2024年漏洞掃描系統(tǒng)運行安全管理制度樣本為確保我國電網(wǎng)公司信息網(wǎng)絡(luò)的安全穩(wěn)定運行,特制訂以下制度。一、適用范圍本制度適用于海南電網(wǎng)公司(以下簡稱公司)本部、分公司及直屬各單位信息系統(tǒng)的漏洞掃描及相關(guān)設(shè)備的管理和運行。其他聯(lián)網(wǎng)單位應(yīng)參照本制度執(zhí)行。二、人員職責(zé)(一)漏洞掃描系統(tǒng)管理員的任命漏洞掃描系統(tǒng)管理員的任命應(yīng)遵循“任期有限、權(quán)限分散”的原則。管理員任期根據(jù)系統(tǒng)安全性要求確定,最長不超過三年,任期屆滿后需通過考核方可續(xù)任。管理員須簽訂保密協(xié)議書。(二)漏洞掃描系統(tǒng)管理員的職責(zé)1.遵守職業(yè)道德,嚴(yán)守企業(yè)秘密；2.熟悉國家安全生產(chǎn)法及通信管理相關(guān)規(guī)程;3.負(fù)責(zé)漏洞掃描軟件(包括漏洞庫)的管理、更新和公布;4.負(fù)責(zé)對網(wǎng)絡(luò)系統(tǒng)所有服務(wù)器和專用網(wǎng)絡(luò)設(shè)備的首次、周期性和緊急漏洞掃描;5.負(fù)責(zé)查找修補(bǔ)漏洞的補(bǔ)丁程序,及時打補(bǔ)丁堵塞漏洞;6.密切關(guān)注最新漏洞發(fā)生、發(fā)展情況,關(guān)注和追蹤業(yè)界公布的漏洞疫情；7.遵守漏洞掃描設(shè)備各項管理規(guī)范。三、用戶管理(一)僅漏洞掃描系統(tǒng)管理員具有修改漏洞掃描設(shè)備配置、分析和掃描的權(quán)限。(二)為用戶級和特權(quán)級模式設(shè)置口令,不得使用默認(rèn)口令,確保用戶級和特權(quán)級口令不同。（三）漏洞掃描設(shè)備口令長度應(yīng)采用六位以上,由非純數(shù)字或字母組成,并定期更換,不得使用容易猜解的口令。四、設(shè)備管理(一)漏洞掃描設(shè)備的部署環(huán)境應(yīng)滿足國家標(biāo)準(zhǔn)和規(guī)范,其網(wǎng)絡(luò)拓?fù)浜蛼呙璺秶母男鑸笮畔⑾到y(tǒng)運行管理部門批準(zhǔn),以確保設(shè)備發(fā)揮最大效應(yīng)。(二)漏洞掃描設(shè)備工作時會一定程度上影響網(wǎng)絡(luò),應(yīng)避免在網(wǎng)絡(luò)運行高峰期進(jìn)行掃描,如有特殊情況,需通知相關(guān)系統(tǒng)管理員。(三)漏洞掃描設(shè)備的規(guī)則設(shè)置、更改需依據(jù)《漏洞掃描設(shè)備配置變更審批表》(附表1)進(jìn)行,并得到信息系統(tǒng)運行管理部門負(fù)責(zé)人批準(zhǔn),由系統(tǒng)管理員具體實施。(四)對掃描結(jié)果的分析和安全漏洞修補(bǔ)。發(fā)現(xiàn)系統(tǒng)漏洞后,必須及時找到修補(bǔ)漏洞的補(bǔ)丁程序,并通過專用工具下載打補(bǔ)丁,堵塞漏洞。(五)漏洞掃描設(shè)備定期檢測和維護(hù)要求:1.首次實施:系統(tǒng)管理員對服務(wù)器和專用網(wǎng)絡(luò)設(shè)備進(jìn)行首次漏洞掃描,并填寫《漏洞掃描補(bǔ)丁記錄單》（附表2)；2.周期實施：系統(tǒng)管理員對服務(wù)器和專用網(wǎng)絡(luò)設(shè)備進(jìn)行周期性漏洞掃描,并填寫《漏洞掃描記錄單》(附表3)。(六）漏洞掃描設(shè)備配置操作規(guī)程:1.記錄網(wǎng)絡(luò)環(huán)境,定義漏洞掃描的網(wǎng)絡(luò)接口；2.定義漏洞掃描的IP地址范圍;3.定義漏洞掃描的安全級別和掃描選項;4.安裝、升級最新的漏洞庫;5.定義管理員清單和管理權(quán)限;6.測試漏洞掃描設(shè)備的性能和建立網(wǎng)管數(shù)據(jù)庫。(七)漏洞掃描發(fā)現(xiàn)的安全事件處理和報告要求:1.一旦發(fā)現(xiàn)業(yè)界公布的漏洞疫情并確認(rèn)存在嚴(yán)重危害性,即使公司尚未受到侵?jǐn)_,也必須采取預(yù)防措施;2.