安全漏洞管理制度
1引言
1.1目的
信息系统安全漏洞的发现、评估及处理过程。

保障尽早发现安全漏洞，及时消除安全隐患。

加快安全处理响应时间，加强信息资产安全。

1.2对象
本制度阅读对象为公司所有的运维人员、产品开发人员、测试和质量保障人员等。

各产品开发、运营、系统运维、质量测试等部门负责人应通读并认真执行本制度中与其职责相关的要求。

1.3范围
本制度中的信息系统描述适用于公司所有系统：
应用系统：所有业务相关应用系统，包括自主开发和外购产品。

操作系统：Windows、Linux和UNIX等。

数据库：Oracle、MySQL、Sql Server等。

中间件：Tomcat，Apache，Nginx等。

网络设备：交换机、路由器等。

安全设备：安全管理、审计、防护设备等。

2漏洞获知
漏洞获知通常有如下方式：
➢来自软、硬件厂商和国际、国内知名安全组织的安全通告。

➢单位信息安全部门工作人员的渗透测试结果及安全评审意见。

➢使用安全漏洞评估工具扫描。

➢来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知。

3级别定义和处理时间要求
3.1级别定义
对于没有CVE评级的安全漏洞统一参考附录一标准进行漏洞评级。

3.1.1高风险漏洞定义
1.操作系统层面：依据CVE标准。

2.网络层面：依据CVE标准。

3.数据库层面：依据CVE标准。

4.中间件（包括应用组件包）：依据CVE标准。

5.单位自主开发的业务应用：详见附录一。

3.1.2中风险漏洞定义
1操作系统层面：依据CVE标准。

2网络层面：依据CVE标准。

3.数据库层面：依据CVE标准。

4.中间件（包括应用组件包）：依据CVE标准。

5.单位自主开发的业务应用：详见附录一。

3.1.3漏洞处理原则
1.所有高、中风险必须在规定时间内完成修复。

2.对于有关安全漏洞的修复方案经评估后会影响系统稳定或短期
不能找到解决方案的漏洞，由信息安全部会同有关部门出具体解决方案。

4职责
1.定期对单位生产系统使用的应用软件及第三方组件进行漏洞监。