1、 横琴新区大数据平台项目(集成开发服务)大横琴科技发展有限公司补丁加载管理办法第一章总则第一条 为了规范珠海大横琴科技发展有限公司(以下简称科技公司)的安全补丁测试与加载两个环节存在的困难和问题,保障系统安全运行,特制定本管理办法。第二章适用范围第二条 本办法主要针对科技公司与各部门所有主机、终端与网络设备的安全补丁,其他信息系统、其他类型补丁的加载管理可参考本办法要求执行。第三章安全补丁加载原则第三条 安全预警发布的漏洞信息所对应补丁都要加载,但与业务有冲突的补丁例外。第四条 补丁的加载应遵循及时性、严密性、持续性三个原则:1. 及时进行补丁加载,补丁管理工作要在利用漏洞的攻击发生前完成。2
2、. 补丁加载前针对内部系统及应用环境应有严密的测试,制定严密的推广计划。3. 补丁管理是个长期的、持续性的工作,需要随时关注厂商的补丁公告及安全公司的安全公告。第五条 应根据安全补丁优先级制定实施计划:1. 紧急补丁:利用该漏洞可以允许 Internet 蠕虫无需用户操作就可以传播;利用该漏洞可以危及用户数据的保密性、完整性或可用性,或者危及处理资源的完整性或可用性。允许修补时间:十五天。2. 重要补丁:由于默认配置、审核或难以利用等因素,该漏洞的可利用性显著降低。允许修补时间:一个月。3. 一般补丁:利用该漏洞相当困难,或其影响已降至最低限度。允许修补时间:半年。第四章组织与责任第六条 安全
3、补丁管理由科技公司信息安全工作组统一领导,各部门信息系统维护人员完成各自所维护设备的安全补丁装载的任务。第七条 科技公司信息安全工作组的职责如下:1. 负责安全补丁管理工作。组织进行补丁的测试工作。 2. 根据维护的需求,组织补丁装载计划的制定与实施。3. 建立补丁装载情况、补丁功能清单等文档资料。第八条 各部门信息安全接口人的职责如下:1. 负责建立信息资产库、负责补丁管理清单的建立和维护、负责正式渠道的补丁跟踪、获取和发布、负责审核和监督各业务系统补丁的加载情况、负责与厂商之间的沟通协商。2. 负责各系统补丁加载工作的协调。第九条 各部门信息系统维护人员的职责如下:1. 按照科技公司的补丁
4、装载测试工单进行补丁的入网测试,并在规定时间内反馈测试总结报告。2. 在科技公司的指导下,具体负责所管设备的补丁装载工作。3. 及时发现设备存在的安全漏洞,并及时联系设备供应商及设备集成商寻求解决方案。如影响较大(影响业务运行、影响通信),需上报科技公司,提请补丁装载需求,并进行补丁的入网测试及装载工作。第十条 相关第三方厂商的职责如下:1. 设备集成商负责及时跟踪所集成产品厂商的最新补丁程序、负责对集成的主机和网络设备进行补丁测试、负责对集成的主机和网络设备进行补丁加载、负责制定补丁加载流程、回退计划。2. 设备供应商负责及时发布产品的漏洞及补丁信息。第五章安全补丁的管理流程第十一条 补丁的
5、装载需求由科技公司信息安全工作组统一部署,由各部门具体负责完成各自所维护设备的补丁装载的生产任务。第十二条 对于设备操作系统的重大安全漏洞(影响通信、影响业务运行),待漏洞确认后各部门信息安全接口人应及时上报信息安全工作组,提出补丁装载需求;平时维护中发现的操作系统安全漏洞,由部门信息安全接口人联系设备供应商及设备集成商寻求解决方案,并向公司信息安全工作组提请补丁装载需求。 第十三条 公司信息安全工作组审核设备集成商或设备生产商提出的补丁装载方案,方案中应该包括补丁的功能描述,以及相应的测试验证方案;在审核同意后通过工单系统下达生产任务;紧急情况下信息安全工作组在征得领导的同意后电话通知生产单
6、位进行补丁装载工作,但事后要完善流程。第十四条 各部门在接到公司信息安全工作组的补丁装载工单或部门上报的补丁装载需求后需组织设备维护部门进行补丁的入网测试。新出现的安全补丁,往往成熟度不够,现网实施的风险较高,需按以下原则执行:1. 对于补丁的入网测试结合部门实际情况和设备集成商及设备供应商进行充分讨论,制定完整的测试计划,并做好应急倒换方案。2. 对补丁装载后会对各方面业务功能、设备性能可能产生的影响做出恰当评估,并向部门信息安全接口人反馈测试总结报告。第十五条 各部门在补丁装载前应进行全面的系统备份,填写备份记录,做好光盘或硬盘标记,并妥善保存;同时应事先通知生产单位,确认补丁装载事宜;并
7、由各部门做好补丁装载过程中的监控工作。第十六条 补丁装载完成后,各部门应做好系统监控工作,并应立即通过测试、观察系统运行指标来确保系统运行正常;同时还应做好补丁装载后的评估工作,即是否达到预期目的,达到测试验证方案所要求的结果,是否影响系统运行指标,并在工单回复中进行说明。第十七条 对补丁装载和运行过程中出现的问题,生产单位应积极协调处理,各部门应在发现问题后12小时内上报公司信息安全工作组。第六章 审计与考核第十八条 应定期对相关系统安全漏洞情况、补丁加载情况、以往补丁装载方案、补丁测试结果进行检查。第七章 标准维护与解释第十九条 本管理办法由科技公司信息安全领导小组每年复核一次,在必要时进行修订,并颁发执行。第二十条 本管理办法解释权归珠海大横琴科技发展公司有限公司。第二十一条 本管理办法自下发之日起生效。4