文档介绍:信息安全漏洞管理规定
主导部门: IT部
支持部门: N/A
审批: IT部
文档编号: IT-V01
生效日期:
版本
发布日期
发布原因
生效日期
Version
Issuance Date
Reasons of Issuance
Effective Date
新版本发布
会签批准人
签名
签署日期
Approval(s)
Signatures
Date Signed
起草人
Editor
IT经理
IT Manager
IT高级总监
Senior IT Director
信息安全漏洞管理规定
目的
建立信息安全漏洞管理流程的目的是为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略为规范公司信息资产的漏洞管理(主要包含IT设备的弱点评估及安全加固),将公司信息资产的风险置于可控环境之下。
范围
本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、应用系统以及安全设备。
定义
ISMS
基于业务风险方法,建立、实施、运行、监控、评审、保持和改进信息安全的体系,是公司整个管理体系的一部分。
安全弱点
安全弱点是由于系统硬件、软件在设计实现时或者是在安全策略的制定配置上的错误而引起的缺陷,是违背安全策略的软件或硬件特征。有恶意企图的用户能够利用安全弱点非法访问系统或者破坏系统的正常使用。
弱点评估
弱点评估是通过风险调查,获取与系统硬件、软件在设计实现时或者是在安全策略的制定配置的威胁和弱点相关的信息,并对收集到的信息进行相应分析,在此基础上,识别、分析、评估风险,综合评判给出安全弱点被利用造成不良事件发生的可能性及损失/影响程度的观点,最终形成弱点评估报告。
职责和权限
阐述本制度/流程涉及的部门(角色)职责与权限。
安全管理员的职责和权限
1、制定安全弱点评估方案,报信息安全经理和IT相关经理进行审批;
2、进行信息系统的安全弱点评估;
3、生成弱点分析报告并提交给信息安全经理和IT相关经理备案;
4、根据安全弱点分析报告提供安全加固建议。
系统管理员的职责和权限
1、依据安全弱点分析报告及加固建议制定详细的安全加固方案(包括回退方案),报信息安全经理和IT相关经理进行审批;
2、实施信息系统安全加固测试;
3、实施信息系统的安全加固;
4、在完成安全加固后编制加固报告并提交给信息安全经理和IT相关经理备案;
5、向信息安全审核员报告业务系统的安全加固情况。
信息安全经理、IT相关经理的职责和权限
1、信息安全经理和IT相关经理负责审核安全弱点评估方案、弱点分析报告、安全加固方案以及加固报告。
安全审计员的职责和权限
1、安全审计员负责安全加固后的检查和验证,以及定期的审核和汇报。
内容
弱点管理要求
通过定期的信息资产(主要是IT设备和系统)弱点评估可以及时知道公司安全威胁状况,这对及时掌握公司主要IT设备和系统弱点的状况是极为有重要的;通过评估后的安全加固,可以及时弥补发现的安全弱点,降低公司的信息安全风险。
评估