(完整版)安全漏洞管理制度

1、文件名称版本号文件编号机密等级发布日期生效日期XXXX安全漏洞管理制度文件修订履历创建/变更人变化状态变更摘要章节/内容）版本创建/变更时间批准人变化状态：新建，增加，修改删除目录TOC o 1-5 h z HYPERLINK l bookmark4 1引言4 HYPERLINK l bookmark6 目的4 HYPERLINK l bookmark8 对象4范围4 HYPERLINK l bookmark10 2漏洞获知4 HYPERLINK l bookmark12 3级别定义和处理时间要求4 HYPERLINK l bookmark14 级别定义4高风险漏洞定义4中风险漏洞定义4漏洞处

2、理原则5 HYPERLINK l bookmark16 4职责分工5 HYPERLINK l bookmark18 信息安全部511中心5 HYPERLINK l bookmark22 各产品开发部门5 HYPERLINK l bookmark24 5漏洞处理流程6 HYPERLINK l bookmark26 6罚则71引言目的本制度规范了乂乂乂乂（以下简称：XXXX）信息系统安全漏洞的发现、评估及处理过程。保障尽早发现安全漏洞，及时消除安全隐患。加快安全处理响应时间，加强信息资产安全。对象本制度阅读对象为单位所有的运维人员、产品开发人员、测试和质量保障人员等。各产品开发、运营、系统运维、质

3、量测试等部门负责人应通读并认真执行本制度中与其职责相关的要求。1.3范围本制度中的信息系统描述适用于XXXX信息系统：应用系统：所有业务相关应用系统，包括自主开发和外购产品。操作系统：Windows、Linux和UNIX等。数据库：Oracle、MySQL、SqlServer等。中间件：Tomcat，Apache，Nginx等。网络设备：交换机、路由器等。安全设备：安全管理、审计、防护设备等。2漏洞获知漏洞获知通常有如下方式：来自软、硬件厂商和国际、国内知名安全组织的安全通告。单位信息安全部门工作人员的渗透测试结果及安全评审意见。使用安全漏洞评估工具扫描。来自单位合作的安全厂商或友好的外部安全

4、组织给出的漏洞通知。3级别定义和处理时间要求级别定义对于没有CVE评级的安全漏洞统一参考附录一标准进行漏洞评级。高风险漏洞定义.操作系统层面：依据CVE标准。.网络层面：依据CVE标准。.数据库层面：依据CVE标准。.中间件（包括应用组件包）：依据CVE标准。.单位自主开发的业务应用：详见附录一。中风险漏洞定义1操作系统层面：依据CVE标准。2网络层面：依据CVE标准。.数据库层面：依据CVE标准。.中间件（包括应用组件包）：依据CVE标准。.单位自主开发的业务应用：详见附录一。3.1.3漏洞处理原则.所有高、中风险必须在规定时间内完成修复。.对于有关安全漏洞的修复方案经评估后会影响系统稳定或

5、短期不能找到解决方案的漏洞，由信息安全部会同有关部门出具体解决方案。4职责分工信息安全部.定期对单位生产系统使用的应用软件及第三方组件进行漏洞监控和查找，并在当天将高、中风险转交给有关部门处理。.不定期对本制度执行情况进行检查，确保所有漏洞都按照流程进行了有效处理。.针对发生的安全事件，及时总结经验和教训，避免再度发生类似事件。.协助各部门提供安全漏洞测试和修复方法，并定期组织安全培训。IT中心负责办公网、生产网中：操作系统、数据库、中间件、网络设备等安全漏洞的监控和修复工作：.负责维护信息系统所有设备（包括虚拟机）和信息资产列表。.运维部门根据信息安全部提供的安全扫描报告和本制度，制定整改工

6、作日程，根据优先级按照“3.2处理时间要求”进行整改。外部漏洞优先处理，内部漏洞经信息安全部协商后可以延后处理。各产品开发部门各产品开发部门应在接到漏洞修复通知后，按照“3.2处理时间要求”及附录一的相关要求，按时修复所负责应用系统的安全漏洞：.在生产系统中：可获取系统权限（操作系统、数据库、中间件、网络设备、业务系统等）的漏洞；可直接导致客户信息、交易信息、单位机密信息外泄的漏洞；可直接篡改系统数据的漏洞，必须在48小时之内完成修复。.如果确实存在客观原因，无法按照规定时间完成修复工作的，应在修复截止日期前与信息安全部申请延期，并共同商定延后的修复时间和排期。5漏洞处理流程发现漏瓶图示说明,

7、火白软,酒冲厂品汇国际，国因力史与仝同生的藻飞通生.,公司传夙安生部门工作人曼的港虎谢京站果泉安星挪审意见T:.,饨用安砺洞器牯H具蜀而.究自外刑舍拿的安生厂商或友叱的外部安住殂蜗结对的痂时通如讦估海泥不处理,根据环结站区“1时早否丫睦时胤临进行处治r左耳螺及嗓不a4魏受囱屐道襄处理修补漏瓶未通过泳方式口.凡，&ilL归I京门灯灌m加寤河储夏讣丁二，二确配廿相关血井,桌线和u等:上三二升装.人员就正代网中的安全留祠或3能就陶.，山京息安坐满对惚豆站果进拧削性见试和脸谿崔昆娟洞成功低复,总”和培训：i射发U内安全明1,闺七1总结蟀期转U.I.避必益次的L类心珅.6罚则本制度适用于单位全体员工，自颁布之日起执行。违反本制度条款的责任人，第一次发现由行政部或相关部门领导