全漏洞評估及管理制度 !未指定書簽。 !未指定書簽。 1、規(guī)范集團(tuán)內(nèi)部信息系統(tǒng)安全漏洞(包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng))的評估及管理的所有信息系統(tǒng)，非虹微公司管理的信息系統(tǒng)可參照執(zhí)行。真實性、可核查性、抗抵賴性、信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、運行等過程中，有意或無意產(chǎn)生的缺陷，這些缺能。風(fēng)險的危害可通過事組成的以處理信息流為目的的人機一體化系統(tǒng)，本制度信息系統(tǒng)主要包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及統(tǒng)安全漏洞的評估和管理，漏洞修復(fù)的驗證工作，并為發(fā)現(xiàn)的漏洞提供解決研發(fā)部門負(fù)責(zé)修復(fù)應(yīng)用系統(tǒng)存在的安全漏洞，并根據(jù)本制度的要求提供應(yīng)用系統(tǒng)的測試數(shù)據(jù)服務(wù)部負(fù)責(zé)修復(fù)生產(chǎn)環(huán)境和測試環(huán)境操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備存在的安全漏洞，并根據(jù)依據(jù)信息安全漏洞從產(chǎn)生到消亡的整個過程，信息安全漏洞的生命周期可分為以下幾個d)漏洞的公開：通過公開渠道(如網(wǎng)站、郵件列表等)公布漏洞信息的過程。信息安全漏洞管理遵循以下：a隱的過程中，對每個威脅進(jìn)行評分，并按照如下的公司計算風(fēng)險值：理員操作；非法上傳文泄露敏感信息擊件戶難表一：安全漏洞等級評估模型洞風(fēng)險等級：計算得分計算得分安全漏洞風(fēng)險等級網(wǎng)絡(luò)所有的路由器、交換機、防火墻等網(wǎng)絡(luò)設(shè)備；應(yīng)用系統(tǒng)層面評估的范圍為所有生產(chǎn)環(huán)境并出具漏洞評估報告。①如果本次版本中涉及信息安全漏洞整改的，在上線前必須經(jīng)過安全測試；②如果本次版本中沒有涉及信息安全漏洞整改的依據(jù)下面的規(guī)則進(jìn)行安全測試：b進(jìn)行了安全測試，那下次測試在版本需要進(jìn)行安全測試；對已修復(fù)的安全漏洞進(jìn)行驗證。依據(jù)信息系統(tǒng)部署的不同方式和級別，以及發(fā)現(xiàn)的安全漏洞不同級別，整改時效性有一表三：應(yīng)用系統(tǒng)安全漏洞整改時效性要求網(wǎng)絡(luò)區(qū)域的不同，操作系統(tǒng)的安全漏洞處理時效要求如下表，低風(fēng)險受攻擊的漏通告立即整改完成表四：操作系統(tǒng)安全漏洞整改時效性要求根據(jù)安全漏洞生命周期中漏洞所處的不同狀態(tài)，將漏洞管理行為對應(yīng)為預(yù)防、發(fā)現(xiàn)、消 的安全漏洞；小組或管理小組，對敏感信息進(jìn)行屏蔽?，F(xiàn)的安全漏洞；安全風(fēng)險；①預(yù)防措施是否落實到位，漏洞是否得到有效預(yù)防；洞是否得到有效處置；理過程是否符合及時處理和安全風(fēng)險最小化等原則。監(jiān)或數(shù)據(jù)服務(wù)部部長和安全服務(wù)部部長審批。據(jù)服務(wù)部