XXX公司漏洞和风险管理制度.docVIP

XXX公司 漏洞和风险管理制度 XX部 总 则 为规范了XXX公司信息系统安全漏洞的发现、评估及处理过程。保障尽早发现安全漏洞，及时消除安全隐患，加快安全处理响应时间，加强信息资产安全，特制订本管理制度。 本管理程序适用于XXX公司系统安全漏洞和风险评估的管理。 漏洞管理制度 漏洞管理的范围至少包含如下内容： 应用系统：所有业务相关应用系统，包括自主开发和外购产品。 操作系统：Windows、Linux 和 UNIX 等。 数据库：Oracle、MySQL、SQL Server 等。 中间件：Tomcat，Apache，Nginx 等。 网络设备：交换机、路由器等。 安全设备：安全管理、审计、防护设备等。 漏洞获知主要有如下方式： 来自软、硬件厂商和国际、国内知名安全组织的安全通告。 单位信息安全部门工作人员的渗透测试结果及安全评审意见。 使用安全漏洞评估工具扫描。 来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知。 漏洞管理标准主要涉及： 操作系统层面：依据CVE标准。 网络层面：依据CVE标准。 数据库层面：依据CVE标准。 中间件（包括应用组件包）：依据CVE标准。 单位自主开发的业务应用：以公司发布文件为主。 漏洞处理原则： 应对突发事件必须及时对漏洞进行发现管理，还要坚持谁主管、谁负责的责任意识，对问题进行落实。 所有高、中风险必须在一周内完成修复。 对于有关安全漏洞的修复方案经评估后会影响系统稳定或短期不能找到解决方案的漏洞，由XX部会同有关部门出具体解决方案。 在漏洞报告处理过程中，如果管理人员对流程处理、漏洞定级、漏洞评分等有异议的，需要及时沟通，必要时可引入外部安全人士共同裁定。 制定更好的风险缓解决策，关键是要采取行动解决问题，交付结果。有效的漏洞管理必须结合有效的补救措施。没有即使洞评估工具会自动执行补救操作。 风险管理制度 信息管理风险建设与信息管理安全相结合，信息管理全面涵盖的风险点，包括：安全管理策略、制度、软件、硬件、网络、数据等方面，并针对其进行了风险程度评估，生成了《风险评估报告》（附件一）。 任何单位和个人不得利用计算机从事危害企业网及本地局域网服务器、工作站的活动，不得危害或入侵未授权服务器、工作站。 漏洞防御职责分工管理 信息安全部负责单位信息安全管理： 1.一个星期进行对单位生产系统使用的应用软件及第三方组件进行漏洞监控和查找，发现漏洞后，填写《安全评测报告》（附件二）并在当天将其转交给有关部门处理。 2.不定期对本制度执行情况进行检查，确保所有漏洞都按照流程进行了有效处理。 3.针对发生的安全事件，及时总结经验和教训，避免再度发生类似事件。 4.协助各部门提供安全漏洞测试和修复方法，并定期组织安全培训。 IT中心负责办公网、生产网中操作系统、数据库、中间件、网络设备等安全漏洞的监控和修复工作： 1.负责维护信息系统所有设备（包括虚拟机）和信息资产列表。 2.运维部门根据信息安全部提供的安全扫描报告和本制度，制定整改工作日程，根据优先级按照规定处理时间要求进行整改。外部漏洞优先处理，内部漏洞经信息安全部协商后可以延后处理。 各产品开发部门应在接到漏洞修复通知后，按照相关要求，按时修复所负责应用系统的安全漏洞： 1.在生产系统中：可获取系统权限（操作系统、数据库、中间件、网络设备、业务系统等）的漏洞；可直接导致客户信息、交易信息、单位机密信息外泄的漏洞；可直接篡改系统数据的漏洞，必须在48小时之内完成修复。 2.如果确实存在客观原因，无法按照规定时间完成修复工作的，应在修复截止日期前与信息安全部申请延期，并共同商定延后的修复时间和排期。 附则 本规定由XXX公司XX部负责解释。 本制度自颁布之日起发布执行。 本规定与国家有关法律、法规不一致的以国家法律、法规为准。 附件一 风险评估报告 风险评估报告 安全管理策略 制度 软件 硬件 网络 数据 风险程度 填写人： 年 月 日 附件二 漏洞扫描报告 名称： 漏洞编号 漏洞类型 危险级别 影响平台 CVSS分值 bug traq编号 CVE编号 CNCVE编号 国家漏洞库编号 存在主机 简单描述 详细描述 修补建议 建议您采取以下措施进行修补以降低威胁： 参考网址 附件三 渗透测试报告 名称： 测试范围 评估目标 测试系统名称 漏洞名称 漏洞概况 修复及整改建议 漏洞证明（截图） 安全建议 漏洞详细描述