9、信息安全漏洞管理流程

9、信息安全漏洞管理流程

ID:38432525

大小:102.50 KB

页数:6页

时间:2019-06-12

9、信息安全漏洞管理流程_第1页
9、信息安全漏洞管理流程_第2页
9、信息安全漏洞管理流程_第3页
9、信息安全漏洞管理流程_第4页
9、信息安全漏洞管理流程_第5页
资源描述:

《9、信息安全漏洞管理流程》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全漏洞管理规定主导部门:IT部支持部门:N/A审批:IT部文档编号:IT-V01生效日期:版本发布日期发布原因生效日期VersionIssuanceDateReasonsofIssuanceEffectiveDate1.0新版本发布会签批准人签名签署日期Approval(s)SignaturesDateSigned起草人EditorIT经理ITManagerIT高级总监SeniorITDirector信息安全漏洞管理规定1.目的建立信息安全漏洞管理流程的目的是为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体

2、的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略为规范公司信息资产的漏洞管理(主要包含IT设备的弱点评估及安全加固),将公司信息资产的风险置于可控环境之下。2.范围本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、应用系统以及安全设备。3.定义3.1ISMS基于业务风险方法,建立、实施、运行、监控、评审、保持和改进信息安全的体系,是公司整个管理体系的一部分。3.2安全弱点安全弱点是由于系统硬件、软件在设计实现时或者是在安全策略的制定配置上的错误而引起的缺陷,是违背安全策略

3、的软件或硬件特征。有恶意企图的用户能够利用安全弱点非法访问系统或者破坏系统的正常使用。3.3弱点评估弱点评估是通过风险调查,获取与系统硬件、软件在设计实现时或者是在安全策略的制定配置的威胁和弱点相关的信息,并对收集到的信息进行相应分析,在此基础上,识别、分析、评估风险,综合评判给出安全弱点被利用造成不良事件发生的可能性及损失/影响程度的观点,最终形成弱点评估报告。4.职责和权限阐述本制度/流程涉及的部门(角色)职责与权限。4.1安全管理员的职责和权限1、制定安全弱点评估方案,报信息安全经理和IT相关经理进行审批;2、进行信息系统的

4、安全弱点评估;3、生成弱点分析报告并提交给信息安全经理和IT相关经理备案;4、根据安全弱点分析报告提供安全加固建议。4.1系统管理员的职责和权限1、依据安全弱点分析报告及加固建议制定详细的安全加固方案(包括回退方案),报信息安全经理和IT相关经理进行审批;2、实施信息系统安全加固测试;3、实施信息系统的安全加固;4、在完成安全加固后编制加固报告并提交给信息安全经理和IT相关经理备案;5、向信息安全审核员报告业务系统的安全加固情况。4.2信息安全经理、IT相关经理的职责和权限1、信息安全经理和IT相关经理负责审核安全弱点评估方案、弱

5、点分析报告、安全加固方案以及加固报告。4.3安全审计员的职责和权限1、安全审计员负责安全加固后的检查和验证,以及定期的审核和汇报。1.内容5.1弱点管理要求通过定期的信息资产(主要是IT设备和系统)弱点评估可以及时知道公司安全威胁状况,这对及时掌握公司主要IT设备和系统弱点的状况是极为有重要的;通过评估后的安全加固,可以及时弥补发现的安全弱点,降低公司的信息安全风险。5.1.1评估及加固对象a)公司各类信息资产应定期进行弱点评估及相应加固工作。b)弱点评估和加固的信息资产可以分为如下几类:i.网络设备:路由器、交换机、及其他网络设

6、备的操作系统及配置安全性。ii.服务器:操作系统的安全补丁、账号号口令、安全配置、网络服务、权限设置等。iii.应用系统:数据库及通用应用软件(如:WEB、Mail、DNS等)的安全补丁及安全配置,需应用部门在测试环境测试通过后方可在正式环境中进行安全补丁加载。iv.安全设备:VPN网关、防火墙、各类安全管理系统等设备或软件的操作系统及配置安全性。5.1.1评估及加固过程中的安全要求a)在对信息资产进行弱点评估前应制定详细的弱点评估方案,充分考虑评估中出现的风险,同时制定对应的详细回退方案。b)在对信息资产进行安全加固前应制定详细

7、的安全加固方案,明确实施对象和实施步骤,如涉及到其他系统,应分析可能存在的风险以及应对措施,并与关联部门和厂商沟通。c)对于重要信息资产的弱点评估及安全加固,在操作前要进行测试。需经本部门经理的确认,同时上报信息安全经理和IT相关经理进行审批。d)对信息资产进行弱点评估和加固的时间应选择在业务闲时段,并保留充裕的回退时间。e)对信息资产进行安全加固后,应进行总结并生成报告,进行弱点及加固措施的跟踪。f)对信息资产进行安全加固完成后,应进行业务测试以确保系统的正常运行。加固实施期间业务系统支持人员应保证手机开机,确保出现问题时能及时

8、处理。g)安全加固完成后次日,系统管理员及业务系统支持人员应对加固后的系统进行监控,确保系统的正常运行。h)弱点评估由IT相关经理和安全管理员协助进行,安全加固由系统管理员执行。如由供应商或服务提供商协助实施安全加固,则应由系统管理员确保评估和加固

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。