信息系统安全漏洞评估及管理制度

信息系统安全漏洞评估及管理制度文档编号信息系统安全漏洞评估及管理制度文档敏感性文档编写编写日期文档审核审核日期公开范围目 录1. 概述.............................................................31.1. 目的.........................................................31.2. 适用范围.....................................................32. 正文.............................................................32.1. 术语定义.....................................................32.2. 责任分工.....................................................42.3. 安全漏洞生命周期.............................................42.4. 信息安全漏洞管理.............................................53. 例外处理........................................................104. 检查计划........................................................105. 解释............................................................111. 概述1.1. 目的1、法律规范集团内部信息系统安全漏洞（包括操作系统、网络设备和应用系统）的评估及管理，降低信息系统安全风险；2、明确信息系统安全漏洞评估和整改各方职责。1.2. 适用范围本制度适用于 XX 公司管理的所有信息系统，非 XX 公司管理的信息系统可参照执行。2. 正文2.1. 术语定义2.1.1. 信息安全 Information security保护、维持信息的保密性、完整性和可用性，也可包括真实性、可核查性、抗抵赖性、可靠性等性质。2.1.2. 信息安全漏洞 Information security vulnerability信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷，这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体利用，就会对信息系统的安全造成损害，影响信息系统的正常运行。2.1.3. 资产 Asset安全策略中，需要保护的对象，包括信息、数据和资源等等。2.1.4. 风险 Risk资产的脆弱性利用给定的威胁，对信息系统造成损害的潜在可能。风险的危害可通过事件发生的概率和造成的影响进行度量。2.1.5. 信息系统（Information system）由计算机硬件、网络和通讯设备、计算机软件、、信息用户和组成的以处理信息流为目的的人机一体化系统，本制度信息系统主要包括操作系统、网络设备以及应用系统等。2.2. 责任分工2.2.1. 安全服务部：负责信息系统安...