补丁管理规定.docx

补丁管理规定1.目的为规范公司操作系统及其他网络设备的安全补丁管理操作流程，保护信息系统安全，特制定本规定。2.引用文件(1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。(2)ISO/IEC27001:2005 信息技术-安全技术-信息安全管理体系要求(3)ISO/IEC27002:2005 信息技术-安全技术-信息安全管理实施细则3.职责与权限技术部：负责操作系统及网络设备安全补丁管理工作，包括补丁公告、补丁评估和补丁列表的维护工作：(1)负责应用系统和数据库系统相关安全补丁。(2)负责 WINDOWS 平台相关安全补丁（包括 Office 等MICROSOFT 颁布的补丁）。(3)负责网络设备相关安全补丁。(4)负责安全产品相关安全补丁。4.补丁管理规定Windows 操作系统补丁：(1)公司重要服务器的补丁由技术部下载、测试及安装。综合部的开发服务器，由技术部进行补丁的下载、测试及安装。(2)技术部在发现 windows 操作系统发布新补丁后，在公司的公共平台上发出补丁更新通告，各部门的负责人统一安排部门进行补丁升级。(3)技术部每季度对补丁更新情况进行抽查。5.其他补丁：(1)技术部制定补丁管理策略明细表，评审并明确需要进行补丁管理的补丁类型。(2)评审并明确需要进行补丁测试的补丁类型。(3)对重要服务器进行评审，得出在升级系统补丁前应进行测评的服务器列表,填写重要服务器补丁测试记录表(4)对需要手工下载管理的补丁类型，需要检查补丁的来源是可靠的，如果可能，在收到补丁包后，用防病毒软件检查。(5)服务器在安装补丁应采用手工升级，并延迟补丁发布后一星期，避免最新补丁本身问题给服务器带来的风险。(6)当供应商发布紧急的非常规的安全补丁时，系统管理员备份好系统后，必须立即进行响应。(7)对重要服务器的补丁每季度进行一次检查。并填写重要服务器补丁检查表.(8)重要网络设备的补丁每季度进行一次检查。并填写网络设备补丁检查表.6.实施策略(1)补丁管理规定中涉及到的表单包括补丁管理策略明细表、重要服务器补丁检查表、重要服务器补丁测试记录、网络设备补丁检查表4 个表单。(2)技术部制定补丁管理策略明细表(3)技术部对重要服务器在升级系统补丁前应进行测评,填写重要服务器补丁测试记录表(4)技术部对重要服务器/网络设备的补丁每季度进行一次检查。并填写重要服务器补丁检查表和网络设备补丁检查表.7.相关记录本程序发生的记录汇总表表 1-1 ISMS 文件日常应用表表号记录编号记录名称保管场所保存期限保存形式备注表 A.1ISMS-3019-01 补丁管理策略明细表综合部 3 年电子表 A.2ISMS-3019-02 重要服务器补丁测试记录表综合部 3 年电子表 A.3ISMS-3019-03 重要服务器补丁检查表综合部 3 年纸质表 A.4ISMS-3019-04 网络设备补丁检查表综合部 3 年纸质