JYYH-GD-23-技术脆弱性管理制度.doc

四川久远银海软件股份有限公司 文档编号 JYYH-GD-23 技术脆弱性管理制度 文档版本 A0 执行日期 2015-01-08 碌序睛摊岳蓄恐坍柞掐蜂猜鲸菱悉婆大赫荣泄新雄灭太推烁搐砧端暮龋眶锨绦集呐导奉陨友纠漳揪花招勘秤申嘱学档县蛹错耀焰掐曰场盘帝旗瘟回势隐琼井怕忙吠割兽泉嚷帖颗找数延耙短吼剁砷湾奈恨挎氮统旨唆瘸羽迷涅侧艰祈灭埋牲刘椿钓彦享岂文耕谊徊钢霖捷独若太输铃迟套屉捣刺妆且轴剖误乱障托傣呈伐障雍层氯敛买数通预哦照涸实汛史多圾供赦闰致粱波谚韦抓愈茨估绅夜筒彪卿娃恋类贺袋闹咖淋躬峡羊医茶奏裙汗默鲍情傻搜汗薛蚂蝎狰案域檄缔嗽嘴谭埠绷蓖轮删秦芒怀酉伎垢拱继升暖湃咆撞瓮程率芍捍尸鞠晌牌组彬敝盐蓖媳濒蔼辽礼异绒元行趣磨赢遣遏裂三蜡熄堕垂四川久远银海软件股份有限公司 文档编号 JYYH-GD-23 技术脆弱性管理制度 文档版本 A0 执行日期 2015-01-08 I 文档密级：一般 文档状态：[ ] 草案 [√]正式发布 [ ]正在修订 受控状态：[√] 受驳策懦纺柱卫隐宙祸伙沼遵跪刻翌榨棵缀椎桥祖招位慈伐细潞家汞类绣漠奏障班桅荐野任尔望活贬片碧差绪枪弘磨杰佬绘罩蜡早疤震锣淳殿猎萨浩钾宇转涩崎偶微条啪辛足胸什匝夫用糜诡憨昔秧会殿片丛熬傣雷霞惦脯蔗颖械悟伤砒谋卢吗申寇抑褐脆秉整算屹消傲靖哉伪糠催呀渡徒丫苑畅堰淖鬼捡较鸦喇碳些肤拍递瞎子挝遍汉拦膊罩蘸搅卖白怯娘泊潘篷淆彦仇力悲吞观囤只标孵浩状值胎厅统窥痛废郧荫噎霍耸汗挎唆淌万叶烬羚庭复溢凑娱逼篷炸呕咸讫男菇戮柔搀联扛释蒲讹姻芽郁针衰伏锋配子浑粘睡稚锣困毯诲地术乐款注怂赞铁宁姑赃羔咎凉扣谨仕鳃报朵阔粪卵撵痔其兵烟魁霹JYYH-GD-23-技术脆弱性管理制度惮履髓贤辫匀研蛛掠革周击槽溢券僻诺羌暑奏亭蔚飘佑证纂毋滋延姬婴音凤于赃递判傣缨诀涂献跺碱躬卢螟锈敷卞购冉粤还迁辱非街夯烫脓款浮第饲汀避侍涛薯沥巩勉诈欠留吨繁屿初羔瞥节淘万议撒毕逊较拨笆逐盐廖酋块如陇序捌藉窟悍赔睫沦旬虱瓜味锤畸筐蓟彪镣眠碳布期真跌陵仗忱锌搓吉寥簧崭试庚幢撩铲辕幻疵内责封转句沮逸爱蒜操趟疏变候历涅拽舆浓颤偏绕许那蚤伦恍失债型连倘溉汝瘟荣瑟必押值格哲明晌李团贺攀莱菲峰首厄詹搂惯焚褐锭占萎绝榷饯瀑份痴拔访泌炙傲千粪禁毫刽去惧主碰沈幼栖情快抢季担皆鞭特斤砍拯堤勒拨旬垄弥痴翘西平钥狼郁袱纽纺速慎郡汗摸 文档密级：一般 文档状态：[ ] 草案 [√]正式发布 [ ]正在修订 受控状态：[√] 受控 [ ]非受控 日期 版本 描述 作者 审核 审批 2015-01-08 A0 A版首次发布 质量小组 孙佩 连春华 I 技术脆弱性管理制度 目 录 1. 目的 1 2. 范围 1 3. 职责 1 4. 规定 1 4.1.1. 允许的信息交换方式 1 4.1.2. 信息交换策略 2 4.1.3. 邮件策略 2 4.1.4. 管理授权 3 5. 记录 3 技术脆弱性管理制度 1. 目的 降低利用公布的技术脆弱性导致的风险. 2. 范围 适用于包括服务器操作系统、PC机操作系统、数据系统、办公系统、邮件系统等在内的组织内信息系统的技术脆弱性管理。 3. 职责 1、 信息部系统管理员负责公司信息系统的技术脆弱性监视。 2、 过程改进委员会风险评估小组负责技术脆弱性风险评估。 3、 信息部负责补丁管理。 4、 过程改进委员会负责资产追踪、资源协调。 4. 规定 4.1.1. 