文档介绍:莈蒆***肂袀肃四川长虹虹微公司发布肇薅蝿××××–××–××实施蒃薂袈××××–××–××发布膀蚅蚃信息系统安全漏洞评估及管理制度袄羀肄衿蚅肂四川长虹电器股份有限公司芅螂莇虹微公司管理文件蚈螅莃蚆腿袂目录蚁袅芀1 概况 2膃薃羃2 正文 原则 风险等级 评估范围 整改时效性 实施 6螆膃艿3 例外处理 7蒃薀莅4 检查计划 8***羅袃5 解释 8膂蚀膂6 附录 8薈莃羂羁蚀荿蚅肄羅螀螀薄肅薂蒂螂袀肀蒆芄羆薁羀蚂概况袇蚂袁目的芀肀袀1、规范集团内部信息系统安全漏洞(包括操作系统、网络设备和应用系统)的评估及管理,降低信息系统安全风险;肄蒄肇2、明确信息系统安全漏洞评估和整改各方职责。聿腿肅适用范围蒅袂芀本制度适用于虹微公司管理的所有信息系统,非虹微公司管理的信息系统可参照执行。肂艿薀正文袆薄袅术语定义袁艿膃信息安全Informationsecurity芇肂蚀保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。蚀荿莁信息安全漏洞Informationsecurityvulnerability蚈螃袆信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体利用,就会对信息系统的安全造成损害,影响信息系统的正常运行。蚃葿薆资产Asset螄蒅莃安全策略中,需要保护的对象,包括信息、数据和资源等等。蒁蕿螇风险Risk膅羃羇资产的脆弱性利用给定的威胁,对信息系统造成损害的潜在可能。风险的危害可通过事件发生的概率和造成的影响进行度量。芀虿蚄信息系统(Informationsystem)薆蚅袃由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统,本制度信息系统主要包括操作系统、网络设备以及应用系统等。罿蝿薈职责分工羇肃螅安全服务部:肂螈螂负责信息系统安全漏洞的评估和管理,漏洞修复的验证工作,并为发现的漏洞提供解决建议。膄袅节各研发部门螁袈芈研发部门负责修复应用系统存在的安全漏洞,并根据本制度的要求提供应用系统的测试环境信息和源代码给安全服务部进行安全评估。薅芃螆数据服务部薀羈膅数据服务部负责修复生产环境和测试环境操作系统、网络设备存在的安全漏洞,并根据本制度的要求提供最新最全的操作系统和网络设备的IP地址信息。羆羅蚁安全漏洞生命周期薃肈肈依据信息安全漏洞从产生到消亡的整个过程,信息安全漏洞的生命周期可分为以下几个阶段:莇蒂袈漏洞的发现:通过人工或自动的方法分析、挖掘出漏洞的过程,且该漏洞可被验证和重现。莂膈芃漏洞的利用:利用漏洞对信息系统的保密性、完整性和可用性造成破坏的过程。螇