企业计算机丁管理办法.doc

前 言 为加强xx公司计算机补丁的管理，规范补丁的测试、安装部署流程，保证计算机补丁及时更新，确保公司信息网络安全稳定运行，特制定本办法。 本办法由xx公司信息部提出。 本办法由xx公司归口管理。 本办法由xx公司信息部负责解释。 本办法主要起草单位： 本办法协助起草单位： 本办法主要起草人： 目 次 1 总则 1 2 术语和定义 1 3 职责 1 4 管理内容与方法 2 5 附则 3 xx公司 计算机补丁管理办法 总则 为加强xx公司计算机补丁的管理，规范补丁的测试、安装部署流程，保证计算机补丁及时更新，确保公司信息网络安全稳定运行，特制定本办法。 本办法适用于xx公司所属各单位 术语和定义 计算机漏洞：指在软件、协议的具体实现或系统安全策略上存在缺陷，攻击者可利用其缺陷在未授权的情况下访问或破坏系统。根据漏洞对系统可能造成的潜在威胁、影响范围、被发现的可能性 重大补丁：指与严重性等级为高、中漏洞对应的计算机补丁。 一般补丁：指与严重性等级为低、可忽略漏洞对应的计算机补丁。 职责 管理职责 信息管理部门职责 3.1.1.1 负责制订计算机补丁管理相关标准和规范。 3.1.1.2 负责监督、指导信息运维部门的计算机补丁管理。 3.1.1.3 负责发布计算机安全预警和安全通告。 信息运维部门职责 3.1.2.1 负责贯彻执行计算机补丁管理相关标准和规范。 3.1.2.2 负责计算机补丁的下载、测试、评估、安装、验证和归档等日常运行维护工作。 角色职责 安全管理员职责 3.2.1.1 负责跟踪各类计算机补丁信息，负责发布安全预警与安全通告。 3.2.1.2 负责对漏洞的威胁、成因和严重性进行评估。 3.2.1.3 负责提出漏洞修补要求和相关防护措施。 系统管理员职责 3.2.2.1 负责对补丁安装的必要性、风险等进行评估。 3.2.2.2 负责组织补丁的测试与安装。 补丁测试员职责 3.2.3.1 负责搭建补丁测试环境。 3.2.3.2 负责补丁的测试与记录。 补丁安装员职责 3.2.4.1 负责补丁的下载、分发与安装。 3.2.4.2 负责解决补丁安装或分发过程中出现的问题，负责补丁的回退。 管理内容与方法 基本原则 补丁应由信息部门统一进行下载、测试和安装，未经许可，不可私自下载安装。 为确保信息系统安全可用，原则上要求紧急补丁7天内完成安装，重要补丁15天内完成安装，一般补丁1个月内完成安装。 对于刚发布的漏洞（无补丁）和测试未通过的补丁，可采用临时解决办法消除漏洞的威胁或者暂时接受该风险；对于影响范围大、高危险的漏洞须在公共平台上发布预警信息。 补丁获取 由安全管理员负责收集各类漏洞信息，跟踪必威体育精装版的补丁信息。 补丁来源须为原厂商、安全机构、安全组织、安全公司的官方网站或原厂商工作人员，若补丁支持校验，必须进行安全校验，防止补丁恶意篡改。 补丁安装前须经严格的测试，测试未通过的补丁禁止安装，补丁测试结果应有记录，记录表格式见附录A。 补丁测试内容包括安装测试、功能性测试、兼容性测试和回退测试。 安装测试验证补丁安装过程是否正确无误，补丁安装后系统是否可正常启动。 功能性测试验证补丁是否已修补漏洞。 兼容性测试验证补丁安装后是否影响应用系统，应用系统是否可正常运行。 回退测试为补丁的卸载与还原测试。 对于公司统一版本的应用系统，应由上级信息部门统一对操作系统、数据库、中间件补丁进行测试和评估。 测试中发现问题做详细分析，判断发生原因并及时解决不能解决记录发生问题的环境，立即反馈厂商 补丁安装 系统管理员应分析IT环境和重要等级， 对于重要的信息系统，补丁安装前须先做好系统和数据备份工作，确保任何的操作均可回退。 服务端补丁的安装须安排在业务空闲时间进行，补丁安装过程须详细记录。 补丁验证 补丁安装完成后，补丁安装员应核查系统信息，同时进行系统兼容性测试与安装测试，确保补丁已成功安装、系统可正常运行。测试未通过时，应启动回退操作。 补丁安装后7天内，系统管理员应密切监控系统的运行情况。 补丁归档 补丁安装员应定期编写补丁安装报告，内容包括补丁类型、补丁编号、补丁安装范围、补丁未安装范围、补丁未安装原因等，补丁安装报告格式见附录B。 补丁安装员应对补丁程序进行归档，以备系统重装时使用。 附则 本办法由xx公司信息部负责解释。 本办法自颁布之日起执行。 附录A：补丁测试记录表 序号 补丁类型 补丁编号 补丁等级 影响范围 测试结果 测试人 测试日期 附录B：补丁安装报告 报告人： 报告日期：