信息系统漏洞与风险管理制度

1、总则

1.1、目的

为了进一步规范XXXXX单位信息系统风险管理活动，提升风险管理工作的可操纵性和适用性，使信息网络正常运行，防止网络攻击，保证业务的正常进行，依据XXXXX单位员的相关规范和标准规定，特制定本管理制度。

1.2、范围

本办法适用于XXXXX单位信息系统。

1.3、职责

XXXXX单位员工作的所有职工人员都要遵守本管理制度。

1.4、术语、定义及缩写语

本制度所称的安全漏洞扫描是针对业务系统、业务系统服务器、网络设备进行安全漏洞扫描，及时发现信息系统中存在的各种安全隐患和应用系统的漏洞。

安全漏洞一般可分为操作系统漏洞、应用软件漏洞、数据库漏洞、网络漏洞、管理漏洞五类。

2、管理细则

2.1、安全漏洞管理

2.2.1、组织机构与人员

1. 超级管理员工作要求：

超级管理员由XXXXX单位指定专人承担，负责定期策划并组织实施安全漏洞扫描工作。每2个月策划并组织实施安全漏洞扫描工作；对安全漏洞扫描工作进行授权和成果审核；负责安全漏洞扫描实施前业务系统和服务器的备份及恢复工作。

1. 安全扫描人员工作要求：

安全扫描人员由安全服务单位人员承担，负责针对各业务系统及业务系统服务器、网络设备进行安全漏洞扫描，形成安全漏洞扫描报告并提出安全整改建议。各业务系统及业务系统服务器、网络设备进行安全漏洞扫描；输出安全漏洞扫描报告，并提供安全修复建议。

2.2.2、安全漏洞获知

漏洞获知通常有如下方式：

1. 来自软、硬件厂商和国际、国内知名安全组织的安全通告。
2. 单位信息安全部门工作人员的渗透测试结果及安全评审意见。
3. 使用安全漏洞评估工具扫描。
4. 来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知。

2.2.3、安全漏洞检测

1. 网络安全与信息化管理部门部署有漏洞扫描系统，能在各层面对XXXXX单位网络进行安全扫描漏洞检测，漏洞扫描系统每星期至少进行一次安全扫描并输出报表，每月进行一次总结。
2. 网络安全与信息化管理部门对XXXXX单位网络监控和上网行为管理每星期至少进行一次统计分析，每月进行一次总结。
3. XXXXX单位各岗位人员，有责任和义务在平常工作中积极发现信息网络中的安全漏洞并提出可行性建议。
4. 定期对单位生产系统使用的应用软件及第三方组件进行漏洞监控和查找，并在当天将高、中风险转交给网络安全与信息化管理部门处理。

2.2.4、安全漏洞处理原则

1. 所有高、中风险必须在规定时间内完成修复。
2. 对于有关安全漏洞的修复方案经评估后会影响系统稳定或短期不能找到解决方案的漏洞，由信息安全小组同有关部门出具体解决方案。
3. 不定期对本制度执行情况进行检查， 确保所有漏洞都按照流程进行了有效处理。
4. 针对发生的安全事件，及时总结经验和教训， 避免再度发生类似事件。
5. 协助各部门提供安全漏洞测试和修复方法， 并定期组织安全培训。
6. XXXXX单位网络上的所有用户（安全检测用户除外），禁止扫描端口，禁止猜测和扫描其他用户的密码，禁止猜测和扫描网络中心的服务器和交换设备的的口令。
7. 在生产系统中：可获取系统权限（操作系统、数据库、中间件、网络设备、业务系统等）的漏洞；可直接导致客户信息、交易信息、单位机密信息外泄的漏洞；可直接篡改系统数据的漏洞，必须在48小时之内完成修复。
8. 如果确实存在客观原因， 无法按照规定时间完成修复工作的， 应在修复截止日期前与信息安全小组申请延期， 并共同商定延后的修复时间和排期。

2.2、系统与补丁管理

1. 防病毒系统设置每天自动升级病毒库。
2. 漏洞扫描系统、深信服网络行为管理系统等按厂家新版本、新补丁开发完成进行升级。
3. 如在漏洞分析报告中，发现有操作系统漏洞和数据库漏洞，应在测试环境中验证漏洞补丁的可行性和稳定性后，才能在部分正式服务器中修补，且在业务运行至少三个周期没有发现问题时才能进行全面补丁升级。
4. 如果在补丁升级后发现业务运行异常，应该立即定位是否补丁稳定性问题，确认后，应该删除补丁，保证业务正常运行。
5. 在保证业务正常运行后，应寻找其他方法修补漏洞，如经专家验证分析补丁的稳定性有问题时，应该寻找其他可补偿性措施。
6. 所有用户有责任对所发现或发生的违反有关法律、法规和规章制度的人或事予以制止或向网络安全与信息化管理部门反映、举报，协助有关部门或管理人员对上述人或事进行调查、取证、处理，应该向调查人员如实提供所需证据。
7. 网络安全与信息化管理部门要根据实际情况和需要采用新技术，调整网络结构、系统功能、变更系统参数和使用方法，及时排除系统隐患，保证业务运行稳定安全。

3、附则

本管理制度由XXXXX单位负责解释，自发布之日起实施。