文档介绍:文献名称
版本号
文献编号
机密级别
发布日期
生效日期
拟制
日期
审核
日期
批准
日期
XXXX
安全漏洞管理制度
创立/变更人
变化状态
变更摘要(章节/
内容)
版本
创立/变更时间
批准人
文献修订履历
变化状态:新建,增长,修改,删除
目录
1引言 5
5
5
5
2漏洞获知 5
3级别定义和处理时间要求 5
5
5
5
6
4职责分工 6
6
IT中心 6
6
5漏洞处理流程 7
6罚则 8
1引言
本制度规范了XXXX(如下简称:XXXX)信息系统安全漏洞发现、评估及解决过程。保障尽早发现安全漏洞,及时消除安全隐患。加快安全解决响应时间,加强信息资产安全。
本制度阅读对象为单位所有运维人员、产品开发人员、测试和质量保障人员等。各产品开发、运营、系统运维、质量测试等部门负责人应通读并认真执行本制度中与其职责有关规定。
本制度中信息系统描述合用于XXXX信息系统:
应用系统:所有业务有关应用系统,涉及自主开发和外购产品。
操作系统:Windows、Linux 和 UNIX 等。
数据库:Oracle、MySQL、Sql Server 等。
中间件:Tomcat,Apache,Nginx 等。
网络设备:互换机、路由器等。
安全设备:安全管理、审计、防护设备等。
2漏洞获知
漏洞获知普通有如下方式:
来自软、硬件厂商和国际、国内知名安全组织安全告示。
单位信息安所有门工作人员渗入测试成果及安全评审意见。
使用安全漏洞评估工具扫描。
来自单位合伙安全厂商或和谐外部安全组织给出漏洞告知。
3级别定义和解决时间规定
对于没有CVE评级安全漏洞统一参照附录一原则进行漏洞评级。
:根据CVE原则。
:根据CVE原则。
:根据CVE原则。
(涉及应用组件包):根据CVE原则。
:详见附录一。
1操作系统层面:根据CVE原则。
2网络层面:根据CVE原则。