信息系统安全漏洞评估及管理制度V1.0.doc
《信息系统安全漏洞评估及管理制度V1.0.doc》由会员分享,可在线阅读,更多相关《信息系统安全漏洞评估及管理制度V1.0.doc(9页珍藏版)》请在咨信网上搜索。
1、四川长虹虹微公司发布 实施 发布信息系统安全漏洞评估及管理制度四川长虹电器股份有限公司虹微公司管理文件目录1概况21.1 目的21.2 目的22正文22.1. 术语定义22.2. 职责分工32.3. 安全漏洞生命周期32.4. 信息安全漏洞管理32.4.1原则32.4.2风险等级42.4.3评估范围52.4.4整改时效性52.4.5实施63例外处理74检查计划85解释86附录81 概况1.1 目的1、规范集团内部信息系统安全漏洞(包括操作系统、网络设备和应用系统)的评估及管理,降低信息系统安全风险;2、明确信息系统安全漏洞评估和整改各方职责。1.2 适用范围本制度适用于虹微公司管理的所有信息系
2、统,非虹微公司管理的信息系统可参照执行。2 正文2.1. 术语定义2.1.1. 信息安全 Information security保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。2.1.2. 信息安全漏洞 Information security vulnerability信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体利用,就会对信息系统的安全造成损害,影响信息系统的正常运行。2.1.3. 资产 Asset安全策略中,需要保护的对象,包括信息、数据和资源等
3、等。2.1.4. 风险 Risk资产的脆弱性利用给定的威胁,对信息系统造成损害的潜在可能。风险的危害可通过事件发生的概率和造成的影响进行度量。2.1.5. 信息系统(Information system)由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统,本制度信息系统主要包括操作系统、网络设备以及应用系统等。2.2. 职责分工2.2.1. 安全服务部:负责信息系统安全漏洞的评估和管理,漏洞修复的验证工作,并为发现的漏洞提供解决建议。2.2.2. 各研发部门研发部门负责修复应用系统存在的安全漏洞,并根据本制度的要求提供应用系统的测试环
4、境信息和源代码给安全服务部进行安全评估。2.2.3. 数据服务部数据服务部负责修复生产环境和测试环境操作系统、网络设备存在的安全漏洞,并根据本制度的要求提供最新最全的操作系统和网络设备的IP地址信息。2.3. 安全漏洞生命周期依据信息安全漏洞从产生到消亡的整个过程,信息安全漏洞的生命周期可分为以下几个阶段:a) 漏洞的发现:通过人工或自动的方法分析、挖掘出漏洞的过程,且该漏洞可被验证和重现。b) 漏洞的利用:利用漏洞对信息系统的保密性、完整性和可用性造成破坏的过程。c) 漏洞的修复:通过补丁、升级版本或配置策略等方法对漏洞进行修补的过程,使该漏洞不能被利用。d) 漏洞的公开:通过公开渠道(如网
5、站、邮件列表等)公布漏洞信息的过程。2.4. 信息安全漏洞管理2.4.1 原则信息安全漏洞管理遵循以下:a) 分级原则:应根据对业务影响程度,对安全漏洞进行分级;同时对不同级别的安全漏洞执行不同的处理要求;b) 及时性原则:安全服务部应及时把发现的漏洞发布给相关的负责人;各部门在对安全漏洞进行整改时,及时出具整改方案,及时进行研发或更新补丁和加固,及时消除漏洞与隐患; c) 安全风险最小化原则:在处理漏洞信息时应以信息系统的风险最小化为原则;d) 保密性原则:对于未修复前的安全漏洞,必须严格控制评估报告发放范围,对评估报告中敏感的信息进行屏蔽。2.4.2 风险等级充分考虑漏洞的利用难易程度以及
6、对业务的影响情况,采取DREAD模型对安全漏洞进行风险等级划分。在量化风险的过程中,对每个威胁进行评分,并按照如下的公司计算风险值:Risk = D + R + E + A + DDREAD模型类别 等级高(3)中(2)低(1)Damage Potential潜在危害获取完全权限;执行管理员操作;非法上传文件等等泄露敏感信息泄露其他信息Reproducibility重复利用可能性攻击者可以随意再次攻击攻击者可以重复攻击,但有时间或其他条件限制攻击者很难重复攻击过程Exploitability利用的困难程度初学者在短期内能掌握攻击方法熟练的攻击者才能完成这次攻击漏洞利用条件非常苛刻Affecte
7、d users影响的用户范围所有用户,默认配置,关键用户部分用户,非默认配置极少数用户,匿名用户Discoverability发现的难易程度漏洞很显眼,攻击条件很容易获得在私有区域,部分人能看到,需要深入挖掘漏洞发现该漏洞极其困难说明:每一项都有3个等级,对应着权重,从而形成了一个矩阵。表一:安全漏洞等级评估模型最后得出安全漏洞风险等级:计算得分安全漏洞风险等级5-7分低风险8-11分中风险12-15分高风险表二:风险等级对应分数2.4.3 评估范围1) 安全服务部应定期对信息系统进行例行的安全漏洞评估,操作系统层面的评估主要以自动化工具为主,应用系统层面评估以自动化工具和手动测试相结合。2)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 漏洞 评估 管理制度 V1
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。