等级保护信息安全管理制度模板

XXX公司信息安全管理制度：V1.0文件编号：XX-XX-P23XXX公司信息安全管理制度内部公开内部公开文件版本：V1.0文件编号：XX-XX-PXX编写：审核：审批：20XX年XX月XX日发布 20XX年XX月XX日生效XXX公司本文件本文件中包含的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXX公司所有。未经许可任何人不得将此文件中的任何部分以任何形式进行复制、储存和传播。XXX公司信息系统补丁安全管理规定第一章总则为加强XXX公司信息系统安全补丁的跟踪、分析、测试、分发和检查流程，落实主机、网络设备、数据库系统补丁安全管理工作，降低信息系统安全漏洞带来的安全风险，提高信息系统的抗攻击能力，特制定本细则。本实施细则适用于XXX公司信息系统主机、网络设备、数据库系统、应用软件的补丁安全管理。第二章职责与权限安全管理员职责：负责跟踪下列信息，并直接获取可信任安全补丁程序或将安全补丁获取地址发布至系统管理员，数据库管理员，网络管理员：安全组织如CNCERT发布相关预警信息厂商、服务商发布的相关安全公告本部门发布的安全预警等安全公告类信息。负责对补丁加载情况定期审查、验证并归档。系统管理员职责：通过安全管理员获取补丁的安装程序或发布地址，下载补丁安装程序。负责补丁测试、加载、验证并填写相关报告、表单。对补丁的影响进行评估，对风险进行控制。数据库管理员职责：通过安全管理员获取补丁的安装程序或发布地址，下载补丁安装程序。负责补丁测试、加载、验证并填写相关报告、表单。对补丁的影响进行评估，对风险进行控制。网络管理员职责：通过安全管理员获取补丁或IOS文件的安装程序或发布地址，下载补丁安装程序。负责补丁或者IOS文件的测试、加载、验证并填写相关报告、表单。对补丁的影响进行评估，对风险进行控制。第三章补丁安全管理原则及时性原则：对于必要的安全补丁的发布和安装流程，必须及时准确，把安全漏洞所造成的对信息系统的潜在威胁降到最低；严密性原则：补丁的测试和分发流程都需要严密的计划，在保障安全行的同时不影响生产和应用系统的正常运行；持续性原则：补丁管理工作是一个长期持续性的工作，安全管理人员应时刻跟踪厂商的补丁公告和安全公司的安全公告。适应性原则：分场景执行安全补丁管理要求。第四章补丁安全管理细则补丁的追踪与分析管理安全管理员需区分信息资产、IT系统环境、IT网络环境的重要等级，以便有针对性地跟踪所需要的系统补丁和需要采取的措施。安全管理员应每月定期跟踪补丁的最新信息。信息的来源分为以下几类：软件厂商：软件厂商是补丁的主要来源，每一次安全补丁的发布，产商都会发布通告；安全机构：官方安全机构会对一些影响特别大的安全事件进行通告；安全组织和安全公司：这是研究安全的主要力量，公告的特点是发布快速、内容详细、方案全面，并且可知是否已经或者可以被利用。安全漏洞的威胁等级分类为：威胁等级定义紧急利用漏洞可以远程获取管理员权限严重攻击程序和病毒结合，形成蠕虫中等获取普通用户访问权限/提升权限/远程拒绝服务低等信息泄漏、本地拒绝服务安全管理员应分析安全漏洞的威胁等级，针对于不同的安全漏洞，对应的修补时间和修补方式要求如下：威胁等级允许修补的时间修补方式紧急2天用非补丁方式修补，如用防火墙或者限制功能等方式，同时增加监控严重5-10天补丁方式修补中等10－30天限制使用程序、补丁方式低等30－90天补丁方式针对Windows操作系统，各系统管理员应关注以下四类补丁程序，其安装时间要求如下：序号补丁类别安装时间1安全修补程序参照对应漏洞的严重等级2安全更新参照最严重漏洞的严重等级3更新汇总系统重新安装后或者阶段性安装4ServicePack系统重新安装后或者阶段性安装各系统管理员、网络管理员、数据库管理员应掌握各应用系统及网络环境：确定各系统当前所使用的系统类型和版本，以前没有打的补丁，原因以及补救办法。补丁的测试各系统管理员、网络管理员、数据库管理员应确保从安全可靠的地方获取补丁程序，推荐直接从厂商网站上下载，如果补丁支持校验，必须进行安全校验，以验证补丁的可靠性，防止补丁被恶意用户篡改。严禁未经测试直接在生产系统上加载补丁。补丁测试的过程要考虑测试的广泛性和针对性，即在实际情况下尽量充分地测试。补丁测试的方式有两种：测试环境测试和现网测试；测试环境测试必须进行，测试环境需要与现网环境尽可能一致，并考虑差异性带来的风险；条件允许的情况下（如有测试环境或备机）可以现网测试。补丁测试的内容包括补丁安装测试、补丁兼容性测试和补丁回退测试：安装测试主要测试补丁安装过程是否正确无误，补丁安装后系统是否正常启动。补丁兼容性测试主要测试补丁安装后是否对应用系统带来影响，业务是否可以正常运行。补丁回退测试主要包括补丁卸载测试、系统还原测试。补丁测试的工作可由系统集成商负责实施，所属管理员负责协调，必须对补丁的现场测试和现网测试限定时间，测试完成后需要编写详细的测试报告，给出明确的测试结论。为确保系统集成商及时配合补丁的测试和安装工作，需要通过合同的方式，明确集成商的安全补丁测试和安装责任，约束条款至少应包括：实验室测试环境的搭建，在规定时间内完成补丁测试，补丁的安装，补丁安装失败时的测试与分析，补丁与应用冲突时的系统改造和升级工作。补丁分发及安装完成补丁测试后，所属管理员如果未发现问题，则要根据漏洞威胁的紧急程度，与管理员制定补丁分发计划，根据实际情况在所属系统中分批安装。分发补丁的优先次序为：办公网环境的计算机优先安装；生产网中资产价值大、威胁等级高的系统优先安装；对于具有多台服务器并行的负载均衡系统，并行的服务器组应分批多次分发和安装系统补丁。安全管理员应根据最新的补丁通告信息，指导和组织各部门进行安全补丁的安装工作。如无特殊原因，办公网环境、各部门的计算机应优先安装系统安全补丁安全管理员应督促本职责范围内计算机安全补丁的安装工作。各系统管理员、网络管理员、数据库管理员确定生产环境所属系统的补丁分发顺序后，应上报安全管理员审批，由其通知其它相关影响部门。在审批通过后，组织相关人员按计划执行补丁安装。对重要的业务系统安装系统安全补丁，系统管理员应事先做好系统和数据的备份工作，以便在补丁安装失败后可以尽快恢复系统。补丁的安装操作过程必须详细记录，核心业务系统的补丁加载必须要求厂商工程师现场支持。终端操作系统安全补丁要随出随打；服务器安全补丁要随应用软件升级一同安装；定期打补丁的周期不得多于6个月。在没打补丁期间，要采取临时替代措施。补丁疑难解决和检查对补丁安装过程中出现且能解决的问题，尽快进行总结，以便为解决同类问题提供借鉴。对于一些不能解决的补丁安装问题，需采用应急方案，使用备份系统或者卸载补丁，同时需确定一个临时的解决办法消除漏洞的潜在威胁，并尽快向补丁厂商寻求技术支持。完成系统补丁的安装变更后，系统管理员需对安装的系统