系统运维管理信息安全漏洞管理规定Word下载.docx
- 文档编号:7768456
- 上传时间:2023-05-09
- 格式:DOCX
- 页数:6
- 大小:16.91KB
系统运维管理信息安全漏洞管理规定Word下载.docx
《系统运维管理信息安全漏洞管理规定Word下载.docx》由会员分享,可在线阅读,更多相关《系统运维管理信息安全漏洞管理规定Word下载.docx(6页珍藏版)》请在冰点文库上搜索。
2.范围
3.定义
3.1ISMS
3.2安全弱点
4.职责和权限
4.1安全管理员的职责和权限
4.2系统管理员的职责和权限
4.3信息安全经理、IT相关经理的职责和权限
4.4安全审计员的职责和权限
5.内容
5.1弱点管理要求
5.2安全弱点评估
5.3系统安全加固
5.4监督和检查
6.参考文件
7.更改历史记录
8.附则
9.附件
信息安全漏洞管理规定
1.目的
建立信息安全漏洞管理流程的U的是为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略为规范公司信息资产的漏洞管理(主要包含IT设备的弱点评估及安全加固),将公司信息资产的风险置于可控环境之下。
2.范围
本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、应用系统以及安全设备。
3.定义
3.1ISMS
基于业务风险方法,建立、实施、运行、监控、评审、保持和改进信息安全的体系,是公司整个管理体系的一部分。
3.2安全弱点
安全弱点是山于系统硬件、软件在设计实现时或者是在安全策略的制定配置上的错误而引起的缺陷,是违背安全策略的软件或硬件特征。
有恶意企图的用户能够利用安全弱点非法访问系统或者破坏系统的正常使用。
3.3弱点评估
弱点评估是通过风险调查,获取与系统硬件、软件在设计实现时或者是在安全策略的制定配置的威胁和弱点相关的信息,并对收集到的信息进行相应分析,在此基础上,识别、分析、评佔风险,综合评判给出安全弱点被利用造成不良事件发生的可能性及损失/影响程度的观点,最终形成弱点评佔报告。
4.职责和权限
阐述本制度/流程涉及的部门(角色)职责与权限。
4.1安全管理员的职责和权限
1、制定安全弱点评佔方案,报信息安全经理和IT相关经理进行审批;
2、进行信息系统的安全弱点评佔;
3、生成弱点分析报告并提交给信息安全经理和IT相关经理备案;
4、根据安全弱点分析报告提供安全加固建议。
4.2系统管理员的职责和权限
1、依据安全弱点分析报告及加固建议制定详细的安全加固方案(包括回退方案),报信息安全经理和IT相关经理进行审批;
2、实施信息系统安全加固测试;
3、实施信息系统的安全加固;
4、在完成安全加固后编制加固报告并提交给信息安全经理和IT相关经理备案;
5、向信息安全审核员报告业务系统的安全加固情况。
4.3信息安全经理、IT相关经理的职责和权限
1、信息安全经理和IT相关经理负责审核安全弱点评估方案、弱点分析报告、安全加固方案以及加固报告。
4.4安全审计员的职责和权限
1、安全审计员负责安全加固后的检查和验证,以及定期的审核和汇报。
5.内容
5.1弱点管理要求
通过定期的信息资产(主要是IT设备和系统)弱点评佔可以及时知道公司安全威胁状况,这对及时掌握公司主要IT设备和系统弱点的状况是极为有重要的;
通过评估后的安全加固,可以及时弥补发现的安全弱点,降低公司的信息安全风险。
R公司各类信息资产应定期进行弱点评佔及相应加固工作。
b)弱点评佔和加固的信息资产可以分为如下儿类:
i.网络设备:
路山器、交换机、及其他网络设备的操作系统及配置安全性。
ii.服务器:
操作系统的安全补丁、账号号口令、安全配置、网络服务、权限设置等。
iii.应用系统:
数据库及通用应用软件(如:
WEB、Mail、DNS等)的安全补丁及安全配置,需应用部门在测试环境测试通过后方可在正式环境中进行安全补丁加载。
iv.安全设备:
VPN网关、防火墙、各类安全管理系统等设备或软件的操作系统及配置
安全性。
R在对信息资产进行弱点评估前应制定详细的弱点评估方案,充分考虑评估中出现的风险,同时制定对应的详细回退方案。
b)在对信息资产进行安全加固前应制定详细的安全加固方案,明确实施对象和实施步骤,如涉及到其他系统,应分析可能存在的风险以及应对措施,并与关联部门和
厂商沟通。
c)对于重要信息资产的弱点评估及安全加固,在操作前要进行测试。
需经本部门经理的确认,同时上报信息安全经理和IT相关经理进行审批。
d)对信息资产进行弱点评估和加固的时间应选择在业务闲时段,并保留充裕的回退时间。
e)对信息资产进行安全加固后,应进行总结并生成报告,进行弱点及加固措施的跟踪。
f)对信息资产进行安全加固完成后,应进行业务测试以确保系统的正常运行。
加固实施期间业务系统支持人员应保证手机开机,确保出现问题时能及时处理。
g)安全加固完成后次日,系统管理员及业务系统支持人员应对加固后的系统进行监控,确保系统的正常运行。
h)弱点评估由IT相关经理和安全管理员协助进行,安全加固山系统管理员执行。
如山供应商或服务提供商协助实施安全加固,则应山系统管理员确保评估和加固的有效性并提交信息IT信息安全经理和IT相关经理进行评定。
5.2安全弱点评估
复查,验证加固后的效果。
5.3系统安全加固
R公司每次完成安全弱点评估后,各系统管理员应根据弱点评估结果确定需要加
固的资产,针对发现的安全弱点制定加固方案。
b)安全加固前,加固人员应制定详细的加固测试方案及加固实施方案(包括回退方案)
并在测试环境中进行加固测试,确认无重大不良影响后才可实施正式加固。
C)在完成安全加固后,加固人员应根据加固过程中弱点的处理情况编制加固报告。
安全管理员应对加固后的信息资产进行弱点评估复查,评估复查结果作为加固的措施验证。
d)所有加固文档应交付信息安全经理及IT相关经理备案。
R当安全管理部发现高危漏洞时,提出紧急加固建议,通知相关IT人员进行测试后进行紧急变更实施加固并事后给出评估报告。
5.4监督和检查
执行情况进行检查,可通过安全漏洞扫描和现场人丄抽查进行审讣和检查,检查的内容包括弱点评估和安全加固的执行情况及相关文档记录。
6.参考文件
无
7.更改历史记录
IT-007-V01新版本发布
8.附则
本制度山信息技术部每年复审一次,根据复审结果进行修订并颁布执行。
本制度的解释权归信息技术部。
本规定自签发之日起生效,凡有与该规定冲突的,以此规定为准。
9.附件
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 系统 管理 信息 安全漏洞 规定