信息系统安全漏洞评估及管理制度V1.0VIP专享

目录1 概况 21.1 目的 21.2 目的 22 正文 22。1。 术语定义 22。2。 职责分工 32。3. 安全漏洞生命周期 32。4。 信息安全漏洞管理 32.4。1 原则 32.4。2 风险等级 42.4。3 评估范围 52。4。4 整改时效性 52。4。5 实施 63 例外处理 74 检查计划 85 解释 86 附录 8四 川 长 虹 电 器 股 份 有 限 公 司虹微公司管理文件信息系统安全漏洞评估及管理制度××××–××–×× 发布××××–××–×× 实施四川长虹虹微公司发布1概况1.1 目的1、法律规范集团内部信息系统安全漏洞（包括操作系统、网络设备和应用系统)的评估及管理,降低信息系统安全风险；2、明确信息系统安全漏洞评估和整改各方职责。1.2 适用范围本制度适用于虹微公司管理的所有信息系统，非虹微公司管理的信息系统可参照执行.2正文2.1. 术语定义2.1.1. 信息安全 Information security保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。2.1.2. 信息安全漏洞Information security vulnerability信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷，这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体利用,就会对信息系统的安全造成损害，影响信息系统的正常运行。2.1.3. 资产Asset安全策略中，需要保护的对象,包括信息、数据和资源等等.2.1.4. 风险Risk资产的脆弱性利用给定的威胁，对信息系统造成损害的潜在可能。风险的危害可通过事件发生的概率和造成的影响进行度量。2.1.5. 信息系统（Information system)由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统，本制度信息系统主要包括操作系统、网络设备以及应用系统等。2.2. 职责分工2.2.1. 安全服务部：负责信息系统安全漏洞的评估和管理,漏洞修复的验证工作，并为发现的漏洞提供解决建议。2.2.2. 各研发部门研发部门负责修复应用系统存在的安全漏洞，并根据本制度的要求提供应用系统的测试环境信息和源代码给安全服务部进行安全评估。2.2.3. 数据服务部数据服务部负责修复生产环境和测试环境操作系统、网络设备存在的安全漏洞，并根据本制度的要求提供最新最全的操作系统和网络设备的IP地址信息.2.3. 安全漏洞生命周期依据信息安全漏洞从产生到消亡的整个过程，信息安全漏洞的生命周期可分为以下几...