- 1、本文档共11页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
XXX公司
漏洞和风险管理制度
XX部
总 则
为规范了XXX公司信息系统安全漏洞的发现、评估及处理过程。保障尽早发现安全漏洞,及时消除安全隐患,加快安全处理响应时间,加强信息资产安全,特制订本管理制度。
本管理程序适用于XXX公司系统安全漏洞和风险评估的管理。
漏洞管理制度
漏洞管理的范围至少包含如下内容:
应用系统:所有业务相关应用系统,包括自主开发和外购产品。
操作系统:Windows、Linux 和 UNIX 等。
数据库:Oracle、MySQL、SQL Server 等。
中间件:Tomcat,Apache,Nginx 等。
网络设备:交换机、路由器等。
安全设备:安全管理、审计、防护设备等。
漏洞获知主要有如下方式:
来自软、硬件厂商和国际、国内知名安全组织的安全通告。
单位信息安全部门工作人员的渗透测试结果及安全评审意见。
使用安全漏洞评估工具扫描。
来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知。
漏洞管理标准主要涉及:
操作系统层面:依据CVE标准。
网络层面:依据CVE标准。
数据库层面:依据CVE标准。
中间件(包括应用组件包):依据CVE标准。
单位自主开发的业务应用:以公司发布文件为主。
漏洞处理原则:
应对突发事件必须及时对漏洞进行发现管理,还要坚持谁主管、谁负责的责任意识,对问题进行落实。
所有高、中风险必须在一周内完成修复。
对于有关安全漏洞的修复方案经评估后会影响系统稳定或短期不能找到解决方案的漏洞,由XX部会同有关部门出具体解决方案。
在漏洞报告处理过程中,如果管理人员对流程处理、漏洞定级、漏洞评分等有异议的,需要及时沟通,必要时可引入外部安全人士共同裁定。
制定更好的风险缓解决策,关键是要采取行动解决问题,交付结果。有效的漏洞管理必须结合有效的补救措施。没有即使洞评估工具会自动执行补救操作。
风险管理制度
信息管理风险建设与信息管理安全相结合,信息管理全面涵盖的风险点,包括:安全管理策略、制度、软件、硬件、网络、数据等方面,并针对其进行了风险程度评估,生成了《风险评估报告》(附件一)。
任何单位和个人不得利用计算机从事危害企业网及本地局域网服务器、工作站的活动,不得危害或入侵未授权服务器、工作站。
漏洞防御职责分工管理
信息安全部负责单位信息安全管理:
1.一个星期进行对单位生产系统使用的应用软件及第三方组件进行漏洞监控和查找,发现漏洞后,填写《安全评测报告》(附件二)并在当天将其转交给有关部门处理。
2.不定期对本制度执行情况进行检查,确保所有漏洞都按照流程进行了有效处理。
3.针对发生的安全事件,及时总结经验和教训,避免再度发生类似事件。
4.协助各部门提供安全漏洞测试和修复方法,并定期组织安全培训。
IT中心负责办公网、生产网中操作系统、数据库、中间件、网络设备等安全漏洞的监控和修复工作:
1.负责维护信息系统所有设备(包括虚拟机)和信息资产列表。
2.运维部门根据信息安全部提供的安全扫描报告和本制度,制定整改工作日程,根据优先级按照规定处理时间要求进行整改。外部漏洞优先处理,内部漏洞经信息安全部协商后可以延后处理。
各产品开发部门应在接到漏洞修复通知后,按照相关要求,按时修复所负责应用系统的安全漏洞:
1.在生产系统中:可获取系统权限(操作系统、数据库、中间件、网络设备、业务系统等)的漏洞;可直接导致客户信息、交易信息、单位机密信息外泄的漏洞;可直接篡改系统数据的漏洞,必须在48小时之内完成修复。
2.如果确实存在客观原因,无法按照规定时间完成修复工作的,应在修复截止日期前与信息安全部申请延期,并共同商定延后的修复时间和排期。
附则
本规定由XXX公司XX部负责解释。
本制度自颁布之日起发布执行。
本规定与国家有关法律、法规不一致的以国家法律、法规为准。
附件一 风险评估报告
风险评估报告
安全管理策略
制度
软件
硬件
网络
数据
风险程度
填写人:
年 月 日
附件二 漏洞扫描报告
名称:
漏洞编号
漏洞类型
危险级别
影响平台
CVSS分值
bug traq编号
CVE编号
CNCVE编号
国家漏洞库编号
存在主机
简单描述
详细描述
修补建议
建议您采取以下措施进行修补以降低威胁:
参考网址
附件三 渗透测试报告
名称:
测试范围
评估目标
测试系统名称
漏洞名称
漏洞概况
修复及整改建议
漏洞证明(截图)
安全建议
漏洞详细描述
1亿VIP精品文档
相关文档
最近下载
- 初中科学课件:华师大版九下6-4新能源与可持续发展(课件).pptx
- 合肥工业大学2021-2022学年第1学期《微观经济学》期末考试试卷(B卷)含标准答案.docx
- 2023-2024在线学习课堂网课《沟通与写作( 西安思源)》单元测试考核答案.pdf
- 新视野大学英语(第三版)读写教程Book4-Unit8-Section A-A meaningful life.ppt
- 幼儿园:主题审议:《走向小学》.docx
- 2023年语文中考总复习八年级上册古诗文理解性默写(二)含答案.pdf VIP
- 马克思主义哲学笔记.docx
- 学堂在线日语与日本文化章节测验答案.docx
- 北京市朝阳区2022-2023学年高一上学期期末质量检测英语试卷.pdf VIP
- 凤凰传奇歌词大全.doc
文档评论(0)