信息安全漏洞管理流程

1、信息安全漏洞管理規(guī)定信息安全漏洞管理規(guī)定主導(dǎo)部門(mén)：主導(dǎo)部門(mén)：IT部支持部門(mén)：支持部門(mén)：NA審批：批：IT部文檔編號(hào)：文檔編號(hào)：ITV01生效日期：生效日期：信息安全漏洞管理規(guī)定文檔編號(hào)：ITV0137信息安全漏洞管理規(guī)定信息安全漏洞管理規(guī)定1.目的目的建立信息安全漏洞管理流程的目的是為了加強(qiáng)公司信息安全保障能力，建立健全公司的安全管理體系，提高整體的網(wǎng)絡(luò)與信息安全水平，保證業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)，提高網(wǎng)絡(luò)服務(wù)質(zhì)量，在公司安全體系框架下，本策

2、略為規(guī)范公司信息資產(chǎn)的漏洞管理（主要包含IT設(shè)備的弱點(diǎn)評(píng)估及安全加固），將公司信息資產(chǎn)的風(fēng)險(xiǎn)置于可控環(huán)境之下。2.范圍范圍本策略適用于公司所有在生產(chǎn)環(huán)境和辦公環(huán)境中使用的網(wǎng)絡(luò)系統(tǒng)、服務(wù)器、應(yīng)用系統(tǒng)以及安全設(shè)備。3.定義定義3.1ISMS基于業(yè)務(wù)風(fēng)險(xiǎn)方法，建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、保持和改進(jìn)信息安全的體系，是公司整個(gè)管理體系的一部分。3.2安全弱點(diǎn)安全弱點(diǎn)安全弱點(diǎn)是由于系統(tǒng)硬件、軟件在設(shè)計(jì)實(shí)現(xiàn)時(shí)或者是在安全策略的制定配置上的錯(cuò)誤而引起

3、的缺陷，是違背安全策略的軟件或硬件特征。有惡意企圖的用戶能夠利用安全弱點(diǎn)非法訪問(wèn)系統(tǒng)或者破壞系統(tǒng)的正常使用。3.3弱點(diǎn)評(píng)估弱點(diǎn)評(píng)估弱點(diǎn)評(píng)估是通過(guò)風(fēng)險(xiǎn)調(diào)查，獲取與系統(tǒng)硬件、軟件在設(shè)計(jì)實(shí)現(xiàn)時(shí)或者是在安全策略的制定配置的威脅和弱點(diǎn)相關(guān)的信息，并對(duì)收集到的信息進(jìn)行相應(yīng)分析，在此基礎(chǔ)上，識(shí)別、分析、評(píng)估風(fēng)險(xiǎn)，綜合評(píng)判給出安全弱點(diǎn)被利用造成不良事件發(fā)生的可能性及損失影響程度的觀點(diǎn)，最終形成弱點(diǎn)評(píng)估報(bào)告。4.職責(zé)和權(quán)限職責(zé)和權(quán)限闡述本制度流程涉及的部