安全漏洞管理制度.docx

文件名称版本号文件编号机密等级发布日期生效日期XXXX安全漏洞管理制度拟制日期审核日期批准日期文件修订履历目录1引言 41.1目的 41.2对象 41.3范围 42漏洞获知 43级别定义和处理时间要求 43.1级别定义 43.1.1高风险漏洞定义 43.1.2中风险漏洞定义 43.1.3漏洞处理原则 54职责分工 54.1信息安全部 54.2 口中心 54.3各产品开发部门 55漏洞处理流程 66罚则 71引言11目的本制度规范了 XXXX（以下简称：XXXX ）信息系统安全漏洞的发现、评估及处理过程保障尽 早发现安全漏洞，及时消除安全隐患加快安全处理响应时间，加强信息资产安全2对象本制度阅读对象为单位所有的运维人员、产品开发人员、测试和质量保障人员各产品开 发、运营、系统运维、质量测试等部门负责人应通读并认真执行本制度中与其职责相关的要求3范围本制度中的信息系统描述适用于以XX信息系统：应用系统：所有业务相关应用系统，包括自主开发和外购产品操作系统：Windows、Linux 和 UNIX 等数据库：Oracle、MySQL、Sql Server 等中间件：Tomcat，Apache,Nginx 等。

网络设备:交换机、路由 器等安全设备:安全管理、审计、防护设备等2漏洞获知漏洞获知通常有如下方式：＞来自软、硬件厂商和国际、国内知名安全组织的安全通告＞单位信息安全部门工作人员的渗透测试结果及安全评审意见＞使用安全漏洞评估工具扫描＞来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知3级别定义和处理时间要求31级别定义对于没有CVE评级的安全漏洞统一参考附录一标准进行漏洞评级31高风险漏洞定义1 操作系统层面依据CVE标准.2 网络层面：依据CVE标准 数据库层面：依据CVE标准 中间件（包括应用组件包）依据CVE标准 单位自主开发的业务应用详见附录一3.1 o 2中风险漏洞定义1操作系统层面：依据CVE标准2网络层面:依据CVE标准3. 数据库层面依据CVE标准4. 中间件（包括应用组件包）依据CVE标准5. 单位自主开发的业务应用：详见附录一 1・3漏洞处理原则1 所有高、中风险必须在规定时间内完成修复2. 对于有关安全漏洞的修复方案经评估后会影响系统稳定或短期不能找到解决方案的漏洞， 由信息安全部会同有关部门出具体解决方案4职责分工4 1信息安全部1. 定期对单位生产系统使用的应用软件及第三方组件进行漏洞监控和查找，并在当天将高、 中风险转交给有关部门处理。

2 不定期对本制度执行情况进行检查，确保所有漏洞都按照流程进行了有效处理3. 针对发生的安全事件及时总结经验和教训，避免再度发生类似事件 协助各部门提供安全漏洞测试和修复方浏定期组织安全培训4.2叮中心负责办公网、生产网中：操作系统数据库、中间件、网络设备等安全漏洞的监控和修复工 作：1. 负责维护信息系统所有设备（包括虚拟机和信息资产列表2. 运维部门根据信息安全部提供的安全扫描报告和本制度制定整改工作日程，根据优先级 按照“32处理时间要求进行整改外部漏洞优先处理，内部漏洞经信息安全部协商后可以延 后处理3各产品开发部门各产品开发部门应在接到漏洞修复通知后，按照“32,处理时间要求”及附录一的相关要 求，按时修复所负责应用系统的安全漏洞：1. 在生产系统中：可获取系统权限操作系统、数据库、中间件、网络设备、业务系统等） 的漏洞；可直接导致客户信息、交易信息、单位机密信息外泄的漏洞直接篡改系统数据的漏 洞，必须在48小时之内完成修复2. 如果确实存在客观原因，无法按照规定时间完成修复工作的应在修复截止日期前与信息 安全部申请延期，并共同商定延后的修复时间和排期5漏洞处理流程发现漏泥图示说明一，会口救、神炬TrfU「国际.国内加之或电归家的心垒通匕•、处司信H妥冬部门工fK人典的泮虎湄注站果及安崟讶■甫截见T M用安格新花许估…ru书此、象自公迦舍％的安隹"商或叛虾的外部宣色组姬M的漏•血通钮修补漏洞一、振据旬‘•皓黠是〕'』断是君芾耍对成险港七处J邕口血生烦曲 不冲舛 > 彳瘗啜JtPft不处理1 可接受质琦尚要螳理二、正毓配置栩关祝礼 慕朗和曰令挈开推人员憾iE代刑中的攻全都粮或幼就缺陷i.总的眼WI未池河•、山恃息安全肃制惬复姑采迎泞即|他同iZ和曲隹 瓠漏 用在岫蜷牝-il甘州上的登全 的、世II、总结籍久教皿 遍 如•次农 枷 网.6罚则本制度适用于单位全体员工自颁布之日起执行。

违反本制度条款的责任人，第一次发现由行政部或相关部门领导对其进行口头批椭二次 发现以邮件形式在书面进行通报批评并通知所在部门领字三次发现以邮件形式在全单位通报 批评,并通知单位内审部；因违反本制度造成严重后果或对单位造成经济损失的，由单位内审部 对责任人提出处理意见并进行处理。