安全漏洞管理制度优质资料(可以直接使用，可编辑优质资料，欢迎下载）文件名称版本号文件编号机密等级发布日期生效日期拟制日期审核日期批准日期XXXX安全漏洞管理制度创建/变更人变化状态变更摘要(章节/内容)版本创建/变更时间批准人文件修订履历变化状态：新建，增加，修改,删除目录TOC\o"1-3"\h\z\uHYPERLINK\l"_Toc425847915"1引言PAGEREF_Toc425847915\h5HYPERLINK\l"_Toc425847916"1.1目的PAGEREF_Toc425847916\h5HYPERLINK\l"_Toc425847917"1.2对象PAGEREF_Toc425847917\h5HYPERLINK\l"_Toc425847918"1.3范围PAGEREF_Toc425847918\h5HYPERLINK\l"_Toc425847919"2漏洞获知PAGEREF_Toc425847919\h5HYPERLINK\l"_Toc425847920"3级别定义和处理时间要求PAGEREF_Toc425847920\h5HYPERLINK\l"_Toc425847921"3.1级别定义PAGEREF_Toc425847921\h5HYPERLINK\l"_Toc425847922"高风险漏洞定义PAGEREF_Toc425847922\h5HYPERLINK\l"_Toc425847923"中风险漏洞定义PAGEREF_Toc425847923\h5HYPERLINK\l"_Toc425847924"漏洞处理原则PAGEREF_Toc425847924\h6HYPERLINK\l"_Toc425847925"4职责分工PAGEREF_Toc425847925\h6HYPERLINK\l"_Toc425847926"4.1信息安全部PAGEREF_Toc425847926\h6HYPERLINK\l"_Toc425847927"4.2IT中心PAGEREF_Toc425847927\h6HYPERLINK\l"_Toc425847928"4.3各产品开发部门PAGEREF_Toc425847928\h6HYPERLINK\l"_Toc425847929"5漏洞处理流程PAGEREF_Toc425847929\h7HYPERLINK\l"_Toc425847930"6罚则PAGEREF_Toc425847930\h81引言1.1目的本制度规范了XXXX（以下简称：XXXX）信息系统安全漏洞的发现、评估及处理过程。保障尽早发现安全漏洞，及时消除安全隐患。加快安全处理响应时间，加强信息资产安全。1.2对象本制度阅读对象为单位所有的运维人员、产品开发人员、测试和质量保障人员等。各产品开发、运营、系统运维、质量测试等部门负责人应通读并认真执行本制度中与其职责相关的要求。1.3范围本制度中的信息系统描述适用于XXXX信息系统：应用系统：所有业务相关应用系统，包括自主开发和外购产品。操作系统：Windows、Linux和UNIX等。数据库：Oracle、MySQL、SqlServer等。中间件：Tomcat，Apache，Nginx等。网络设备：交换机、路由器等。安全设备：安全管理、审计、防护设备等。2漏洞获知漏洞获知通常有如下方式：来自软、硬件厂商和国际、国内知名安全组织的安全通告。单位信息安全部门工作人员的渗透测试结果及安全评审意见。使用安全漏洞评估工具扫描。来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知。3级别定义和处理时间要求3.1级别定义对于没有CVE评级的安全漏洞统一参考附录一标准进行漏洞评级。高风险漏洞定义1.操作系统层面：依据CVE标准。2.网络层面：依据CVE标准。3.数据库层面：依据CVE标准。4.中间件（包括应用组件包）：依据CVE标准。5.单位自主开发的业务应用：详见附录一。3.1.2中风险漏洞定义1操作系统层面：依据CVE标准。2网络层面：依据CVE标准。3.数据库层面：依据CVE标准。4.中间件（包括应用组件包）：依据CVE标准。5.单位自主开发的业务应用：详见附录一。3.1.3漏洞处理原则1.所有高、中风险必须在规定时间内完成修复。2.对于有关安全漏洞的修复