信息系统补丁管理制度.docx

《信息系统补丁管理制度.docx》由会员分享，可在线阅读，更多相关《信息系统补丁管理制度.docx（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息system补丁管控制度1总那么1.1为加强XX公司（以下简称“公司”）补丁的管控，规范补丁部署流程， 保证信息system补丁及时更新，确保公司企业信息网络平安稳定的运行，特制定 本方法。1. 2本方法所涉及的补丁包括操作system补丁、数据库补丁和应用system补 To2适用范围本方法适用范围为XX公司。3职责分工3. 1操作system补丁管控员3. 1. 1负责各操作system （含浏览器、办公软件）补丁的管控。3.1. 2负责收集操作system漏洞信息，跟踪最新补丁信息，评估漏洞威胁、 成因和严重性。3.2. 3负责提出操作system漏洞修补要求和相关防护措施，审批变更

2、计划。3. 2数据库补丁管控员3. 2.1负责各数据库补丁的管控。3. 2. 2负责收集数据库漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和 严重性。3. 2. 3负责提出数据库漏洞修补要求和相关防护措施，审批变更计划。3. 3应用system补丁管控员3. 3. 1负责各应用system （含中间件）补丁的管控。3. 3. 2负责收集应用system漏洞信息，跟踪最新补丁信息，评估漏洞威胁、 成因和严重性。3. 3. 3负责提出应用system漏洞修补要求和相关防护措施，审批变更计划。3. 4补丁测试员3. 4.1负责搭建测试环境，负责测试补丁和测试结果的记录。3. 4. 2负责跟踪最新补

3、丁信息和下载补丁。3. 5补丁安装员3. 5.1负责补丁的安装或分发，负责制订补丁修补计划。3. 5. 2负责解决补丁安装或分发过程中出现的问题。4补丁管控4.1补丁由信通分公司统一进行下载、测试和安装，未经许可，不可私自下载 安装，补丁安装流程见附件1。4. 2补丁来源须为原厂商官方网站或原厂商工作人员，对于非法的补丁禁止安 装。4.3补丁安装前，应先做好system和数据备份工作，防止出现问题进行回退, 经严格测试通过后方可安装，对测试不成功的补丁严禁安装，测试结果记录表见附 件2。4. 4测试中发现的问题应做详尽分析，判断发生问题的原因并及时解决，如果 不能解决，须记录发生问题的环境，立

4、即反应给原厂商。4.5对于刚发布的严重等级漏洞（无补丁）或未通过测试的补丁，可采用临时 解决方法消除漏洞的威胁或者暂时接受该风险。4. 6制订补丁修补计划,须先分析信息资产、ITsystem环境、IT网络环境和 信息资产重要等级，确定需要安装的补丁和相应严重等级，同时确定修补时间、修 补方式方法和修补范围。4. 7补丁安装须先填写变更工单（或工作票），相应补丁管控员和应用system 管控员对变更的必要性、风险和修补计划进行评审，评审通过后由应用system管 控员安排运维人员全过程配合补丁安装员完成补丁的安装和应用system的测试。4.8 补丁安装顺序遵循“资产价值大、威胁等级高优先安装”的原那么。对于漏 洞级别为严重的补丁，无特殊情况须在补丁发布后1星期内安装。单列表。4.9 补丁安装完成后应进行全面检查，以确认补丁安装情况，同时制定补丁清 r-a5附那么5. 1本方法由XX公司信息通信分公司生技部负责解释。5. 2本方法自发布之日起施行。外七附件2:补丁测试结果记录表J补丁类型补丁名严重等级系统环境安装是百正常重启是百正常应用是百正常测试人测试时间