1、 信息安全漏洞管理規定版本歷史編制人：審批人： TOC o 1-5 h z 目 錄 2 HYPERLINK l bookmark0 o Current Document 信息安全漏洞管理規定 3 HYPERLINK l bookmark4 o Current Document 目的 3 HYPERLINK l bookmark6 o Current Document 范圍 3 HYPERLINK l bookmark8 o Current Document 定義 3ISMS 3安全弱點 3 HYPERLINK l bookmark10 o Current Document 職責和權限 4安全管

2、理員的職責和權限 4系統管理員的職責和權限 4信息安全經理、 IT 相關經理的職責和權限 4安全審計員的職責和權限 5 HYPERLINK l bookmark12 o Current Document 內容 5弱點管理要求 5安全弱點評估 6系統安全加固 7監督和檢查 7 HYPERLINK l bookmark14 o Current Document 參考文件 7 HYPERLINK l bookmark16 o Current Document 更改歷史記錄 7 HYPERLINK l bookmark18 o Current Document 附則 8 HYPERLINK l boo

3、kmark20 o Current Document 附件 8信息安全漏洞管理規定目的建立信息安全漏洞管理流程的目的是為了加強公司信息安全保障能力， 建立健全公司的安全管理體系， 提高整體的網絡與信息安全水平， 保證業務系統的正常運營， 提高網絡服務質量， 在公司安全體系框架下， 本策略為規范公司信息資產的漏洞管理 （主要包含 IT 設備的弱點評估及安全加固） ， 將公司信息資產的風 險置于可控環境之下。范圍本策略適用于公司所有在生產環境和辦公環境中使用的網絡系統、服務器、應用系統以及安全設備。定義ISMS基于業務風險方法，建立、實施、運行、監控、評審、保持和改進信息安全的體系，是公司整個管理

4、體系的一部分。安全弱點安全弱點是由于系統硬件、 軟件在設計實現時或者是在安全策略的制定配置上的錯誤而引起的缺陷， 是違背安全策略的軟件或硬件特征。 有惡意企圖的用戶能夠利用安全弱點非法訪問系統或者破壞系統的正常使用。 3.3 弱點評估弱點評估是通過風險調查， 獲取與系統硬件、 軟件在設計實現時或者是在安全策略的制定配置的威脅和弱點相關的信息，并對收集到的信息進行相應分析，在此基礎上，識別、分析、評估風險，綜合評判給出安全弱點被利用造成不良事件發生的可能性及損失/ 影響程度的觀點，最終形成弱點評估報告。職責和權限闡述本制度/ 流程涉及的部門（角色）職責與權限。安全管理員的職責和權限1、制定安全弱

5、點評估方案，報信息安全經理和IT 相關經理進行審批；2、進行信息系統的安全弱點評估；3、生成弱點分析報告并提交給信息安全經理和IT 相關經理備案；4、根據安全弱點分析報告提供安全加固建議。4.2 系統管理員的職責和權限1、依據安全弱點分析報告及加固建議制定詳細的安全加固方案（包括回退方案） ，報信息安全經理和 IT 相關經理進行審批；2、實施信息系統安全加固測試；3、實施信息系統的安全加固；在完成安全加固后編制加固報告并提交給信息安全經理和IT 相關經理備案；5、向信息安全審核員報告業務系統的安全加固情況。信息安全經理、 IT 相關經理的職責和權限信息安全經理和 IT 相關經理負責審核安全弱點

6、評估方案、 弱點分析報告、安全加固方案以及加固報告。安全審計員的職責和權限1、安全審計員負責安全加固后的檢查和驗證，以及定期的審核和匯報。內容弱點管理要求通過定期的信息資產(主要是IT 設備和系統)弱點評估可以及時知道公司安全威脅狀況，這對及時掌握公司主要 IT 設備和系統弱點的狀況是極為有重要的； 通過評估后的安全加固， 可以及時彌補發現的安全弱點， 降低公司的信息安全風險。評估及加固對象公司各類信息資產應定期進行弱點評估及相應加固工作。弱點評估和加固的信息資產可以分為如下幾類：網絡設備：路由器、交換機、及其他網絡設備的操作系統及配置安全性。服務器： 操作系統的安全補丁、 賬號號口令、 安全

7、配置、 網絡服務、權限設置等。應用系統：數據庫及通用應用軟件(如： WEB Mail DNS)的安全補丁及安全配置， 需應用部門在測試環境測試通過后方可在正式環境中進行安全補丁加載。安全設備：VPNR關、防火墻、各類安全管理系統等設備或軟件的操作系統及配置安全性。評估及加固過程中的安全要求在對信息資產進行弱點評估前應制定詳細的弱點評估方案，充分考慮評估中出現的風 險，同時制定對應的詳細回退方案。在對信息資產進行安全加固前應制定詳細的安全加固方案，明確實施對象和實施步驟， 如涉及到其他系統，應分析可能存在的風險以及應對。措施，并與關聯部門和廠商溝通。對于重要信息資產的弱點評估及安全加固，在操作前

8、要進行測試。需經本部門經理的確 認，同時上報信息安全經理和 IT 相關經理進行審批。對信息資產進行弱點評估和加固的時間應選擇在業務閑時段，并保留充裕的回退時間。對信息資產進行安全加固后，應進行總結并生成報告，進行弱點及加固措施的跟蹤。對信息資產進行安全加固完成后， 應進行業務測試以確保系統的正常運行。加固實施期間業務系統支持人員應保證手機開機，確保出現問題時能及時處理。安全加固完成后次日，系統管理員及業務系統支持人員應對加固后的系統進行監控，確保系統的正常運行。弱點評估由 IT 相關經理和安全管理員協助進行， 安全加固由系統管理員執行。如由供應商或服務提供商協助實施安全加固，則應由系統管理員確

9、保評估和加固的有效性并提交信息 IT 信息安全經理和 IT 相關經理進行評定。安全弱點評估公司每季度進行一次弱點評估工作， 信息資產的弱點評估由安全管理員負責。在進行信息資產弱點評估時應采用公司認可的掃描工具及檢查列表，弱點評估計劃需由 IT 信息安全經理和 IT 相關經理進行確認和審批。信息安全經理和IT 相關經理弱點評估完成后，相關IT 人員參考弱點評估報告編寫安全 加固方案，并進行系統安全加固工作。安全管理員在各系統完成安全加固后，組織弱點評估復查，驗證加固后的效果。所有安全弱點評估文檔應交付信息安全經理和 IT 相關經理備案。系統安全加固安全加固公司每次完成安全弱點評估后，各系統管理員

10、應根據弱點評估結果確定需要加固的資產，針對發現的安全弱點制定加固方案。安全加固前，加固人員應制定詳細的加固測試方案及加固實施方案(包括回退方案)并在測試環境中進行加固測試， 確認無重大不良影響后才可實施正式加固。在完成安全加固后，加固人員應根據加固過程中弱點的處理情況編制加固報告。安全管理員應對加固后的信息資產進行弱點評估復查，評估復查結果作為加固的措施驗證。所有加固文檔應交付信息安全經理及IT 相關經理備案。緊急安全加固a) 當安全管理部發現高危漏洞時，提出緊急加固建議，通知相關IT 人員進行測試后進行緊 急變更實施加固并事后給出評估報告。監督和檢查安全審計員負責對信息安全弱點管理的執行情況進行檢查，可通過安全漏洞掃描和現場人工抽查進行審計和檢查，檢查的內容包括弱點評估和安全加固的執行情況及相關文檔記