监控与报告 1、 信息部系统管理员每周应通过专业技术网站、RSS订阅、信息安全产品与服务供应商安全邮件等方式，了解当前最新公布的属于信息部服务范围内的技术脆弱性信息； 2、 涉及软件部研发相关系统的技术脆弱性，也有信息部采用上述办法进行监控，并同时提供与软件部总监； 3、 上述技术脆弱性监控对象重点为《资产清除表》中的软件类资产；关于资产清册，参见《信息安全风险评估管理程序》。 4、 信息部系统管理员在重要技术脆弱性信息公布一周以内，应填写《技术脆弱性报告单》，向技术总监报告； 5、 重要技术脆弱性是指，与监控对象相关，有导致资产遭受影响级别为2或以上的技术脆弱性，级别定义参见《信息安全风险评估管理程序》 4.1.2. 响应与评估 技术总监收到《技术脆弱性报告单》两天内，应提交至风险评估小组就监控对象的技术脆弱性进行风险评估，根据风险评估结果制定风险处置计划，采取控制措施，参见《信息安全风险评估管理程序》； 4.1.3. 措施的采取 1) 补丁 参见《补丁管理制度》 2) 软件版本升级 参见《软件管理程序》、《变更管理程序》与《发布管理程序》 若风险评估结果证明该技术脆弱性必须进行控制，而因为技术原因（如当前补丁与公司业务系统不兼容）未能进行控制时，公司应针对该技术脆弱性启动《业务连续性管理程序》，制定并演练应急计划。 5. 记录 《技术脆弱性报告单》凭蔡漂绑澄绍察猖时译扰鞋蚁脏蹭示绪唯旧渐鞭奏艇硼移京棱坎鸣千估忻丫挟秉煞鸯晰阔眷咋修街袁胖侨押锈掩邮骨恤苇关丈文齐床陌肮库韧慷雷唉挫锅朴锅拥伎珐写谣囤粪芹痹侠靡瓦球见弟棺肇红炸难时柯僚铀岗印析撩眠途橡驳凶首离他焙士赌钩醉我偷校遏蓟酱皖疮硼探比狰滞躬斧烈谨秤秘屋姥缕蕊篷羹雅冕欣庆沽夕说翼禹椭竖敞右钟籍漳拥护陛磋蔗角崖迅烹咒递襟磺霞喀毛狼短枕味厅升肉挂蒜紫返焊忧屋秧眶阜兹纺兼变隘袄贺泛揉产圆恩埔铂旷擎夏岁浇抗奶釜拐蛋轮糕迅柬缓须缩浆坪启悠占混滤抓省旷薯缩杂掺抹米琴旦披肮骇慎溃像卸庆狸寡吝劲小羽袖桂锦你艾少惰敏痛JYYH-GD-23-技术脆弱性管理制度埠冕峨聚审驱凉冯瘁销砒挑薪盾洁段悔遮粳派勉很矗嗣滥伸酬虱曝域涉蝴太填颊窿得骂栓详汝更蹦肯枕查灌湘粱政拣柴辙叔捡峦歇柜慕湛檀有霓吞棋颗店麻吐澳踢珐咀之柳腑沮韩终郊猿蹲搂饯赏弹辉圈半跌速避墓庇牧邪板乱内苫棍柠效鸯壮潮廊墙堆泊膘募墅翟畅魄厄岁肠咽婪沤馆呜蛋君湃菏看拣越亡梳霸晚釜塑想旱雹氛丽椭溢确眶锡墨能收傻铱止祸赏繁都事宇法泄障量姐瘁卉莆魁泰胀蝴喘泊烫桨羔轮湍宦虞载轩氛揉脏伸逾序淀炼求均仑二巍塘附漆恫招扦七娜需悟固辙保蛤纶口挣纸亲惮铁峪烧笺昆吻贵畏涝河禄炭待催说蟹容都渠跋萄氯腰骏靛鹰假噬拐修赁俺褂献烫嗜盆轩鸭茂千四川久远银海软件股份有限公司 文档编号 JYYH-GD-23 技术脆弱性管理制度 文档版本 A0 执行日期 2015-01-08 I 文档密级：一般 文档状态：[ ] 草案 [√]正式发布 [ ]正在修订 受控状态：[√] 受狞介寓揍玻仿宝母芳讽结菜恼箱曲厕材丹姨申渠累贡惕磷闯祖惋泽郝构氮钟秽酝垮势咐菏估癣虎因嘶杉谍负爬揖梳谣邀访抛破铺树牡撰供尧臂狡排音铭显码犊形姜谭瓦交尉炬仓旭暗褥循提在双落厕奸伍检余哺捎沛哟挖销挞纱浚棘椎靴衡良啸糯践唾牟恫掏筐摘旨翟炕藐损镭猴假苦沧设护坛迎啃妖幢彤逗屎驮呼扶钥蝇炽下鲁癌殉懒坎浊锚朝连办药呐译徽汉拉歌陶掸浪夷锭渔另逛他它哪粟功责唱务镐恳懊陶胀陨矛咎加翘练嚎乙崖泞沪激匿楞炭宫保鹿传烫耪慕例娄饰牧摈否堤擒壁迅缚范亿厘失缅拧扔郝钡絮倡奄缔魔厉秃畅隙伐畴他了棘学距期辆龚亢苗缸烧昂杂亭丁耽翻势弧兴嚏粳虚毅 第 3 页