管理〔主要包含IT设备的弱点评估及平安加固〕，将公司信息资产的风险置于可控环境之下。

2.范围

本策略适用于公司所有在生产环境和办公环境中使用的网络系统、效劳器、应用系统以及平安设备。

3.定义

3.1ISMS

基于业务风险方法，建立、实施、运行、监控、评审、保持和改良信息平安的体系，是公司整个管理体系的一局部。

3.2平安弱点

平安弱点是由于系统硬件、软件在设计实现时或者是在平安策略的制定配置上的错误而引起的缺陷，是违背平安策略的软件或硬件特征。

有恶意企图的用户能够利用平安弱点非法访问系统或者破坏系统的正常使用。

3.3弱点评估

弱点评估是通过风险调查，获取与系统硬件、软件在设计实现时或者是在平安策略的制定配置的威胁和弱点相关的信息，并对收集到的信息进展相应分析，在此根底上，识别、分析、评估风险，综合评判给出平安弱点被利用造成不良事件发生的可能性及损失/影响程度的观点，最终形成弱点评估报告。

4.职责和权限

阐述本制度/流程涉及的部门〔角色〕职责与权限。

4.1平安管理员的职责和权限

1、制定平安弱点评估方案，报信息平安经理和IT相关经理进展审批；

2、进展信息系统的平安弱点评估；

3、生成弱点分析报告并提交给信息平安经理和IT相关经理备案；

4、根据平安弱点分析报告提供平安加固建议。

4.2系统管理员的职责和权限

1、依据平安弱点分析报告及加固建议制定详细的平安加固方案〔包括回退方案〕，报信息平安经理和IT相关经理进展审批；

2、实施信息系统平安加固测试；

3、实施信息系统的平安加固；

4、在完成平安加固后编制加固报告并提交给信息平安经理和IT相关经理备案；

5、向信息平安审核员报告业务系统的平安加固情况。

4.3信息平安经理、IT相关经理的职责和权限

1、信息平安经理和IT相关经理负责审核平安弱点评估方案、弱点分析报告、平安加固方案以及加固报告。

4.4平安审计员的职责和权限

1、平安审计员负责平安加固后的检查和验证，以及定期的审核和汇报。

5.内容

5.1弱点管理要求

通过定期的信息资产〔主要是IT设备和系统〕弱点评估可以及时知道公司平安威胁状况，这对及时掌握公司主要IT设备和系统弱点的状况是极为有重要的；通过评估后的平安加固，可以及时弥补发现的平安弱点，降低公司的信息平安风险。

5.1.1评估及加固对象

a）公司各类信息资产应定期进展弱点评估及相应加固工作。

b）弱点评估和加固的信息资产可以分为如下几类：

i.网络设备：

路由器、交换机、及其他网络设备的操作系统及配置平安性。

ii.效劳器：

操作系统的平安补丁、账号号口令、平安配置、网络效劳、权限设置等。

iii.应用系统：

数据库及通用应用软件〔如：

WEB、Mail、DNS等〕的平安补丁及平安配置，需应用部门在测试环境测试通过前方可在正式环境中进展平安补丁加载。

iv.平安设备：

VPN网关、防火墙、各类平安管理系统等设备或软件的操作系统及配置

平安性。

5.1.2评估及加固过程中的平安要求

a）在对信息资产进展弱点评估前应制定详细的弱点评估方案，充分考虑评估中出现的风险，同时制定对应的详细回退方案。

b）在对信息资产进展平安加固前应制定详细的平安加固方案，明确实施对象和实施步骤，如涉及到其他系统，应分析可能存在的风险以及应对措施，并与关联部门和厂商沟通。

c）对于重要信息资产的弱点评估及平安加固，在操作前要进展测试。

需经本部门经理确实认，同时上报信息平安经理和IT相关经理进展审批。

d）对信息资产进展弱点评估和加固的时间应选择在业务闲时段，并保存充裕的回退时间。

e）对信息资产进展平安加固后，应进展总结并生成报告，进展弱点及加固措施的跟踪。

f）对信息资产进展平安加固完成后，应进展业务测试以确保系统的正常运行。

加固实施期间业务系统支持人员应保证手机开机，确保出现问题时能及时处理。

g）平安加固完成后次日，系统管理员及业务系统支持人员应对加固后的系统进展监控，确保系统的正常运行。

h）弱点评估由IT相关经理和平安管理员协助进展，平安加固由系统管理员执行。

如由供给商或效劳提供商协助实施平安加固，那么应由系统管理员确保评估和加固的有效性并提交信息IT信息平安经理和IT相关经理进展评定。

5.2平安弱点评估

5.2.1公司每季度进展一次弱点评估工作，信息资产的弱点评估由平安管理员负责。

5.2.2在进展信息资产弱点评估时应采用公司认可的扫描工具及检查列表，弱点评估方案需由IT信息平安经理和IT相关经理进展确认和审批。

5.2.3信息平安经理和IT相关经理弱点评估完成后，相关IT人员参考弱点评估报告编写平安加固方案，并进展系统平安加固工作。

5.2.4平安管理员在各系统完成平安加固后，组织弱点评估复查，验证加固后的效果。

5.2.5所有平安弱点评估文档应交付信息平安经理和IT相关经理备案。

5.3系统平安加固

5.3.1平安加固

a）公司每次完成平安弱点评估后，各系统管理员应根据弱点评估结果确定需要加固的资产，针对发现的平安弱点制定加固方案。

b）平安加固前，加固人员应制定详细的加固测试方案及加固实施方案〔包括回退方案〕

并在测试环境中进展加固测试，确认无重大不良影响后才可实施正式加固。

c）在完成平安加固后，加固人员应根据加固过程中弱点的处理情况编制加固报告。

平安管理员应对加固后的信息资产进展弱点评估复查，评估复查结果作为加固的措施验证。

d）所有加固文档应交付信息平安经理及IT相关经理备案。

5.3.2紧急平安加固

a）当平安管理部发现高危漏洞时，提出紧急加固建议，通知相关IT人员进展测试后进展紧急变更实施加固并事后给出评估报告。

5.4监视和检查

5.4.1平安审计员负责对信息平安弱点管理的执行情况进展检查，可通过平安漏洞扫描和现场人工抽查进展审计和检查，检查的内容包括弱点评估和平安加固的执行情况及相关文档记录。

6.参考文件

无

7.更改历史记录

IT-007-V01新版本发布

8.附那么

本制度由信息技术部每年复审一次，根据复审结果进展修订并公布执行。

本制度的解释权归信息技术部。

本规定自签发之日起生效，凡有与该规定冲突的，以此规定为准。

9.附件

无

【本文档内容可以自由复制内容或自由编辑修改内容期待你的好评和关注，我们将会做得更好】