1. 目的

為規范公司操作系統及其他網(wǎng)絡(luò )設備的安全補丁管理操作流程，保護信息系統安全，特制定本規定。

2. 引用文件

(1) 下列文件中的條款通過(guò)本規定的引用而成為本規定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門(mén)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。

(2) ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求

(3) ISO/IEC27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細則

3. 職責與權限

技術(shù)部：負責操作系統及網(wǎng)絡(luò )設備安全補丁管理工作，包括補丁公告、補丁評估和補丁列表的維護工作：

(1) 負責應用系統和數據庫系統相關(guān)安全補丁。

(2) 負責WINDOWS平臺相關(guān)安全補?。ò∣ffice等MICROSOFT頒布的補?。?。

(3) 負責網(wǎng)絡(luò )設備相關(guān)安全補丁。

(4) 負責安全產(chǎn)品相關(guān)安全補丁。

4. 補丁管理規定

Windows操作系統補?。?/p>

(1) 公司重要服務(wù)器的補丁由技術(shù)部下載、測試及安裝。綜合部的開(kāi)發(fā)服務(wù)器，由技術(shù)部進(jìn)行補丁的下載、測試及安裝。

(2) 技術(shù)部在發(fā)現windows操作系統發(fā)布新補丁后，在公司的公共平臺上發(fā)出補丁更新通告，各部門(mén)的負責人統一安排部門(mén)進(jìn)行補丁升級。

(3) 技術(shù)部每季度對補丁更新情況進(jìn)行抽查。

5. 其他補?。?/p>

(1) 技術(shù)部制定《補丁管理策略明細表》，評審并明確需要進(jìn)行補丁管理的補丁類(lèi)型。

(2) 評審并明確需要進(jìn)行補丁測試的補丁類(lèi)型。

(3) 對重要服務(wù)器進(jìn)行評審，得出在升級系統補丁前應進(jìn)行測評的服務(wù)器列表,填寫(xiě)《重要服務(wù)器補丁測試記錄表》

(4) 對需要手工下載管理的補丁類(lèi)型，需要檢查補丁的來(lái)源是可靠的，如果可能，在收到補丁包后，用防病毒軟件檢查。

(5) 服務(wù)器在安裝補丁應采用手工升級，并延遲補丁發(fā)布后一星期，避免最新補丁本身問(wèn)題給服務(wù)器帶來(lái)的風(fēng)險。

(6) 當供應商發(fā)布緊急的非常規的安全補丁時(shí)，系統管理員備份好系統后，必須立即進(jìn)行響應。

(7) 對重要服務(wù)器的補丁每季度進(jìn)行一次檢查。并填寫(xiě)《重要服務(wù)器補丁檢查表》.

(8) 重要網(wǎng)絡(luò )設備的補丁每季度進(jìn)行一次檢查。并填寫(xiě)《網(wǎng)絡(luò )設備補丁檢查表》.

6. 實(shí)施策略

(1) 補丁管理規定中涉及到的表單包括《補丁管理策略明細表》、《重要服務(wù)器補丁檢查表》、《重要服務(wù)器補丁測試記錄》、《網(wǎng)絡(luò )設備補丁檢查表》4個(gè)表單。

(2) 技術(shù)部制定《補丁管理策略明細表》

(3) 技術(shù)部對重要服務(wù)器在升級系統補丁前應進(jìn)行測評,填寫(xiě)《重要服務(wù)器補丁測試記錄表》

(4) 技術(shù)部對重要服務(wù)器/網(wǎng)絡(luò )設備的補丁每季度進(jìn)行一次檢查。并填寫(xiě)《重要服務(wù)器補丁檢查表》和《網(wǎng)絡(luò )設備補丁檢查表》.

7. 相關(guān)記錄

本程序發(fā)生的記錄匯總表

表1-1 ISMS文件日常應用表