企业计算机补丁管理办法

前 言 为加强xx公司计算机补丁的管理，规范补丁的测试、安装部署流程，保证计算机补丁 及时更新，确保公司信息网络安全稳定运行，特制定本办法。 本办法由xx公司信息部提出。 本办法由xx公司归口管理。 本办法由xx公司信息部负责解释。 本办法主要起草单位： 本办法协助起草单位： 本办法主要起草人： 目 次 1 总则 1 2 术语和定义 1 3 职责 1 4 管理内容与方法 2 5 附则 3 1 xx公 司 计 算 机 补 丁 管 理 办 法 1 总则 1.1 为加强 xx 公司计算机补丁的管理，规范补丁的测试、安装部署流程，保证 计算机补丁及时更新，确保公司信息网络安全稳定运行，特制定本办法。 1.2 本办法适用于 xx 公司所属各单位的计算机补丁管理。 2 术语和定义 2.1 计算机漏洞：指在软件、协议的具体实现或系统安全策略上存在缺陷，攻 击者可利用其缺陷在未授权的情况下访问或破坏系统。根据漏洞对系统可能造 成的潜在威胁、影响范围、被发现的可能性等方面将漏洞分为很高、高、中、 低、可忽略五个等级。 2.2 计算机补丁：用于修复计算机软件缺陷的修补程序，包括操作系统、浏览 器、办公软件、数据库和中间件（含 Web 应用）补丁。 2.3 紧急补丁：指与严重性等级为很高漏洞对应的计算机补丁。 2.4 重大补丁：指与严重性等级为高、中漏洞对应的计算机补丁。 2.5 一般补丁：指与严重性等级为低、可忽略漏洞对应的计算机补丁。 3 职责 3.1 管理职责 3.1.1 信息管理部门职责 3.1.1.1 负责制订计算机补丁管理相关标准和规范。 3.1.1.2 负责监督、指导信息运维部门的计算机补丁管理。 3.1.1.3 负责发布计算机安全预警和安全通告。 3.1.2 信息运维部门职责 3.1.2.1 负责贯彻执行计算机补丁管理相关标准和规范。 3.1.2.2 负责计算机补丁的下载、测试、评估、安装、验证和归档等日常运行 维护工作。 3.2 角色职责 2 3.2.1 安全管理员职责 3.2.1.1 负责跟踪各类计算机补丁信息，负责发布安全预警与安全通告。 3.2.1.2 负责对漏洞的威胁、成因和严重性进行评估。 3.2.1.3 负责提出漏洞修补要求和相关防护措施。 3.2.2 系统管理员职责 3.2.2.1 负责对补丁安装的必要性、风险等进行评估。 3.2.2.2 负责组织补丁的测试与安装。 3.2.3 补丁测试员职责 3.2.3.1 负责搭建补丁测试环境。 3.2.3.2 负责补丁的测试与记录。 3.2.4 补丁安装员职责 3.2.4.1 负责补丁的下载、分发与安装。 3.2.4.2 负责解决补丁安装或分发过程中出现的问题，负责补丁的回退。 4 管理内容与方法 4.1 基本原则 4.1.1 补丁应由信息部门统一进行下载、测试和安装，未经许可，不可私自下 载安装。 4.1.2 为确保信息系统安全可用，原则上要求紧急补丁 7 天内完成安装，重要 补丁 15 天内完成安装，一般补丁 1 个月内完成安装。 4.1.3 对于刚发布的漏洞（无补丁）和测试未通过的补丁，可采用临时解决办 法消除漏洞的威胁或者暂时接受该风险；对于影响范围大、高危险的漏洞须在 公共平台上发布预警信息。 4.2 补丁获取 4.2.1 由安全管理员负责收集各类漏洞信息，跟踪最新的补丁信息。 4.2.2 补丁来源须为原厂商、安全机构、安全组织、安全公司的官方网站或原 厂商工作人员，若补丁支持校验，必须进行安全校验，防止补丁恶意篡改。 4.3 补丁测试 4.3.1 补丁安装前须经严格的测试，测试未通过的补丁禁止安装，补丁测试结 果应有记录，记录表格式见附录 A。 3 4.3.2 补丁测试内容包括安装测试、功能性测试、兼容性测试和回退测试。 4.3.2.1 安装测试验证补丁安装过程是否正确无误，补丁安装后系统是否可正 常启动。 4.3.2.2 功能性测试验证补丁是否已修补漏洞。 4.3.2.3 兼容性测试验证补丁安装后是否影响应用系统，应用系统是否可正常 运行。 4.3.2.4 回退测试为补丁的卸载与还原测试。 4.3.3 对于公司统一版本的应用系统，应由上级信息部门统一对操作系统、数 据库、中间件补丁进行测试和评估。 4.3.4 测试中发现的问题应做详细分析，判断发生的原因并及时解决。若不能 解决，记录发生问题的环境，立即反馈原厂商，同时由安全管理员在公共平台 发布通告。 4.4 补丁安装 4.4.1 系统管理员应分析 IT 环境和信息系统重要等级，确定需要安装的补丁， 同时明确修补时间、修补方式和修补范围。 4.4.2 计算机补丁须经系统管理员审批同意后方可进行安装。 4.4.3 对于重要的信息系统，补丁安装前须先做好系统和数据备份工作，确保 任何的操作均可回退。 4.4.4 服务端补丁的安装须安排在业务空闲时间进行，补丁安装过程须详细记 录。 4.5 补丁验证 4.5.1 补丁安装完成后，补丁安装员应核查系统信息，同时进行系统兼容性测 试与安装测试，确保补丁已成功安装、系统可正常运行。测试未通过时，应启 动回退操作。 4.5.2 补丁安装后 7 天内，系统管理员应密切监控系统的运行情况。 4.6 补丁归档 4.6.1 补丁安装员应定期编写补丁安装报告，内容包括补丁类型、补丁编号、 补丁安装范围、补丁未安装范围、补丁未安装原因等，补丁安装报告格式见附 录 B。 4 4.6.2 补丁安装员应对补丁程序进行归档，以备系统重装时使用。 5 附则 5.1 本办法由 xx 公司信息部负责解释。 5.2 本办法自颁布之日起执行。 5 附录 A