《jess系统运维管理信息安全漏洞管理规定7324》由会员分享,可在线阅读,更多相关《jess系统运维管理信息安全漏洞管理规定7324(8页珍藏版)》请在装配图网上搜索。
1、信息安全漏洞管理要求 版本历史 编制人: 审批人: 目录目 录 2信息安全漏洞管理要求 31. 追求 32. 范围 33. 定义 33.1 ISMS33.2 安全弱点 44. 职责和权限 44.1 安全管理员的职责和权限 44.2 系统管理员的职责和权限 44.3 信息安全经理、 IT 相关经理的职责和权限 54.4 安全审计员的职责和权限 55. 内容 55.1 弱点管理要求 55.2 安全弱点评估 75.3 系统安全加固 75.4 监督和检查 86. 参考文件 87. 更改历史记录 88. 附则 89. 附件 9信息安全漏洞管理要求1. 追求建立信息安全漏洞管理进程安排的追求是为了加强公司
2、信息安全保障能力,建立健全公司的安 全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在 公司安全体系框架下, 本策略为规范公司信息资产的漏洞管理 (主要包含 IT 设备的弱点评估及安全 加固),将公司信息资产的风险置于可控环境之下。 .2. 范围本策略适用于公司所有在生产环境和办公环境中使用的网络系统、服务器、应用系统以及安全 设 备。3. 定义3.1 ISMS基于业务风险方法,建立、实施、运行、监控、评审、保持和改进信息安全的体系,是公司整 个管理体系的一部分。 .3.2 安全弱点安全弱点是由于系统硬件、软件在设计实现时或者是在安全策略的制定配置上的不对而
3、引起的 缺陷,是违背安全策略的软件或硬件特征。有恶意企图的用户能够利用安全弱点非法访问系统或者 破坏系统的正常使用。 3.3 弱点评估 .弱点评估是通过风险调查,获取与系统硬件、软件在设计实现时或者是在安全策略的制定配置的威胁和弱点相关的信息,并对收集到的信息进行相应分析,在此基础上,识别、分析、评估风险, 综合评判给出安全弱点被利用造成不良事件发生的可能性及损失/影响程度的观点, 最终形成弱点评估报告。 .4. 职责和权限阐述本制度 /进程安排涉及的部门(角色)职责与权限。4.1 安全管理员的职责和权限1、制定安全弱点评估技术指导文件,报信息安全经理和IT 相关经理进行审批。2、进行信息系统
4、的安全弱点评估。3、生成弱点分析报告并提交给信息安全经理和 IT 相关经理备案。4、根据安全弱点分析报告提供安全加固建议。4.2 系统管理员的职责和权限1、依据安全弱点分析报告及加固建议制定详细的安全加固技术指导文件(包括回退技术指导 文件),报信息安全经理和 IT 相关经理进行审批。 .2、实施信息系统安全加固测试。3、实施信息系统的安全加固。4、在完成安全加固后编制加固报告并提交给信息安全经理和IT 相关经理备案。5、向信息安全审核员报告业务系统的安全加固情况。4.3 信息安全经理、 IT 相关经理的职责和权限1、信息安全经理和 IT 相关经理负责审核安全弱点评估技术指导文件、弱点分析报告
5、、安全加 固技术指导文件以及加固报告。 .4.4 安全审计员的职责和权限1、安全审计员负责安全加固后的检查和验证,以及定期的审核和汇报。5. 内容5.1 弱点管理要求通过定期的信息资产 (主要是 IT 设备和系统) 弱点评估可以及时知道公司安全威胁状况, 这对 及时掌握公司主要 IT 设备和系统弱点的状况是极为有重要的。 通过评估后的安全加固, 可以及时弥 补发现的安全弱点,降低公司的信息安全风险。 .5.1.1 评估及加固对象a) 公司各类信息资产应定期进行弱点评估及相应加固工作。b) 弱点评估和加固的信息资产可以分为如下几类:i. 网络设备:路由器、交换机、及其他网络设备的制作系统及配置安
