银行系统安全补丁管理办法模版.doc

《银行系统安全补丁管理办法模版.doc》由会员分享，可在线阅读，更多相关《银行系统安全补丁管理办法模版.doc（5页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、系统安全补丁管理办法编制部门： 版 次 号： 生效日期：xx年06月01日目 录修改与审批记录3第一章总则4第二章补丁管理流程说明4第三章附则6附件：6第一章 总则第一条 为了规范银行（以下简称“本行”）及所辖分、支行信息系统安全补丁管理操作流程，保护信息系统安全，根据银行信息科技管理基本制度，特制订本管理办法。第二条 本办法适用于本行及所辖分、支行计算机信息系统（包括未联网计算机）系统补丁的管理工作。第三条 本办法所提安全补丁，是指为软件或操作系统提供的，用于修复一个或多个安全漏洞的补丁或软件的更新程序，主要包括：(一) 第三方商业软件的更新程序；(二) 安全软件更新程序；(三) 操作系统安

2、全补丁。第二章 补丁管理流程说明第四条 应当指定专人进行安全补丁管理工作，包括补丁公告和补丁列表的维护工作：(一) 系统：负责业务系统相关安全补丁；(二) 设备：负责WINDOWS平台相关安全补丁（包括IIS等MICROSOFT颁布的补丁）；(三) 网络：负责网络设备相关安全补丁；(四) 设备：负责安全产品相关安全补丁。第五条 检查所有补丁的来源：(一) 可信来源；(二) 交付手段可靠，内容不会被篡改；(三) 如果可能，在收到软件后，用防病毒软件检查。第六条 补丁更新检查周期：(一) 负责各个系统安全补丁公告的系统管理员在每月的第一周检查供应商的补丁列表及公告牌，了解有关软件的补丁发布情况并在

3、内部网上进行发布；(二) 当供应商发布紧急的非常规的安全补丁时，相关系统管理员必须立即进行响应，发布补丁公告。第七条 补丁评估：(一) 补丁评估人员的指定：补丁进行发布后，由负责补丁管理的系统管理员负责组织补丁的评估工作。补丁的评估工作由负责补丁管理工作的系统管理员、系统网络安全管理员、应用开发安全协调员共同完成。对于可能需要其他人员参加评估的，由系统管理员提出要求并进行联系。(二) 补丁评估是对补丁的级别做出判断，按照如下方法进行：1. 紧急：如果厂商建议的安全级别为紧急的，且可能会造成严重的安全后果的，该补丁级别即为紧急；2. 高：如果厂商建议的安全级别为较高，受影响的服务器范围较大，可能

4、涉及较为广泛的受影响的服务器范围；3. 受影响的网络范围；4. 受影响的PC/终端范围；5. 是否影响到关键业务的应用，进行适当的风险判断（资产、威胁、漏洞等）；6. 已经知道该事件的人员范围；7. 可能被利用的漏洞以及漏洞载体；8. 使用了什么类型的攻击方法；9. 是否取得权限，取得了什么样的权限；10. 事件的当前状态，是否可以立即解决。第八条 补丁级别：补丁级别实施期限紧急立即高10天之内中60天之内低无明确要求，根据需要定义第九条 进行审核、测试：(一) 在使用前，作为变更管理的一部分，在测试环境中检查其功能，以及对系统是否有负面影响进行测试。(二) 制订变更计划以及变更恢复计划。必要时，提交服务提供商进行测试并提出测试建议。第十条 在补丁测试和安装时，应用系统管理员必须给予技术支持。第十一条 涉及应用的补丁必须提交变更管理申请。第三章 附则第十二条 本办法由银行总行负责制定、解释和修改。第十三条 本办法自发布之日起施行。附件：本办法无附件。