横琴新区大数据平台项目(集成开发服务)大横琴科技发展有限公司补丁加载管理办法第一章总则第一条为了规范珠海大横琴科技发展有限公司(以下简称科技公司)的安全补丁测试与加载两个环节存在的困难和问题,保障系统安全运行,特制定本管理办法。第二章适用范围第二条本办法主要针对科技公司与各部门所有主机、终端与网络设备的安全补丁,其他信息系统、其他类型补丁的加载管理可参考本办法要求执行。第三章安全补丁加载原则第三条安全预警发布的漏洞信息所对应补丁都要加载,但与业务有冲突的补丁例外。第四条补丁的加载应遵循及时性、严密性、持续性三个原则:1.及时进行补丁加载,补丁管理工作要在利用漏洞的攻击发生前完成。2.补丁加载前针对内部系统及应用环境应有严密的测试,制定严密的推广计划。3.补丁管理是个长期的、持续性的工作,需要随时关注厂商的补丁公告及安全公司的安全公告。第五条应根据安全补丁优先级制定实施计划:1.紧急补丁:利用该漏洞可以允许Internet蠕虫无需用户操作就可以传播;利用该漏洞可以危及用户数据的保密性、完整性或可用性,或者危及处理资源的完整性或可用性。允许修补时间:十五天。2.重要补丁:由于默认配置、审核或难以利用等因素,该漏洞的可利用性显著降低。允许修补时间:一个月。3.一般补丁:利用该漏洞相当困难,或其影响已降至最低限度。允许修补时间:半年。第四章组织与责任~1~横琴新区大数据平台项目(集成开发服务)第六条安全补丁管理由科技公司信息安全工作组统一领导,各部门信息系统维护人员完成各自所维护设备的安全补丁装载的任务。第七条科技公司信息安全工作组的职责如下:1.负责安全补丁管理工作。组织进行补丁的测试工作。2.根据维护的需求,组织补丁装载计划的制定与实施。3.建立补丁装载情况、补丁功能清单等文档资料。第八条各部门信息安全接口人的职责如下:1.负责建立信息资产库、负责补丁管理清单的建立和维护、负责正式渠道的补丁跟踪、获取和发布、负责审核和监督各业务系统补丁的加载情况、负责与厂商之间的沟通协商。2.负责各系统补丁加载工作的协调。第九条各部门信息系统维护人员的职责如下:1.按照科技公司的补丁装载测试工单进行补丁的入网测试,并在规定时间内反馈测试总结报告。2.在科技公司的指导下,具体负责所管设备的补丁装载工作。3.及时发现设备存在的安全漏洞,并及时联系设备供应商及设备集成商寻求解决方案。如影响较大(影响业务运行、影响通信),需上...
