文档介绍:四川长虹电器股份有限公司
虹微公司管理文件
信息系统安全破绽评估及管理制度
办理..............................................................................
错误!未定义书签。
4
检查计划..............................................................................
错误!未定义书签。
5
解释.......................................................................................
错误!未定义书签。
6
附录.......................................................................................
错误!未定义书签。
大要
、规范公司内部信息系统安全破绽(包括操作系统、网络设备和应用系统)的评估及管理,降低信息系统安全风险;
、明确信息系统安全破绽评估和整改各方职责。
本制度适用于虹微公司管理的所有信息系统,非虹微公司管理的信息系统可参照执行。
正文
保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗狡辩性、
可靠性等性质。
信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺
陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体利用,就会对
信息系统的安全造成损害,影响信息系统的正常运行。
安全策略中,需要保护的对象,包括信息、数据和资源等等。
财产的纤弱性利用给定的威胁,对信息系统造成损害的潜在可能。风险的危害可经过事
件发生的概率和造成的影响进行胸襟。
(Informationsystem)
由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的
以办理信息流为目的的人机一体化系统,本制度信息系统主要包括操作系统、网络设备以及
应用系统等。
:
负责信息系统安全破绽的评估和管理,破绽修复的考据工作,并为发现的破绽提供解决
建议。
研发部门负责修复应用系统存在的安全破绽,并根据本制度的要求提供给用系统的测试
环境信息和源代码给安全服务部进行安全评估。
数据服务部负责修复生产环境和测试环境操作系统、网络设备存在的安全破绽,并根据
本制度的要求提供最新最全的操作系统和网络设备的IP地址信息。
依据信息安全破绽从产生到消亡的整个过程,信息安全破绽的生命周期可分为以下几个
阶段:
破绽的发现:经过人工或自动的方法解析、挖掘出破绽的过程,且该破绽可被考据和
重现。
破绽的利用:利用破绽对信息系统的保密性、完整性和可用性造成破坏的过程。
破绽的修复:经过补丁、升级版本或配置策略等方法对破绽进行修理的过程,使该破绽不能被利用。
破绽的公开:经过公开渠道(如网站、邮件列表等)宣布破绽信息的过程。
原则