系统运维管理系统-信息安全系统漏洞管理系统规定

实用标准实用标准文案大全文案大全信息安全漏洞管理规定版本历史编制人：审批人：目录TOC\o"1-5"\h\z\o"CurrentDocument"目录 2\o"CurrentDocument"信息安全漏洞管理规定 3\o"CurrentDocument"目的 3\o"CurrentDocument"范围 3\o"CurrentDocument"定义 3ISMS 3安全弱点 3\o"CurrentDocument"职责和权限 4安全管理员的职责和权限 4系统管理员的职责和权限 4\o"CurrentDocument"□□□□□□□IT□□□□□□□□□□ 4安全审计员的职责和权限 5\o"CurrentDocument"内容 5弱点管理要求 5安全弱点评估 6\o"CurrentDocument"系统安全加固 7监督和检查 7\o"CurrentDocument"参考文件 7\o"CurrentDocument"更改历史记录 7\o"CurrentDocument"附则 8\o"CurrentDocument"附件 8

信息安全漏洞管理规定信息安全漏洞管理规定目的建立建立信息安全漏洞管理流程的目的是为了加强公司信息安全保障能力，建立健全公司的安全管理体系，常运营，提高网络服务质量，产的漏洞管理（主要包含健全公司的安全管理体系，常运营，提高网络服务质量，产的漏洞管理（主要包含险置于可控环境之下。提高整体的网络与信息安全水平，在公司安全体系框架下，IT设备的弱点评估及安全加固）保证业务系统的正本策略为规范公司信息资，将公司信息资产的风范围本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、应用系统以及安全设 备。定义ISMS基于业务风险方法，建立、实施、运行、监控、评审、保持和改进信息安全的体系，是公司整个管理体系的一部分。安全弱点安全弱点是由于系统硬件、 软件在设计实现时或者是在安全策略的制定配置上的错误而引起的缺陷， 是违背安全策略的软件或硬件特征。 有恶意企图的用户3.3弱点评估弱点评估是通过风险调查，获取与系统硬件、3.3弱点评估弱点评估是通过风险调查，获取与系统硬件、软件在设计实现时或者是在安能够利用安全弱点非法访问系统或者破坏系统的正常使用。全策略的制定配置的威胁和弱点相关的信息，并对收集到的信息进行相应分析，在此基础上，识别、分析、评估风险，综合评判给出安全弱点被利用造成不良事件发生的可能性及损失/影响程度的观点，最终形成弱点评估报告。件发生的可能性及损失/影响程度的观点，最终形成弱点评估报告。职责和权限阐述本制度/流程涉及的部门（角色）职责与权限。阐述本制度/流程涉及的部门（角色）职责与权限。安全管理员的职责和权限1、制定安全弱点评估方案，报信息安全经理和1、制定安全弱点评估方案，报信息安全经理和IT相关经理进行审批；2、进行信息系统的安全弱点评估；3、生成弱点分析报告并提交给信息安全经理和3、生成弱点分析报告并提交给信息安全经理和IT相关经理备案；4、根据安全弱点分析报告提供安全加固建议。系统管理员的职责和权限1、依据安全弱点分析报告及加固建议制定详细的安全加固方案（包括回退方案），报信息安全经理和IT方案），报信息安全经理和IT相关经理进行审批；2、实施信息系统安全加固测试；3、实施信息系统的安全加固；IT相关经理备4IT相关经理备案；5、向信息安全审核员报告业务系统的安全加固情况。4.3信息安全经理、4.3信息安全经理、IT相关经理的职责和权限1、信息安全经理和IT1、信息安全经理和IT相关经理负责审核安全弱点评估方案、弱点分析报告、安全加固方案以及加固报告。

