XXX公司信息安全管理制度：V1.0文件編號：XX-XX-P23XXX公司信息安全管理制度內部公開內部公開文件版本：V1.0文件編號：XX-XX-PXX編寫：審核：審批：20XX年XX月XX日發布 20XX年XX月XX日生效XXX公司本文件本文件中包含的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬XXX公司所有。未經許可任何人不得將此文件中的任何部分以任何形式進行復制、儲存和傳播。XXX公司信息系統補丁安全管理規定第一章總則為加強XXX公司信息系統安全補丁的跟蹤、分析、測試、分發和檢查流程，落實主機、網絡設備、數據庫系統補丁安全管理工作，降低信息系統安全漏洞帶來的安全風險，提高信息系統的抗攻擊能力，特制定本細則。本實施細則適用于XXX公司信息系統主機、網絡設備、數據庫系統、應用軟件的補丁安全管理。第二章職責與權限安全管理員職責：負責跟蹤下列信息，并直接獲取可信任安全補丁程序或將安全補丁獲取地址發布至系統管理員，數據庫管理員，網絡管理員：安全組織如CNCERT發布相關預警信息廠商、服務商發布的相關安全公告本部門發布的安全預警等安全公告類信息。負責對補丁加載情況定期審查、驗證并歸檔。系統管理員職責：通過安全管理員獲取補丁的安裝程序或發布地址，下載補丁安裝程序。負責補丁測試、加載、驗證并填寫相關報告、表單。對補丁的影響進行評估，對風險進行控制。數據庫管理員職責：通過安全管理員獲取補丁的安裝程序或發布地址，下載補丁安裝程序。負責補丁測試、加載、驗證并填寫相關報告、表單。對補丁的影響進行評估，對風險進行控制。網絡管理員職責：通過安全管理員獲取補丁或IOS文件的安裝程序或發布地址，下載補丁安裝程序。負責補丁或者IOS文件的測試、加載、驗證并填寫相關報告、表單。對補丁的影響進行評估，對風險進行控制。第三章補丁安全管理原則及時性原則：對于必要的安全補丁的發布和安裝流程，必須及時準確，把安全漏洞所造成的對信息系統的潛在威脅降到最低；嚴密性原則：補丁的測試和分發流程都需要嚴密的計劃，在保障安全行的同時不影響生產和應用系統的正常運行；持續性原則：補丁管理工作是一個長期持續性的工作，安全管理人員應時刻跟蹤廠商的補丁公告和安全公司的安全公告。適應性原則：分場景執行安全補丁管理要求。第四章補丁安全管理細則補丁的追蹤與分析管理安全管理員需區分信息資產、IT系統環境、IT網絡環境的重要等級，以便有針對性地跟蹤所需要的系統補丁和需要采取的措施。安全管理員應每月定期跟蹤補丁的最新信息。信息的來源分為以下幾類：軟件廠商：軟件廠商是補丁的主要來源，每一次安全補丁的發布，產商都會發布通告；安全機構：官方安全機構會對一些影響特別大的安全事件進行通告；安全組織和安全公司：這是研究安全的主要力量，公告的特點是發布快速、內容詳細、方案全面，并且可知是否已經或者可以被利用。安全漏洞的威脅等級分類為：威脅等級定義緊急利用漏洞可以遠程獲取管理員權限嚴重攻擊程序和病毒結合，形成蠕蟲中等獲取普通用戶訪問權限/提升權限/遠程拒絕服務低等信息泄漏、本地拒絕服務安全管理員應分析安全漏洞的威脅等級，針對于不同的安全漏洞，對應的修補時間和修補方式要求如下：威脅等級允許修補的時間修補方式緊急2天用非補丁方式修補，如用防火墻或者限制功能等方式，同時增加監控嚴重5-10天補丁方式修補中等10－30天限制使用程序、補丁方式低等30－90天補丁方式針對Windows操作系統，各系統管理員應關注以下四類補丁程序，其安裝時間要求如下：序號補丁類別安裝時間1安全修補程序參照對應漏洞的嚴重等級2安全更新參照最嚴重漏洞的嚴重等級3更新匯總系統重新安裝后或者階段性安裝4ServicePack系統重新安裝后或者階段性安裝各系統管理員、網絡管理員、數據庫管理員應掌握各應用系統及網絡環境：確定各系統當前所使用的系統類型和版本，以前沒有打的補丁，原因以及補救辦法。