文档介绍:.
精选文档.
文件名称
版本号
文件编号
机密等级
发布日期
生效日期
拟制
日期
审核
日期
批准
日期
XXXX
安全漏洞管理制度
.
精选文档.
创建/变更人
变化状态
变更摘要(章节/
内容)
版本
创建/变更时间
批准人
文件修订履历
变化状态:新建,增加,修改,删除
.
精选文档.
.
精选文档.
.
精选文档.
目录
1引言 5
目的 5
对象 5
范围 5
2漏洞获知 5
3级别定义和处理时间要求 5
级别定义 5
高风险漏洞定义 5
中风险漏洞定义 5
漏洞处理原则 6
4职责分工 6
信息安全部 6
IT中心 6
各产品开发部门 6
5漏洞处理流程 7
6罚则 8
.
精选文档.
.
精选文档.
1引言
目的
本制度规范了XXXX(以下简称:XXXX)信息系统安全漏洞的发现、评估及处理过程。保障尽早发现安全漏洞,及时消除安全隐患。加快安全处理响应时间,加强信息资产安全。
本制度阅读对象为单位所有的运维人员、产品开发人员、测试和质量保障人员等。各产品开发、运营、系统运维、质量测试等部门负责人应通读并认真执行本制度中与其职责相关的要求。
本制度中的信息系统描述适用于XXXX信息系统:
应用系统:所有业务相关应用系统,包括自主开发和外购产品。
操作系统:Windows、Linux 和 UNIX 等。
数据库:Oracle、MySQL、Sql Server 等。
中间件:Tomcat,Apache,Nginx 等。
网络设备:交换机、路由器等。
安全设备:安全管理、审计、防护设备等。
2漏洞获知
漏洞获知通常有如下方式:
来自软、硬件厂商和国际、国内知名安全组织的安全通告。
单位信息安全部门工作人员的渗透测试结果及安全评审意见。
使用安全漏洞评估工具扫描。
来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知。
3级别定义和处理时间要求
对于没有CVE评级的安全漏洞统一参考附录一标准进行漏洞评级。
高风险漏洞定义
:依据CVE标准。
:依据CVE标准。
:依据CVE标准。
(包括应用组件包):依据CVE标准。
:详见附录一。
1操作系统层面:依据CVE标准。
.
精选文档.