1. 目的
為規(guī)范公司操作系統(tǒng)及其他網絡設備的安全補丁管理操作流程,保護信息系統(tǒng)安全��,特制定本規(guī)定���。
2. 引用文件
(1) 下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款��。凡是注日期的引用文件����,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本標準,然而���,鼓勵各部門研究是否可使用這些文件的最新版本�。凡是不注日期的引用文件,其最新版本適用于本標準���。
(2) ISO/IEC27001:2005信息技術-安全技術-信息安全管理體系要求
(3) ISO/IEC27002:2005信息技術-安全技術-信息安全管理實施細則
3. 職責與權限
技術部:負責操作系統(tǒng)及網絡設備安全補丁管理工作�����,包括補丁公告�、補丁評估和補丁列表的維護工作:
(1) 負責應用系統(tǒng)和數據庫系統(tǒng)相關安全補丁�����。
(2) 負責WINDOWS平臺相關安全補?����。ò∣ffice等MICROSOFT頒布的補?���。?/p>
(3) 負責網絡設備相關安全補丁�。
(4) 負責安全產品相關安全補丁。
4. 補丁管理規(guī)定
Windows操作系統(tǒng)補?���。?/p>
(1) 公司重要服務器的補丁由技術部下載����、測試及安裝���。綜合部的開發(fā)服務器����,由技術部進行補丁的下載���、測試及安裝。
(2) 技術部在發(fā)現windows操作系統(tǒng)發(fā)布新補丁后�����,在公司的公共平臺上發(fā)出補丁更新通告���,各部門的負責人統(tǒng)一安排部門進行補丁升級�����。
(3) 技術部每季度對補丁更新情況進行抽查��。
5. 其他補?��。?/p>
(1) 技術部制定《補丁管理策略明細表》��,評審并明確需要進行補丁管理的補丁類型����。
(2) 評審并明確需要進行補丁測試的補丁類型�����。
(3) 對重要服務器進行評審�����,得出在升級系統(tǒng)補丁前應進行測評的服務器列表,填寫《重要服務器補丁測試記錄表》
(4) 對需要手工下載管理的補丁類型�,需要檢查補丁的來源是可靠的,如果可能���,在收到補丁包后���,用防病毒軟件檢查。
(5) 服務器在安裝補丁應采用手工升級���,并延遲補丁發(fā)布后一星期��,避免最新補丁本身問題給服務器帶來的風險��。
(6) 當供應商發(fā)布緊急的非常規(guī)的安全補丁時���,系統(tǒng)管理員備份好系統(tǒng)后����,必須立即進行響應���。
(7) 對重要服務器的補丁每季度進行一次檢查。并填寫《重要服務器補丁檢查表》.
(8) 重要網絡設備的補丁每季度進行一次檢查�����。并填寫《網絡設備補丁檢查表》.
6. 實施策略
(1) 補丁管理規(guī)定中涉及到的表單包括《補丁管理策略明細表》��、《重要服務器補丁檢查表》���、《重要服務器補丁測試記錄》��、《網絡設備補丁檢查表》4個表單��。
(2) 技術部制定《補丁管理策略明細表》
(3) 技術部對重要服務器在升級系統(tǒng)補丁前應進行測評,填寫《重要服務器補丁測試記錄表》
(4) 技術部對重要服務器/網絡設備的補丁每季度進行一次檢查�。并填寫《重要服務器補丁檢查表》和《網絡設備補丁檢查表》.
7. 相關記錄
本程序發(fā)生的記錄匯總表
表1-1 ISMS文件日常應用表
| 表號 | 記錄編號 | 記錄名稱 | 保管
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?場所 | 保存期限 | 保存形式 | 備注 |
| 表A.1 | ISMS-3019-01 | 補丁管理策略明細表 | 綜合部 | 3年 | 電子 |
|
| 表A.2 | ISMS-3019-02 | 重要服務器補丁測試記錄表 | 綜合部 | 3年 | 電子 |
|
| 表A.3 | ISMS-3019-03 | 重要服務器補丁檢查表 | 綜合部 | 3年 | 紙質 |
|
| 表A.4 | ISMS-3019-04 | 網絡設備補丁檢查表 | 綜合部 | 3年 | 紙質 |
|