6、全性。ii. 服务器:制作系统的安全补丁、账号号口令、安全配置、网络服务、权限设置等。iii. 应用系统:数据库及通用应用软件(如: WEB、Mail 、DNS 等)的安全补丁及安全配 置,需应用部门在测试环境测试通过后方可在正式环境中进行安全补丁加载。 .iv. 安全设备: VPN 网关、防火墙、各类安全管理系统等设备或软件的制作系统及配置 安全性。5.1.2 评估及加固过程中的安全要求a) 在对信息资产进行弱点评估前应制定详细的弱点评估技术指导文件,十足考虑评估中出 现的风 险,同时制定对应的详细回退技术指导文件。 .b) 在对信息资产进行安全加固前应制定详细的安全加固技术指导文件,明确实
7、施对象和实 施步骤, 如涉及到其他系统, 应分析可能存在的风险以及应对措施, 并与关联部门和厂商沟通。 .c) 对于重要信息资产的弱点评估及安全加固,在制作前要进行测试。需经本部门经理的确 认,同时上报信息安全经理和 IT 相关经理进行审批。 .d) 对信息资产进行弱点评估和加固的进度应选择在业务闲时段,并保留充裕的回退进度。e) 对信息资产进行安全加固后, 应进行汇总报告并生成报告, 进行弱点及加固措施的跟踪。f) 对信息资产进行安全加固完成后, 应进行业务测试以确保系统的正常运行。 加固实施期 间业务系统支持人员应保证手机开机,确保出现问题时能及时处理。 .g) 安全加固完成后次日,系统管
8、理员及业务系统支持人员应对加固后的系统进行监控,确 保系统的正常运行。 .h) 弱点评估由 IT 相关经理和安全管理员协助进行,安全加固由系统管理员执行。如由供4 / 6应 商或服务提供商协助实施安全加固, 则应由系统管理员确保评估和加固的有效性并提交信息 IT 信息安全经理和 IT 相关经理进行评定。 .5.2 安全弱点评估5.2.1 公司每季度进行一次弱点评估工作,信息资产的弱点评估由安全管理员负责。5.2.2 在进行信息资产弱点评估时应采用公司认可的扫描工具及检查列表,弱点评估计划 需由 IT 信息安全经理和 IT 相关经理进行确认和审批。 .5.2.3 信息安全经理和 IT 相关经理弱
9、点评估完成后,相关 IT 人员参考弱点评估报告编写 安全 加固技术指导文件,并进行系统安全加固工作。 .5.2.4 安全管理员在各系统完成安全加固后,组织弱点评估复查,验证加固后的效果。5.2.5 所有安全弱点评估文档应交付信息安全经理和 IT 相关经理备案。5.3 系统安全加固5.3.1 安全加固a) 公司每次完成安全弱点评估后,各系统管理员应根据弱点评估结果确定需要加固的资 产,针对发现的安全弱点制定加固技术指导文件。 .b) 安全加固前,加固人员应制定详细的加固测试技术指导文件及加固实施技术指导文件 (包括回退技术指导文件) .并在测试环境中进行加固测试,确认无重大不良影响后才可实施正式
10、加固。c) 在完成安全加固后,加固人员应根据加固过程中弱点的处理情况编制加固报告。安全管 理员应对加固后的信息资产进行弱点评估复查,评估复查结果作为加固的措施验证。 .d) 所有加固文档应交付信息安全经理及 IT 相关经理备案。5.3.2 紧急安全加固a) 当安全管理部发现高危漏洞时, 提出紧急加固建议, 通知相关 IT 人员进行测试后进行紧 急变更实施加固并事后给出评估报告。 .5.4 监督和检查5.4.1 安全审计员负责对信息安全弱点管理的执行情况进行检查,可通过安全漏洞扫描和 现场 人工抽查进行审计和检查, 检查的内容包括弱点评估和安全加固的执行情况及相关文档记5 / 6录。6. 参考文件无7. 更改历史记录IT-007-V01 新版本发布8. 附则本制度由信息技术部每年复审一次,根据复审结果进行修订并颁布执行。本制度的解释权归信息技术部。本要求自签发之日起生效,凡有与该要求冲突的,以此要求为准。 .9. 附件无
jess系统运维管理信息安全漏洞管理规定7324
