1. 目的
為規(guī)范公司操作系統(tǒng)及其他網(wǎng)絡(luò)設(shè)備的安全補(bǔ)丁管理操作流程,保護(hù)信息系統(tǒng)安全,特制定本規(guī)定。
2. 引用文件
(1) 下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn),然而,鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)。
(2) ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求
(3) ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則
3. 職責(zé)與權(quán)限
技術(shù)部:負(fù)責(zé)操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備安全補(bǔ)丁管理工作,包括補(bǔ)丁公告、補(bǔ)丁評(píng)估和補(bǔ)丁列表的維護(hù)工作:
(1) 負(fù)責(zé)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)相關(guān)安全補(bǔ)丁。
(2) 負(fù)責(zé)WINDOWS平臺(tái)相關(guān)安全補(bǔ)?。ò∣ffice等MICROSOFT頒布的補(bǔ)?。?。
(3) 負(fù)責(zé)網(wǎng)絡(luò)設(shè)備相關(guān)安全補(bǔ)丁。
(4) 負(fù)責(zé)安全產(chǎn)品相關(guān)安全補(bǔ)丁。
4. 補(bǔ)丁管理規(guī)定
Windows操作系統(tǒng)補(bǔ)?。?/p>
(1) 公司重要服務(wù)器的補(bǔ)丁由技術(shù)部下載、測(cè)試及安裝。綜合部的開(kāi)發(fā)服務(wù)器,由技術(shù)部進(jìn)行補(bǔ)丁的下載、測(cè)試及安裝。
(2) 技術(shù)部在發(fā)現(xiàn)windows操作系統(tǒng)發(fā)布新補(bǔ)丁后,在公司的公共平臺(tái)上發(fā)出補(bǔ)丁更新通告,各部門的負(fù)責(zé)人統(tǒng)一安排部門進(jìn)行補(bǔ)丁升級(jí)。
(3) 技術(shù)部每季度對(duì)補(bǔ)丁更新情況進(jìn)行抽查。
5. 其他補(bǔ)?。?/p>
(1) 技術(shù)部制定《補(bǔ)丁管理策略明細(xì)表》,評(píng)審并明確需要進(jìn)行補(bǔ)丁管理的補(bǔ)丁類型。
(2) 評(píng)審并明確需要進(jìn)行補(bǔ)丁測(cè)試的補(bǔ)丁類型。
(3) 對(duì)重要服務(wù)器進(jìn)行評(píng)審,得出在升級(jí)系統(tǒng)補(bǔ)丁前應(yīng)進(jìn)行測(cè)評(píng)的服務(wù)器列表,填寫《重要服務(wù)器補(bǔ)丁測(cè)試記錄表》
(4) 對(duì)需要手工下載管理的補(bǔ)丁類型,需要檢查補(bǔ)丁的來(lái)源是可靠的,如果可能,在收到補(bǔ)丁包后,用防病毒軟件檢查。
(5) 服務(wù)器在安裝補(bǔ)丁應(yīng)采用手工升級(jí),并延遲補(bǔ)丁發(fā)布后一星期,避免最新補(bǔ)丁本身問(wèn)題給服務(wù)器帶來(lái)的風(fēng)險(xiǎn)。
(6) 當(dāng)供應(yīng)商發(fā)布緊急的非常規(guī)的安全補(bǔ)丁時(shí),系統(tǒng)管理員備份好系統(tǒng)后,必須立即進(jìn)行響應(yīng)。
(7) 對(duì)重要服務(wù)器的補(bǔ)丁每季度進(jìn)行一次檢查。并填寫《重要服務(wù)器補(bǔ)丁檢查表》.
(8) 重要網(wǎng)絡(luò)設(shè)備的補(bǔ)丁每季度進(jìn)行一次檢查。并填寫《網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表》.
6. 實(shí)施策略
(1) 補(bǔ)丁管理規(guī)定中涉及到的表單包括《補(bǔ)丁管理策略明細(xì)表》、《重要服務(wù)器補(bǔ)丁檢查表》、《重要服務(wù)器補(bǔ)丁測(cè)試記錄》、《網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表》4個(gè)表單。
(2) 技術(shù)部制定《補(bǔ)丁管理策略明細(xì)表》
(3) 技術(shù)部對(duì)重要服務(wù)器在升級(jí)系統(tǒng)補(bǔ)丁前應(yīng)進(jìn)行測(cè)評(píng),填寫《重要服務(wù)器補(bǔ)丁測(cè)試記錄表》
(4) 技術(shù)部對(duì)重要服務(wù)器/網(wǎng)絡(luò)設(shè)備的補(bǔ)丁每季度進(jìn)行一次檢查。并填寫《重要服務(wù)器補(bǔ)丁檢查表》和《網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表》.
7. 相關(guān)記錄
本程序發(fā)生的記錄匯總表
表1-1 ISMS文件日常應(yīng)用表
表號(hào) | 記錄編號(hào) | 記錄名稱 | 保管 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?場(chǎng)所 | 保存期限 | 保存形式 | 備注 |
表A.1 | ISMS-3019-01 | 補(bǔ)丁管理策略明細(xì)表 | 綜合部 | 3年 | 電子 | |
表A.2 | ISMS-3019-02 | 重要服務(wù)器補(bǔ)丁測(cè)試記錄表 | 綜合部 | 3年 | 電子 | |
表A.3 | ISMS-3019-03 | 重要服務(wù)器補(bǔ)丁檢查表 | 綜合部 | 3年 | 紙質(zhì) | |
表A.4 | ISMS-3019-04 | 網(wǎng)絡(luò)設(shè)備補(bǔ)丁檢查表 | 綜合部 | 3年 | 紙質(zhì) |