一、总则
第一条 为落实《中华人民共和国信息安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《网络产品安全漏洞管理规定》等法律法规的要求,履行主体责任和义务,结合公司实际情况,制定本规定。
第二条 本规定适用范围为****公司(以下简称“公司”)生产中心和灾备中心的信息化资产(包含主机、网络、应用系统含开发测试系统)以及下一跳路由可达的设备、终端(如PC、笔记本、自助终端等)。
资产由相应的资产管理人负责管理,资产管理人指设备或终端的使用者、维护人员或所有者,具体管理权限如下:
(一)生产中心、灾备中心范围内网络设备、主机操作系统由研发中心运维组负责;应用系统、中间件由各研发组负责。
(二)与生产、灾备中心互联互通的设备、终端,资产属于研发中心的,由研发中心履行管理责任;其他设备、终端由相应安全管理人员负责。
第三条 本规定适用范围内,资产管理人应确保接入设备和应用系统安全无风险,资产管理人提供漏洞扫描修复报告并经评估无威胁后方可接入。
第四条 本规定未明确事项,由研发中心信息安全工作小组研究决定,根据决定对本规定进行补充修订。
二、漏洞发现
第五条 本规定第二条所描述的研发中心已有资产应每季度进行一次漏洞扫描,用于发现相关主机、网络设备及应用系统的信息安全漏洞。
第六条 对于研发中心新上线应用系统,应进行漏洞扫描。
第七条 研发中心各研发小组应对所有应用系统进行代码审计并提交《代码审计报告》,用于发现自身漏洞及依赖组件漏洞。进行代码审计前,应向运维组报备审计工具和审计方案。
第八条 研发中心应每年对业务系统组织不低于一次专业渗透测试和攻防演练,用于补充发现信息安全漏洞,每次服务商不低于两家。
第九条 对于上级监管部门通报的漏洞,由运维组作为研发中心对接人沟通确定资产归属并组织人员进行处置。
第十条 研发中心建立并公开安全漏洞信息接收渠道用于接收第三方发现的漏洞信息,并对提供有效漏洞的第三方进行奖励,奖励办法另行规定,安全漏洞信息接收渠道在公司官网公布。漏洞信息接收日志留存不少于6个月。
三、漏洞处置
第十一条 对于已发现漏洞,由安全运维或研发人员对漏洞有效性进行验证,根据漏洞的危害程度和对设备、应用系统等产生的影响综合评价,确定漏洞级别并形成《漏洞评估报告》。
第十二条 所有已评估并确认的漏洞,参考《信息安全技术网络安全漏洞分类分级指南》(GB/T30279-2020),结合公司实际,按危害程度和影响范围,分为紧急、高危、中危、低危四个级别,具体分级标准如下:
紧急:漏洞可以非常容易地对目标对象造成特别严重后果;
高危:漏洞可以容易地对目标对象造成严重后果;
中危:漏洞可以对目标对象造成一般后果,或者比较困难地对目标造成严重后果;
低危:漏洞可以对目标对象造成轻微后果,或者比较困难地对目标对象造成一般严重后果,或者非常困难地对目标对象造成严重后果。
紧急级别的漏洞,原则上应于4小时内修复,受业务连续性影响的系统,应安排维护窗口在24小时内完成修复;高危级别漏洞,应在5天内修复;中危级别漏洞,应在14天内完成修复;低危级别漏洞,应在30天内完成修复。对于已有系统未在规定时间内完成修复的,对其下线隔离,待修复无漏洞后重新上线;对于新上线应用,在漏洞修复完成后上线。
第十三条 对于已确定漏洞级别的漏洞,安全运维人员或研发人员提交《漏洞评估报告》和《漏洞信息》,通知信息安全工作小组的模块负责人,由模块负责人安排人员在规定时间内落实漏洞修复工作,输出《漏洞修复过程记录》。
第十四条 对于已修复漏洞,工作人员在修复完成后,通知安全运维管理人员组织复测,确认修复结果。
第十五条 漏洞处置过程使用OA流程进行管理,流程图如下:
四、漏洞报告
第十六条 对于已修复漏洞,经安全运维人员研判属于应报送信息的,相关漏洞信息报信息安全工作小组审核批准,由信息安全工作小组将相关信息报送工信部网络安全威胁和漏洞信息共享平台、国家信息安全漏洞共享平台(CNVD)、国家信息安全漏洞库(CNNVD)等相关监管平台。
第十七条 本规定自发布之日起实施,原有漏洞扫描修复流程与本规定不一致的,以本规定为准。