XXX公司漏洞和风险管理制度.doc

XXX公司

漏洞和风险管理制度

XX部

总 则

为规范了XXX公司信息系统安全漏洞的发现、评估及处理过程。保障尽早发现安全漏洞，及时消除安全隐患，加快安全处理响应时间，加强信息资产安全，特制订本管理制度。

本管理程序适用于XXX公司系统安全漏洞和风险评估的管理。

漏洞管理制度

漏洞管理的范围至少包含如下内容：

应用系统：所有业务相关应用系统，包括自主开发和外购产品。

操作系统：Windows、Linux 和 UNIX 等。

数据库：Oracle、MySQL、SQL Server 等。

中间件：Tomcat，Apache，Nginx 等。

网络设备：交换机、路由器等。

安全设备：安全管理、审计、防护设备等。

漏洞获知主要有如下方式：

来自软、硬件厂商和国际、国内知名安全组织的安全通告。

单位信息安全部门工作人员的渗透测试结果及安全评审意见。

使用安全漏洞评估工具扫描。

来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知。

漏洞管理标准主要涉及：

操作系统层面：依据CVE标准。

网络层面：依据CVE标准。

数据库层面：依据CVE标准。

中间件（包括应用组件包）：依据CVE标准。

单位自主开发的业务应用：以公司发布文件为主。

漏洞处理原则：

应对突发事件必须及时对漏洞进行发现管理，还要坚持谁主管、谁负责的责任意识，对问题进行落实。

所有高、中风险必须在一周内完成修复。

对于有关安全漏洞的修复方案经评估后会影响系统稳定或短期不能找到解决方案的漏洞，由XX部会同有关部门出具体解决方案。

在漏洞报告处理过程中，如果管理人员对流程处理、漏洞定级、漏洞评分等有异议的，需要及时沟通，必要时可引入外部安全人士共同裁定。

制定更好的风险缓解决策，关键是要采取行动解决问题，交付结果。有效的漏洞管理必须结合有效的补救措施。没有即使洞评估工具会自动执行补救操作。

风险管理制度