緊急更新漏洞庫,通知公司,對服務(wù)器和專用網(wǎng)絡(luò)設(shè)備實施緊急漏洞掃描；3.及時調(diào)整防火墻策略;4.填寫《漏洞掃描記錄單》(附表3）。五、附則本制度由海南電網(wǎng)公司信息中心負(fù)責(zé)解釋,自頒布之日起實施。如有新的修改版本頒布,原規(guī)定自行終止。2024年漏洞掃描系統(tǒng)運行安全管理制度樣本(二)為確保海南電網(wǎng)公司信息網(wǎng)絡(luò)的安全與穩(wěn)定運行,特制定以下管理制度,以規(guī)范公司信息系統(tǒng)漏洞掃描及相關(guān)設(shè)備的管理與運行。一、制度目的及適用范圍本制度旨在確保海南電網(wǎng)公司(以下簡稱公司)本部、分公司及直屬各單位信息系統(tǒng)的漏洞掃描活動及相關(guān)設(shè)備的管理運作符合規(guī)定。本制度適用于上述范圍內(nèi)所有漏洞掃描及相關(guān)設(shè)備的管理和運行。其他聯(lián)網(wǎng)單位應(yīng)參照本制度執(zhí)行。二、人員職責(zé)(一)漏洞掃描系統(tǒng)管理員任命漏洞掃描系統(tǒng)管理員的任命應(yīng)遵循任期有限、權(quán)限分散的原則,任期最長不得超過三年。任期屆滿后,通過考核可續(xù)任。管理員任命時,必須簽訂保密協(xié)議書。(二)漏洞掃描系統(tǒng)管理員職責(zé)1.遵守職業(yè)道德,嚴(yán)守企業(yè)秘密；2.熟悉國家安全生產(chǎn)法律法規(guī)及通信管理相關(guān)規(guī)程;3.負(fù)責(zé)漏洞掃描軟件(包括漏洞庫)的管理、更新和公布;4.負(fù)責(zé)對網(wǎng)絡(luò)系統(tǒng)服務(wù)器和專用網(wǎng)絡(luò)設(shè)備的首次、周期性和緊急漏洞掃描;5.負(fù)責(zé)查找修補(bǔ)漏洞的補(bǔ)丁程序,及時更新以堵塞漏洞;6.關(guān)注最新漏洞動態(tài),追蹤業(yè)界公布的漏洞疫情；7.遵守漏洞掃描設(shè)備管理規(guī)范。三、用戶管理(一)僅限漏洞掃描系統(tǒng)管理員具備修改漏洞掃描設(shè)備配置、分析和掃描的權(quán)限。(二)為用戶級和特權(quán)級模式設(shè)置口令,不得使用缺省口令,并確?？诹畈煌?。（三）漏洞掃描設(shè)備口令長度應(yīng)不少于____位,由非純數(shù)字或字母組成,并定期更換,避免使用易被猜解的口令。四、設(shè)備管理(一)漏洞掃描設(shè)備的部署環(huán)境應(yīng)符合國家標(biāo)準(zhǔn)和規(guī)范,其網(wǎng)絡(luò)拓?fù)浜蛼呙璺秶母男鑸笮畔⑾到y(tǒng)運行管理部門批準(zhǔn)。(二)漏洞掃描設(shè)備工作期間可能對網(wǎng)絡(luò)造成影響,應(yīng)避開網(wǎng)絡(luò)高峰期進(jìn)行掃描,特殊情況需通知相關(guān)系統(tǒng)管理員。(三)漏洞掃描設(shè)備的規(guī)則設(shè)置、更改應(yīng)依據(jù)《漏洞掃描設(shè)備配置變更審批表》進(jìn)行,并需得到信息系統(tǒng)運行管理部門負(fù)責(zé)人的批準(zhǔn)。(四)對掃描結(jié)果進(jìn)行分析和安全漏洞修補(bǔ),及時下載補(bǔ)丁程序,堵塞漏洞。(五)定期對漏洞掃描設(shè)備進(jìn)行檢測和維護(hù),包括首次和周期性掃描,并填寫相關(guān)記錄單。(六）漏洞掃描設(shè)備配置操作規(guī)程,包括記錄網(wǎng)絡(luò)環(huán)境、定義IP地址范圍、安全級別和掃描選項、安裝升級漏洞庫等。（七）對發(fā)現(xiàn)的安全事件進(jìn)行處理和報告,及時更新漏洞庫,調(diào)整防火墻策略,并填寫《漏洞掃描記錄單》。五、附則(一)本制度由海南電網(wǎng)公司信息中心負(fù)責(zé)解釋。（二)本規(guī)定自頒布之日起實施,如有新的修改版本頒布,原規(guī)定自動失效。2024年漏洞掃描系統(tǒng)運行安全管理制度樣本(三）第一章總則第一條鑒于保障電網(wǎng)公司信息網(wǎng)絡(luò)安全穩(wěn)定運行的重要性,特制定本管理制度,以規(guī)范相關(guān)信息網(wǎng)絡(luò)的安全防護(hù)措施。