2024年5月26日发(作者:)

补丁及安全漏洞及安全漏洞管理制度

第一章 总 则

第一条 目的

为了公司计算机系统安全稳定,避免或降低因系统漏洞及脆

弱性对公司信息资产带来的风险,特制定本管理规定。

第二条 适用范围

本管理规定适用于公司全体员工所使用的服务器操作系统、

工作站操作系统、PC机及笔记本电脑系统、各类数据库、应用

系统的补丁及安全漏洞管理。

第三条 职责

(一)各部门负责所辖服务器系统、数据库及应用平台补丁

及安全漏洞管理控制工作;所辖服务器系统、数据库及应用平台

补丁及安全漏洞测试、更新及安装;为各部门桌面计算机及笔记

本电脑系统补丁及安全漏洞管理提供技术性支持。

(二)各部门员工负责本人管理服务器设备和使用的系统补

丁及安全漏洞升级。

第二章 工作过程及规定

第四条 影响评估

在正式升级补丁及安全漏洞前,信息安全管理部门应考虑以

下方面的安全要求:

(一)升级补丁及安全漏洞对目前业务的影响;

(二)操作系统的变更对应用系统的影响;

(三)变坚实施前应进行安全测试(重要或紧急补丁及安全

- 1 -

漏洞,以软件供应商的定义为准);

(四)不成功的变更恢复措施(重要或紧急补丁及安全漏洞,

以软件供应商的定义为准)。

第五条 补丁及安全漏洞的获取

(一)补丁及安全漏洞重要、紧急及普通的区别以软件供应

商的定义为准;

(二)信息安全管理部门应及时关注涉及公司核心业务的操

作系统、数据库、应用系统的软件供应商发布的补丁及安全漏洞

信息,对于软件供应商发布的重要、紧急补丁及安全漏洞,信息

安全管理部门必须在补丁及安全漏洞发布两天内向软件供应商获

取最新补丁及安全漏洞。

(三)重要、紧急补丁及安全漏洞,信息安全管理部门获取

后,必须完成影响评估与测试,编制重要补丁及安全漏洞测试报

告,提交部门经理审批后,方可安装,更多要求参见公司相关策

略。

(四)若计算机或服务器可以访问互联网,对于普通补丁及

安全漏洞升级,可以通过公司计算机或服务器安装的安全软件或

系统的自动更新功能自动进行获取。

(五)若因计算机或服务器不能访问互联网而导致不能获取

普通补丁及安全漏洞,则信息安全管理部门应在新补丁及安全漏

洞发布一周内,将新补丁及安全漏洞下载并刻录于光盘上,交由

相关设备管理人员升级补丁及安全漏洞。

(六)普通 PC 机及笔记本电脑用户每周应自我检查本人

PC 或笔记本电脑系统(包括操作系统与主要应用系统)补丁及

- 2 -

安全漏洞升级状况,确保补丁及安全漏洞升级至最新。

(七)信息安全管理部门每周应抽查服务器系统(包括操作

系统与主要应用系统)补丁及安全漏洞升级状况;

(八)公司高级管理人员使用计算机,可以指定信息安全管

理部门IT人员负责其补丁及安全漏洞升级,信息安全管理部门

应同时提供两人承担此项工作,一人操作一人监控,且相关设备

不可带出其所有者办公区域;

第六条 重提紧急补丁及安全漏洞的放置于测试

(一)信息安全管理部门必须对获取的重要、紧急补丁及安

全漏洞进行测试;

(二)测试完成后,信息安全管理部门应编制《重要、紧急

补丁及安全漏洞测试报告》;

(三)通过测试的重要、紧急补丁及安全漏洞连同测试报告

及安装使用说明一同放置于指定服务器位置或刻录光盘并通过内

部公告通知公司员工进行安装升级;

(四)若重要、紧急补丁及安全漏洞未通过测试,则信息安

全管理部门应及时联系软件供应商,寻求技术支持,在问题未解

决期间,信息安全管理部门应安排人员严密监控系统运行,做好

数据备份或设备冗余;

第七条 重要、紧急补丁及安全漏洞的升级

(一)测试通过后,各系统使用者接到信息安全管理部门升

级通知后应及时进行备份,并升级补丁及安全漏洞;

(二)如升级过程中出现特例的升级冲突,应及时联系信息

安全管理部门支持,恢复备份系统或回退至原有状态;

- 3 -

(三)对特例的升级冲突,应立即组织对特例环境下该补丁

及安全漏洞包的重新测试,如问题不能得到解决应及时寻求软件

供应商支持。

第三章 其它及处罚

第八条 记录

集、归档、保管。

第九条 处罚

予相应的处罚。

补丁及安全漏洞管理过程相关记录由信息安全管理部门门收

对造成公司损失的责任单位和责任人,视情节轻重通报和给

- 4 -