9信息安全漏洞管理流程

1、信息安全漏洞管理规定主导部门：T部支持部门：N/A审批：IT部文档编号：IT-V01生效日期：版本Version发布日期 Issuance Date发布原因Reasons of Issuance生效日期Effective Date1.()新版本发布会签批准人 Approval(s)签名Signatures签署日期Date Signed起草人EditorIT经理IT ManagerIT高级总监Senior IT Director信息安全漏洞管理规定1目的建立信息安全漏洞管理流程的n的是为了加强公司信息安全保障能力，建立健全公司的安全管理体 系，提高整体的网络与信息安全水平，仅证业务系统的正常运营，提高网络服务质景，在公m安全体 系框架不，本策略为规范公司信息资产的漏洞管理（主要包含IT设备的弱点评估及安全加固），将公 司信怠资产的风险置于可控环境之下。2. 范木策略适用于公司所冇在生产环境和办公环境中使用的网络系统、服务器、应用系统以及安全设 备。3. 定义3.1 ISMS基于业务风险方法，建立、实施、运行、监控、评市、保持和改进倌息安全的体系，是公司整个 管理体系的一部分。3.2安全弱

2、点安全弱点是由于系统硬件、软件在设计实现时或者是在安全策略的制定配置上的错误而引起的缺 陷，足违背安全策略的软件或硬件特征。有恶意企图的川户能够利川安全弱点非法访问系统或者 破坏系统的正常使用。3.3弱点评估弱点评佔是通过风险调查，获取与系统硬件、软件迕设计实现时或者是在安全策略的制定配置的 威胁和弱点相关的信息，丼对收集到的信息进行相应分析，在此基础上，识别、分析、评估风险， 综合评判给出安全弱点被利川造成不良事件发牛的可能性及损失/影响程度的观点，最终形成弱点 评估报吿。4. 职责和权限闸述本制度/流程涉及的部门（角色）职责与权限。4.1安全管理员的职责和权限1、制定安全弱点评估方案，报信息安全经理和IT相失经理进行审批；2、进行信息系统的安伞弱点评佔；3、生成弱点分析报告并捉交给信息安全经理和IT相关经理备案；4、根据安全弱点分析报告提供安全加同建议。4.2系统管理员的职责和权限1、依裾安全弱点分析报告及加闹建议制定详细的安全加阓方案（乜括回退方案），报倍息安全经 理和IT相矢经理进行审批；2、实施信息系统安全加固测试；3、实施信息系统的安全加同；4、在完成安全加固后编制加固报告

3、弁提交给信息安全经现和IT相关经备案；5、向信总安金市核员报告、I k务系统的安金加固情况。4.3信息安全经理、IT相关经理的职责和权限1、信息安全经理和it相关经理负责4/核安全弱点评佔方案、弱点分析报告、安全加固方案以及 加岡报告。4.4安全审计员的职责和权限1、安全市计员负责安全加同后的检查和验证，以及定期的市核和汇报。5.内容5.1弱点管理要求通过定期的信息资产（主耍是IT没备和系统）弱点评估讨以及时知道公司安企威胁状况，这对及 时掌握公司主要IT设备和系统弱点的状况是极为冇重要的；通过评佔后的安全加固，吋以及时弥 补发现的安全弱点，降低公司的信息安全风险。5.1.1 评估及加固对象a）公司各类倌息资产应定期进行弱点评估及相应加阀工作。b）弱点评估和加固的信息资产4以分为如下几类：i. 网络设备：路由器、交换机、及K他网络设备的操作系统及配置安全性。ii. 服务器：操作系统的安全补丁、账号号LI令、安全配置、网络服务、权限设置等。iii. 应用系统：数据库及通用应用软件（如：WEB、Mail、DNS等）的安全补丁及安全 配置，需应用部门在测试环境测试通过后方可在正式环境巾进行安

4、全补丁加载。iv. 安全设备：VPN网关、防火墙、各类安全管理系统等设备或软件的操作系统及配置 安全性。5.1.2 评佔及加固过程中的安全要求a）在对信息资产进行弱点评估前应制定详细的弱点评估?y案，充分考虑评估中出现的风 险，同吋制定对应的详细回退方案。b）在对倍息资产进行安全加阀前应制定详细的安全加阀方案，明确实施对象和实施步骤， 如涉及到其他系统，应分析4能存在的风险以及应对措施，并与失联部门和厂商沟通。c）对于重要信息资产的弱点评佔及安全加固，在操作前要进行测试。需经木部门经理的确 认，同时上报信息安全经理和IT相关经理进行审批。d）对信息资产进行弱点评估和加固的吋间应选择在业务闲吋段，并保留充裕的回退吋间。e）对信息资产进行安全加阀后，应进行总结并生成报告，进行弱点及加同措施的跟踪。f）对信息资产进行安企加固完成后，应进行业务测试以确保系统的正常运行。加凼实施期 间业务系统支持人员应保证手机开机，确保出现问题时能及时处理。g）安全加岡完成后次U，系统管理员及业务系统支持人员应对加冏后的系统进行监控，确 保系统的正常运行。h）弱点评估由IT相关经理和安全管理员协助进行，安全加固

5、由系统管理员执行。如山供应 商或服务提供商协助实施安企加固，则应由系统管理员确保评佔和加固的有效性并提交 信息IT信息安全经理和IT相关经理进行评定。5.2安全弱点评估5.2.1 公司每季度进行一次弱点评估工作，信息资产的弱点评估由安全管理员负责。5.2.2 在进行信息资产弱点评估吋应采用公司汄可的扫描工其及检查列表，弱点评估计划需山IT信息安全经理和IT相又经理进行确认和审批。5.2.3 信息安全经理和IT相关经理弱点评佔完成相关IT人员参考弱点评佔报告编写安全 加岡方案，并进行系统安全加同丁作。5.2.4 安全管现员在各系统完成安全加固后，组织弱点评估复查，验证加固后的效果。5.2.5 所有安全弱点评估文捫应交仰信息安全经理和IT相关经理备案。5.3系统安全加固5.3.1 安全加固a）公司每次完成安全弱点评估后，各系统管理员成根据弱点评估结果确定需要加岡的资 产，针对发现的安全弱点制定加固方案。b）安全加同前，加闹人员应制定详细的加闹测试方案及加闹实施方案（包括回退方案），并在测试环境中进行加凼测试，确认无重大不影响后冰4实施正式加固。c）在完成安全加固P，加固人员应根据加固过程中弱点的处理情况编制加固报告。安全管 理员极对加冏后的信息资产进行弱点评估复杏，评估复杏结果作为加同的措施验证。d）所侖加固文档应交付信息安全经理及IT相关经理备案。5.3.2 紧急安全加阀a）当安全管理部发现高危漏洞时，提Hi紧急加固建议，通知相关IT人员进行测试后进行紧 急变更实施加固并事P给出评佔报告。5.4监督和检查5.4.1安全审计员负责对信息安全弱点管理的执行情况进行检查，可通过安全漏洞拍描和现场人工抽查进行市计和检查，检查的内容包括弱点评估和安全加固的执行情况及相关文捫记 录。6. 参考文件无7. 更改历史记录IT-007-V01新版本发布8. 附则本制度由信息技术部每年S审一次，根据S审结果进行修订并颁布执行。本制度的解释权归信息技术 部。木规定自签发之日起生效，凡冇与该规定冲突的，以此规定为准。9. 附件无

《9信息安全漏洞管理流程》由会员gg****m分享，可在线阅读，更多相关《9信息安全漏洞管理流程》请在金锄头文库上搜索。