補丁的測試各系統管理員、網絡管理員、數據庫管理員應確保從安全可靠的地方獲取補丁程序，推薦直接從廠商網站上下載，如果補丁支持校驗，必須進行安全校驗，以驗證補丁的可靠性，防止補丁被惡意用戶篡改。嚴禁未經測試直接在生產系統上加載補丁。補丁測試的過程要考慮測試的廣泛性和針對性，即在實際情況下盡量充分地測試。補丁測試的方式有兩種：測試環境測試和現網測試；測試環境測試必須進行，測試環境需要與現網環境盡可能一致，并考慮差異性帶來的風險；條件允許的情況下（如有測試環境或備機）可以現網測試。補丁測試的內容包括補丁安裝測試、補丁兼容性測試和補丁回退測試：安裝測試主要測試補丁安裝過程是否正確無誤，補丁安裝后系統是否正常啟動。補丁兼容性測試主要測試補丁安裝后是否對應用系統帶來影響，業務是否可以正常運行。補丁回退測試主要包括補丁卸載測試、系統還原測試。補丁測試的工作可由系統集成商負責實施，所屬管理員負責協調，必須對補丁的現場測試和現網測試限定時間，測試完成后需要編寫詳細的測試報告，給出明確的測試結論。為確保系統集成商及時配合補丁的測試和安裝工作，需要通過合同的方式，明確集成商的安全補丁測試和安裝責任，約束條款至少應包括：實驗室測試環境的搭建，在規定時間內完成補丁測試，補丁的安裝，補丁安裝失敗時的測試與分析，補丁與應用沖突時的系統改造和升級工作。補丁分發及安裝完成補丁測試后，所屬管理員如果未發現問題，則要根據漏洞威脅的緊急程度，與管理員制定補丁分發計劃，根據實際情況在所屬系統中分批安裝。分發補丁的優先次序為：辦公網環境的計算機優先安裝；生產網中資產價值大、威脅等級高的系統優先安裝；對于具有多臺服務器并行的負載均衡系統，并行的服務器組應分批多次分發和安裝系統補丁。安全管理員應根據最新的補丁通告信息，指導和組織各部門進行安全補丁的安裝工作。如無特殊原因，辦公網環境、各部門的計算機應優先安裝系統安全補丁安全管理員應督促本職責范圍內計算機安全補丁的安裝工作。各系統管理員、網絡管理員、數據庫管理員確定生產環境所屬系統的補丁分發順序后，應上報安全管理員審批，由其通知其它相關影響部門。在審批通過后，組織相關人員按計劃執行補丁安裝。對重要的業務系統安裝系統安全補丁，系統管理員應事先做好系統和數據的備份工作，以便在補丁安裝失敗后可以盡快恢復系統。補丁的安裝操作過程必須詳細記錄，核心業務系統的補丁加載必須要求廠商工程師現場支持。終端操作系統安全補丁要隨出隨打；服務器安全補丁要隨應用軟件升級一同安裝；定期打補丁的周期不得多于6個月。在沒打補丁期間，要采取臨時替代措施。補丁疑難解決和檢查對補丁安裝過程中出現且能解決的問題，盡快進行總結，以便為解決同類問題提供借鑒。對于一些不能解決的補丁安裝問題，需采用應急方案，使用備份系統或者卸載補丁，同時需確定一個臨時的解決辦法消除漏洞的潛在威脅，并盡快向補丁廠商尋求技術支持。完成系統補丁的安裝變更后，系統管理員需對安裝的系統