某产险公司系统安全补丁管理规定（6页）.doc

1  目的
为规范信息系统安全补丁的跟踪、分析、测试、分发和检查流程，落实公司信息系统补丁安全管理工作，提高员工防范意识，保障公司信息系统安全稳定运行，制定本制度。
2  范围
本制度适用于公司所有主机、应用、网络和终端设备及系统。
3  术语
（无）
4  职责
4.1  各    主机\终端\网络\应用安全    管理岗
负责管辖范围内的设备和系统的补丁安装及管理。
5  内容
5.1  补丁的跟踪与分析
5.1.1  应每月定期跟踪补丁的最新信息，并填写在《系统安全补丁跟踪记录》中。信息的来源分为以下三类：
1. 软件厂商：软件厂商是补丁的主要来源，每一次安全补丁的发布，产商都会发布通告；
2. 安全机构：官方安全机构会对一些影响特别大的安全事件进行通告；
3. 安全组织和安全公司：安全组织和安全公司是研究安全的主要力量，其公告的特点是发布快速、内容详细且方案全面。
5.1.2  安全漏洞的威胁等级分类为：
威胁等级    定义    成因
紧急    利用漏洞可以远程获取管理权限、获得公司商业秘密或能导致公司核心系统崩溃等能带来灾难性影响和损失的威胁。    堆、栈溢出
严重    利用漏洞能导致公司核心系统不稳定或重要系统崩溃等能带来严重影响和损失的威胁，如攻击程序和病毒结合，蠕虫等    堆、栈溢出
中等    利用漏洞可获取普通用户访问权限、提升权限和引发远程拒绝服务等会给公司带来一定影响和损失的威胁。    客户端程序、堆栈溢出、竞争条件、协议设计
低等    利用漏洞能导致一般信息泄漏和本地拒绝服务等对公司影响较小的威胁。    
返回信息过多
5.1.3  应分析安全漏洞的威胁等级，针对于不同的安全漏洞，对应的修补时间和修补方式要求如下：
威胁等级    允许修补的时间    修补方式
紧急    2天    用非补丁方式，如用防火墙或者限制功能等方式，同时增加监控
严重    5-10天    补丁方式
中等    10－30天    限制使用程序、补丁方式
低等    30－90天    补丁方式