安全信息等级保护-信息系统补丁安全管理制度
6页1、信息系统补丁安全管理制度第一章 总则第一条 为加强*服务系统安全补丁的跟踪、分析、测试、分发和检查流程,落实主机、网络设备、数据库系统补丁安全管理工作,降低信息系统安全漏洞带来的安全风险,提高信息系统的抗攻击能力,特制定本细则。第二条 本实施细则适用于*公司信息系统主机、网络设备、数据库系统、应用软件的补丁安全管理。第二章 职责与权限第三条 企业信息化部工作职责:(一) 负责跟踪下列信息,并直接获取可信任安全补丁程序或将安全补丁获取地址发布至信息安全工作小组:1. 安全组织如CNCERT发布相关预警信息;2. 厂商、服务商发布的相关安全公告;3. 其他安全公告类信息。(二) 负责对补丁加载情况定期审查、验证并归档。第四条 系统建设和运维部工作职责:(一) 通过信息安全工作小组获取主机、应用、数据库等的补丁的安装程序或发布地址,下载补丁安装程序。(二) 负责补丁测试、加载、验证并填写相关报告、表单。(三) 对补丁的影响进行评估,对风险进行控制。第三章 补丁安全管理原则第五条 及时性原则:对于必要的安全补丁的发布和安装流程,必须及时准确,把安全漏洞所造成的对信息系统的潜在威胁降到最低;第六
2、条 严密性原则:补丁的测试和分发流程都需要严密的计划,在保障安全行的同时不影响生产和应用系统的正常运行; 第七条 持续性原则:补丁管理工作是一个长期持续性的工作,企业信息化部应时刻跟踪厂商的补丁公告和安全公司的安全公告。第八条 适应性原则:分场景执行安全补丁管理要求。第四章 补丁安全管理细则第九条 需区分信息资产、IT系统环境、IT网络环境的重要等级,以便有针对性地跟踪所需要的系统补丁和需要采取的措施。第十条 应每月定期跟踪补丁的最新信息。信息的来源分为以下几类:(一) 软件厂商:软件厂商是补丁的主要来源,每一次安全补丁的发布,产商都会发布通告;(二) 安全机构:官方安全机构会对一些影响特别大的安全事件进行通告;(三) 安全组织和安全公司:这是研究安全的主要力量,公告的特点是发布快速、内容详细、方案全面,并且可知是否已经或者可以被利用。第十一条 安全漏洞的威胁等级分类为:威胁等级定义紧急利用漏洞可以远程获取管理员权限严重攻击程序和病毒结合,形成蠕虫中等获取普通用户访问权限/提升权限/远程拒绝服务低等信息泄漏、本地拒绝服务第十二条 应分析安全漏洞的威胁等级,针对于不同的安全漏洞,对应的修
《安全信息等级保护-信息系统补丁安全管理制度》由会员小**分享,可在线阅读,更多相关《安全信息等级保护-信息系统补丁安全管理制度》请在金锄头文库上搜索。
安全信息等级保护-信息系统产品采购管理制度
安全信息等级保护-信息系统运维安全管理制度
安全信息等级保护-信息系统运行维护和监控管理制度
安全信息等级保护-机房管理制度
安全信息等级保护-用户个人信息安全保护制度
安全信息等级保护-信息系统信息审核登记制度
安全信息等级保护-信息系统介质安全管理制度
安全信息等级保护-信息分类分级标识管理制度
安全信息等级保护-制度体系制定和发布管理规定
安全信息等级保护-自行软件开发管理制度
安全信息等级保护-信息系统测试验收管理制度
安全信息等级保护-信息系统资产管理制度
安全信息等级保护-信息系统安全检查与审计管理制度
安全信息等级保护-外联单位信息记录表
安全信息等级保护-信息系统第三方人员访问管理制度
安全信息等级保护-总体安全方针和政策管理制度
安全信息等级保护-人员保密协议
安全信息等级保护-离岗离职涉密人员保密承诺书
安全信息等级保护-信息系统管理授权审批制度
安全信息等级保护-信息系统补丁安全管理制度
2024-03-26 33页
2023-07-05 6页
2023-01-18 51页
2022-10-13 8页
2022-08-03 9页
2022-08-03 35页
2022-08-03 9页
2022-08-03 10页
2022-08-03 9页
2022-08-01 60页