1. 目的
为规范公司操作系统及其他网络设备的安全补丁管理操作流程,保护信息系统安全,特制定本规定。
2. 引用文件
(1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
(2) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求
(3) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则
3. 职责与权限
技术部:负责操作系统及网络设备安全补丁管理工作,包括补丁公告、补丁评估和补丁列表的维护工作:
(1) 负责应用系统和数据库系统相关安全补丁。
(2) 负责WINDOWS平台相关安全补丁(包括Office等MICROSOFT颁布的补丁)。
(3) 负责网络设备相关安全补丁。
(4) 负责安全产品相关安全补丁。
4. 补丁管理规定
Windows操作系统补丁:
(1) 公司重要服务器的补丁由技术部下载、测试及安装。综合部的开发服务器,由技术部进行补丁的下载、测试及安装。
(2) 技术部在发现windows操作系统发布新补丁后,在公司的公共平台上发出补丁更新通告,各部门的负责人统一安排部门进行补丁升级。
(3) 技术部每季度对补丁更新情况进行抽查。
5. 其他补丁:
(1) 技术部制定《补丁管理策略明细表》,评审并明确需要进行补丁管理的补丁类型。
(2) 评审并明确需要进行补丁测试的补丁类型。
(3) 对重要服务器进行评审,得出在升级系统补丁前应进行测评的服务器列表,填写《重要服务器补丁测试记录表》
(4) 对需要手工下载管理的补丁类型,需要检查补丁的来源是可靠的,如果可能,在收到补丁包后,用防病毒软件检查。
(5) 服务器在安装补丁应采用手工升级,并延迟补丁发布后一星期,避免最新补丁本身问题给服务器带来的风险。
(6) 当供应商发布紧急的非常规的安全补丁时,系统管理员备份好系统后,必须立即进行响应。
(7) 对重要服务器的补丁每季度进行一次检查。并填写《重要服务器补丁检查表》.
(8) 重要网络设备的补丁每季度进行一次检查。并填写《网络设备补丁检查表》.
6. 实施策略
(1) 补丁管理规定中涉及到的表单包括《补丁管理策略明细表》、《重要服务器补丁检查表》、《重要服务器补丁测试记录》、《网络设备补丁检查表》4个表单。
(2) 技术部制定《补丁管理策略明细表》
(3) 技术部对重要服务器在升级系统补丁前应进行测评,填写《重要服务器补丁测试记录表》
(4) 技术部对重要服务器/网络设备的补丁每季度进行一次检查。并填写《重要服务器补丁检查表》和《网络设备补丁检查表》.
7. 相关记录
本程序发生的记录汇总表
表1-1 ISMS文件日常应用表
| 表号 | 记录编号 | 记录名称 | 保管 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?场所 | 保存期限 | 保存形式 | 备注 |
| 表A.1 | ISMS-3019-01 | 补丁管理策略明细表 | 综合部 | 3年 | 电子 | |
| 表A.2 | ISMS-3019-02 | 重要服务器补丁测试记录表 | 综合部 | 3年 | 电子 | |
| 表A.3 | ISMS-3019-03 | 重要服务器补丁检查表 | 综合部 | 3年 | 纸质 | |
| 表A.4 | ISMS-3019-04 | 网络设备补丁检查表 | 综合部 | 3年 | 纸质 |
