安全漏洞管理制度范文

安全漏洞管理制度

1

2020年4月19日

XXXX

安全漏洞管理制度

文件修订履历

变化状态：新建，增加，修改,

目录

1引言 (5)

1.1目的 (5)

1.2对象 (5)

1.3范围 (5)

2漏洞获知 (5)

3级别定义和处理时间要求 (5)

3.1级别定义 (6)

3.1.1高风险漏洞定义 (6)

3.1.2中风险漏洞定义 (6)

3.1.3漏洞处理原则 (6)

4职责分工 (6)

4.1信息安全部 (6)

4.2 IT中心 (7)

4.3各产品开发部门 (7)

5漏洞处理流程 (8)

6罚则 (9)

1引言

1.1目的

本制度规范了XXXX（以下简称：XXXX）信息系统安全漏洞的发现、评估及处理过程。保障尽早发现安全漏洞，及时消除安全隐患。加快安全处理响应时间，加强信息资产安全。

1.2对象

本制度阅读对象为单位所有的运维人员、产品开发人员、测试和质量保障人员等。各产品开发、运营、系统运维、质量测试等部门负责人应通读并认真执行本制度中与其职责相关的要求。

1.3范围

本制度中的信息系统描述适用于XXXX信息系统：

应用系统：所有业务相关应用系统，包括自主开发和外购产品。

操作系统：Windows、Linux 和 UNIX 等。

数据库：Oracle、MySQL、Sql Server 等。

中间件：Tomcat，Apache，Nginx 等。

网络设备：交换机、路由器等。

安全设备：安全管理、审计、防护设备等。

2漏洞获知

漏洞获知一般有如下方式：

➢来自软、硬件厂商和国际、国内知名安全组织的安全通告。

➢单位信息安全部门工作人员的渗透测试结果及安全评审意见。

➢使用安全漏洞评估工具扫描。

➢来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知。

3级别定义和处理时间要求