第二條本制度適用于海南電網(wǎng)公司(以下簡稱公司）總部、分公司及直屬各單位的信息系統(tǒng)漏洞掃描活動及相關(guān)設(shè)備的管理與運行。其他聯(lián)網(wǎng)單位應(yīng)參照本制度執(zhí)行。第二章人員職責(zé)第三條漏洞掃描系統(tǒng)管理員任命規(guī)定漏洞掃描系統(tǒng)管理員的任命應(yīng)遵循任期有限、權(quán)限分散的原則。管理員任期應(yīng)根據(jù)系統(tǒng)安全要求確定,最長不得超過三年,任期屆滿且通過考核后可續(xù)任。任命前,管理員必須簽訂保密協(xié)議。第四條漏洞掃描系統(tǒng)管理員職責(zé)漏洞掃描系統(tǒng)管理員應(yīng)恪守職業(yè)道德,嚴(yán)格遵守企業(yè)保密規(guī)定;熟悉國家安全生產(chǎn)法律法規(guī)及通信管理相關(guān)規(guī)程。其主要職責(zé)包括:負(fù)責(zé)漏洞掃描軟件(包括漏洞庫)的管理、更新及公布;組織實施網(wǎng)絡(luò)系統(tǒng)所有服務(wù)器和專用網(wǎng)絡(luò)設(shè)備的首次、周期性和緊急漏洞掃描;負(fù)責(zé)查找并修補(bǔ)漏洞的補(bǔ)丁程序,及時修復(fù)系統(tǒng)漏洞;關(guān)注最新漏洞動態(tài),追蹤業(yè)界公布的漏洞疫情；遵守漏洞掃描設(shè)備的各項管理規(guī)范。第三章用戶管理第五條漏洞掃描系統(tǒng)管理員是唯一具備修改漏洞掃描設(shè)備配置、分析和掃描權(quán)限的用戶。第六條用戶級和特權(quán)級模式應(yīng)設(shè)置獨立口令,不得使用默認(rèn)口令,確?？诹畹陌踩?。第七條漏洞掃描設(shè)備口令長度應(yīng)不少于____位,由非純數(shù)字或字母組成,并定期更換。不得使用易于猜解的口令。第四章設(shè)備管理第八條漏洞掃描設(shè)備的部署環(huán)境應(yīng)符合國家標(biāo)準(zhǔn)和規(guī)范。設(shè)備的網(wǎng)絡(luò)拓?fù)浜蛼呙璺秶兏鑸笮畔⑾到y(tǒng)運行管理部門批準(zhǔn),以確保設(shè)備發(fā)揮最大效應(yīng)。第九條漏洞掃描設(shè)備工作時可能對網(wǎng)絡(luò)造成一定影響,應(yīng)避免在網(wǎng)絡(luò)高峰期進(jìn)行掃描。如有特殊情況,應(yīng)及時通知相關(guān)系統(tǒng)管理員。第十條漏洞掃描設(shè)備的網(wǎng)絡(luò)拓?fù)浜蛼呙璺秶男鑸笏托畔⑾到y(tǒng)運行管理部門批準(zhǔn)。漏洞掃描設(shè)備的規(guī)則設(shè)置、更改應(yīng)依據(jù)《漏洞掃描設(shè)備配置變更審批表》進(jìn)行。設(shè)備規(guī)則設(shè)置、更改需得到信息系統(tǒng)運行管理部門負(fù)責(zé)人的批準(zhǔn),并由系統(tǒng)管理員具體實施。第十一條掃描結(jié)果分析及安全漏洞修補(bǔ)漏洞掃描后,應(yīng)立即針對發(fā)現(xiàn)的系統(tǒng)漏洞公告,及時尋找修補(bǔ)漏洞的補(bǔ)丁程序,并通過專用工具及時下載并應(yīng)用補(bǔ)丁,以堵塞漏洞。第十二條漏洞掃描設(shè)備的定期檢測和維護(hù)要求如下:首次實施漏洞掃描時,系統(tǒng)管理員需對服務(wù)器和專用網(wǎng)絡(luò)設(shè)備進(jìn)行首次掃描,并填寫《漏洞掃描補(bǔ)丁記錄單》。上線前的設(shè)備必須進(jìn)行掃描,并填寫《漏洞掃描記錄單》。第十三條系統(tǒng)管理員對服務(wù)器和專用網(wǎng)絡(luò)設(shè)備進(jìn)行周期性掃描,并填寫《漏洞掃描補(bǔ)丁記錄單》。對服務(wù)器和專用網(wǎng)絡(luò)設(shè)備進(jìn)行周期性掃描,并填寫《漏洞掃描記錄單》。第十四條漏洞掃描設(shè)備的配置操作規(guī)程應(yīng)包括以下步驟:記錄網(wǎng)絡(luò)環(huán)境,定義漏洞掃描的網(wǎng)絡(luò)接口；定義IP地址范圍;定義安全級別和掃