页脚内容版本号文件编号机密等级发布日期生效日期安全漏洞管理制度拟制日期审核日期批准日期页脚内容文件修订履历页脚内容目录1 引言 41.1 目的 41.2 对象 41.3 范围 42 漏洞获知 43 级别定义和处理时间要求 43.1 级别定义 43.1.1 高风险漏洞定义 43.1.2 中风险漏洞定义 53.1.3 漏洞处理原则 54 职责分工 54.1 信息安全部 54.2IT 中心 54.3 各产品开发部门 55 漏洞处理流程 76 罚则 8页脚内容1 引言1・1 目的本制度规范了 XXXX(以下简称:XXXX)信息系统安全漏洞的发现、评估及处理过程。保障尽早发现安全漏洞,及时消除安全隐患。加快安全处理响应时间,加强信息资产安全。1・2 对象本制度阅读对象为单位所有的运维人员、产品开发人员、测试和质量保障人员等。各产品开发、运营、系统运维、质量测试等部门负责人应通读并认真执行本制度中与其职责相关的要求。1・3 范围本制度中的信息系统描述适用于 XXXX 信息系统:应用系统:所有业务相关应用系统,包括自主开发和外购产品。操作系统:Windows、Linux 和 UNIX 等。数据库:Oracle、MySQL、SqlServer 等。中间件:Tomcat,Apache,Nginx 等。网络设备:交换机、路由器等。安全设备:安全管理、审计、防护设备等。2 漏洞获知漏洞获知通常有如下方式:来自软、硬件厂商和国际、国内知名安全组织的安全通告。单位信息安全部门工作人员的渗透测试结果及安全评审意见。使用安全漏洞评估工具扫描。来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知。3 级别定义和处理时间要求3.1 级别定义对于没有 CVE 评级的安全漏洞统一参考附录一标准进行漏洞评级。3・1・1 高风险漏洞定义1•操作系统层面:依据 CVE 标准。2•网络层面:依据 CVE 标准。3•数据库层面:依据 CVE 标准。4•中间件(包括应用组件包):依据 CVE 标准。页脚内容5.单位自主开发的业务应用:详见附录一。3.1.2 中风险漏洞定义1 操作系统层面:依据 CVE 标准。2 网络层面:依据 CVE 标准。3. 数据库层面:依据 CVE 标准。4. 中间件(包括应用组件包):依据 CVE 标准。5. 单位自主开发的业务应用:详见附录一。3.1.3 漏洞处理原则1.所有高、中风险必须在规定时间内完成修复。2. 对于有关安全漏洞的修复方案经评估后会影响系统稳定或短期不能找到解决方案的漏洞,由信息安全部会同有关部门出具体解决方案。4 职责分工4.1 信息安全部1. 定期对单位...
