企业计算机补丁管理办法

8360542
1 ℃
2020-01-07

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

前言为加强xx公司计算机补丁的管理，规范补丁的测试、安装部署流程，保证计算机补丁及时更新，确保公司信息网络安全稳定运行，特制定本办法。本办法由xx公司信息部提出。本办法由xx公司归口管理。本办法由xx公司信息部负责解释。本办法主要起草单位：本办法协助起草单位：本办法主要起草人：目次1总则............................................................................12术语和定义.......................................................................13职责............................................................................14管理内容与方法...................................................................25附则............................................................................41xx公司计算机补丁管理办法1总则1.1为加强xx公司计算机补丁的管理，规范补丁的测试、安装部署流程，保证计算机补丁及时更新，确保公司信息网络安全稳定运行，特制定本办法。1.2本办法适用于xx公司所属各单位的计算机补丁管理。2术语和定义2.1计算机漏洞：指在软件、协议的具体实现或系统安全策略上存在缺陷，攻击者可利用其缺陷在未授权的情况下访问或破坏系统。根据漏洞对系统可能造成的潜在威胁、影响范围、被发现的可能性等方面将漏洞分为很高、高、中、低、可忽略五个等级。2.2计算机补丁：用于修复计算机软件缺陷的修补程序，包括操作系统、浏览器、办公软件、数据库和中间件（含Web应用）补丁。2.3紧急补丁：指与严重性等级为很高漏洞对应的计算机补丁。2.4重大补丁：指与严重性等级为高、中漏洞对应的计算机补丁。2.5一般补丁：指与严重性等级为低、可忽略漏洞对应的计算机补丁。3职责3.1管理职责3.1.1信息管理部门职责3.1.1.1负责制订计算机补丁管理相关标准和规范。3.1.1.2负责监督、指导信息运维部门的计算机补丁管理。3.1.1.3负责发布计算机安全预警和安全通告。3.1.2信息运维部门职责3.1.2.1负责贯彻执行计算机补丁管理相关标准和规范。3.1.2.2负责计算机补丁的下载、测试、评估、安装、验证和归档等日常运行维护工作。3.2角色职责23.2.1安全管理员职责3.2.1.1负责跟踪各类计算机补丁信息，负责发布安全预警与安全通告。3.2.1.2负责对漏洞的威胁、成因和严重性进行评估。3.2.1.3负责提出漏洞修补要求和相关防护措施。3.2.2系统管理员职责3.2.2.1负责对补丁安装的必要性、风险等进行评估。3.2.2.2负责组织补丁的测试与安装。3.2.3补丁测试员职责3.2.3.1负责搭建补丁测试环境。3.2.3.2负责补丁的测试与记录。3.2.4补丁安装员职责3.2.4.1负责补丁的下载、分发与安装。3.2.4.2负责解决补丁安装或分发过程中出现的问题，负责补丁的回退。4管理内容与方法4.1基本原则4.1.1补丁应由信息部门统一进行下载、测试和安装，未经许可，不可私自下载安装。4.1.2为确保信息系统安全可用，原则上要求紧急补丁7天内完成安装，重要补丁15天内完成安装，一般补丁1个月内完成安装。4.1.3对于刚发布的漏洞（无补丁）和测试未通过的补丁，可采用临时解决办法消除漏洞的威胁或者暂时接受该风险；对于影响范围大、高危险的漏洞须在公共平台上发布预警信息。4.2补丁获取4.2.1由安全管理员负责收集各类漏洞信息，跟踪最新的补丁信息。4.2.2补丁来源须为原厂商、安全机构、安全组织、安全公司的官方网站或原厂商工作人员，若补丁支持校验，必须进行安全校验，防止补丁恶意篡改。4.3补丁测试4.3.1补丁安装前须经严格的测试，测试未通过的补丁禁止安装，补丁测试结果应有记录，记录表格式见附录A。34.3.2补丁测试内容包括安装测试、功能性测试、兼容性测试和回退测试。4.3.2.1安装测试验证补丁安装过程是否正确无误，补丁安装后系统是否可正常启动。4.3.2.2功能性测试验证补丁是否已修补漏洞。4.3.2.3兼容性测试验证补丁安装后是否影响应用系统，应用系统是否可正常运行。4.3.2.4回退测试为补丁的卸载与还原测试。4.3.3对于公司统一版本的应用系统，应由上级信息部门统一对操作系统、数据库、中间件补丁进行测试和评估。4.3.4测试中发现的问题应做详细分析，判断发生的原因并及时解决。若不能解决，记录发生问题的环境，立即反馈原厂商，同时由安全管理员在公共平台发布通告。4.4补丁安装4.4.1系统管理员应分析IT环境和信息系统重要等级，确定需要安装的补丁，同时明确修补时间、修补方式和修补范围。4.4.2计算机补丁须经系统管理员审批同意后方可进行安装。4.4.3对于重要的信息系统，补丁安装前须先做好系统和数据备份工作，确保任何的操作均可回退。4.4.4服务端补丁的安装须安排在业务空闲时间进行，补丁安装过程须详细记录。4.5补丁验证4.5.1补丁安装完成后，补丁安装员应核查系统信息，同时进行系统兼容性测试与安装测试，确保补丁已成功安装、系统可正常运行。测试未通过时，应启动回退操作。4.5.2补丁安装后7天内，系统管理员应密切监控系统的运行情况。4.6补丁归档4.6.1补丁安装员应定期编写补丁安装报告，内容包括补丁类型、补丁编号、补丁安装范围、补丁未安装范围、补丁未安装原因等，补丁安装报告格式见附录B。4.6.2补丁安装员应对补丁程序进行归档，以备系统重装时使用。45附则5.1本办法由xx公司信息部负责解释。5.2本办法自颁布之日起执行。5附录A：补丁测试记录表序号补丁类型补丁编号补丁等级影响范围测试结果测试人测试日期6附录B：补丁安装报告报告人：报告日期：年月日－年月日序号补丁类型补丁编号补丁等级影响范围安装范围未安装范围未安装原因