安全加固方案以及加固报告。4.4安全审计员的职责和权限1、安全审计员负责安全加固后的检查和验证，以及定期的审核和汇报。5.内容5.1弱点管理要求通过定期的信息资产(主要是IT□□□□□□□□□□□□□□□□□□安全威胁状况，这对及时掌握公司主要IT□□□□□□□□□□□□□□□□4.4安全审计员的职责和权限1、安全审计员负责安全加固后的检查和验证，以及定期的审核和汇报。5.内容5.1弱点管理要求通过定期的信息资产(主要是IT□□□□□□□□□□□□□□□□□□安全威胁状况，这对及时掌握公司主要IT□□□□□□□□□□□□□□□□的；通过评估后的安全加固，可以及时弥补发现的安全弱点，降低公司的信息安5.1.1评估及加固对象a)b)弱点评估和加固的信息资产可以分为如下几类：公司各类信息资产应定期进行弱点评估及相应加固工作。a)b)弱点评估和加固的信息资产可以分为如下几类：i.网络设备：路由器、交换机、及其他网络设备的操作系统及配置安全性。ii.服务器：操作系统的安全补丁、账号号口令、安全配置、ii.服务器：操作系统的安全补丁、账号号口令、安全配置、网络服务、权限设置等。应用系统：数据库及通用应用软件(如：WEB应用系统：数据库及通用应用软件(如：WEB、Mail、DNS等)的安全补丁及安全配置，需应用部门在测试环境测试通过后方可在正式环境中安全补丁及安全配置，需应用部门在测试环境测试通过后方可在正式环境中进行安全补丁加载。iv.安全设备：VPNiv.安全设备：VPN网关、防火墙、各类安全管理系统等设备或软件的操作系统及配置安全性。5.1.2评估及加固过程中的安全要求在对信息资产进行弱点评估前应制定详细的弱点评估方案，充分考虑评估中出现的风险，同时制定对应的详细回退方案。虑评估中出现的风险，同时制定对应的详细回退方案。在对信息资产进行安全加固前应制定详细的安全加固方案，明确实施对象和实施步骤，如涉及到其他系统，应分析可能存在的风险以及应对施对象和实施步骤，如涉及到其他系统，应分析可能存在的风险以及应对措施，并与关联部门和厂商沟通。对于重要信息资产的弱点评估及安全加固，在操作前要进行测试。□□□□□□□□□ □,□□□□□□□□□□□ IT□□□□□□□□□对信息资产进行弱点评估和加固的时间应选择在业务闲时段，并保留充裕的回退时间。对信息资产进行安全加固后，应进行总结并生成报告，进行弱点及加固措施的跟踪。对信息资产进行安全加固完成后， 应进行业务测试以确保系统的正常运行。加固实施期间业务系统支持人员应保证手机开机，确保出现问题时能及时处理。安全加固完成后次日，系统管理员及业务系统支持人员应对加固后的系统进行监控，确 保系统的正常运行。□□□□□IT相关经理和安全管理员协助进行， □□□□□□□□理员执行。如由供应 商或服务提供商协助实施安全加固，则应由系统管理□□□□□□□□□□□□□□□□□ IT信息安全经理和 IT相关经理进行评定。5.2安全弱点评估公司每季度进行一次弱点评估工作， 信息资产的弱点评估由安全管理员负责。5.2.2在进行信息资产弱点评估时应采用公司认可的扫描工具及检查□□,□□□□□□□□ IT信息安全经理和 IT相关经理进行确认和审批。□□□□□□□ IT□□□□□□□□□□□,□□ IT人员参考弱点评估报告编写安全 加固方案，并进行系统安全加固工作。安全管理员在各系统完成安全加固后，组织弱点评估复查，验证加固后的效果。□□□□□□□□□□□□□□□□□□□□ IT相关经理备案。系统安全加固安全加固公司每次完成安全弱点评估后，各系统管理员应根据弱点评估结果确定需要加固的资 产，针对发现的安全弱点制定加固方案。安全加固前，加固人员应制定详细的加固测试方案及加固实施方案(包括回退方案)并在测试环境中进行加固测试， 确认无重大不良影响后才可实施正式加固。在完成安全加固后，加固人员应根据加固过程中弱点的处理情况编制加固报告。安全管 理员应对加固后的信息资产进行弱点评估复查，评估复查结果作为加固的措施验证。□□□□□□□□□□□□□□□□ IT相关经理备案。紧急安全加固a)□□□□□□□□□□□□□,□□□□□□□□,□□□□ IT人员进行测试后进行紧 急变更实施加固并事后给出评估报告。监督和检查安全审计员负责