漏洞扫描中小银行BB银行信息系统安全漏洞扫描管理办法

BB银行信息系统安全漏洞扫描

管理办法

第一章 总 则

第一条 为进一步加强信息系统安全 明确计算机安全漏洞扫描的工作要求特制定本实施细则。

第二章 适用范围

第二条 本细则适用于总行各部门、各分支行。

第三章 管理对象

第三条 管理对象是组成信息系统的计算机设备包括所有服务器、工作站、路由器、交换机、 防火墙等的安全漏洞扫描工作。

第四章 术语定义

第四条 安全漏洞是指计算机硬件、软件、协议等的具体实现或系统安全策略方面存在的安全缺陷有可能被恶意非法利用从而造成系统的损害或信息泄漏等危害。

第五章 岗位及职责

第五条 信息科技部下设网络与安全中心 网络与安全中心设信息安全管理岗。

第六条 网络与安全中心信息安全管理岗的职责

1

一组织制订漏洞扫描管理制度

二承担全行范围内漏洞扫描系统的安装、升级、

扫描工作提供修补安全漏洞技术支持

三根据漏洞扫描管理的实际情况提出改进意

见

四对计算机漏洞进行及时总结分析定期汇总扫

描报告。

五跟踪安全漏洞的修补结果

六遇到不能独立解决的问题时及时联系漏洞扫描产品提供商解决。

第七条 受检测部门人员的职责

一配合漏洞扫描实施岗验证漏洞扫描策略

二在发现安全漏洞后 应根据扫描结果认真查找、解决存在的问题。

第六章 漏洞扫描的申请与审批

第八条 对总行数据中心每个季度要至少进行一次全面的安全漏洞扫描对各分支机构每年至少进行一次全面的安全漏洞扫描 受检测部门无特殊情况不可拒绝检测。

第九条 对于因存在技术风险 不能定期接受安全漏洞扫描的计算机设备 必须由受检测部门对有关风险进行评估后向网络与安全中心提出申请 并报经本单位负责人审批同意 由网络与安全中心进行备案。 受检测部门应参

2

照行内相关安全技术规范加强对此类计算机设备的安全设置和管理 网络与安全中心可以在计划内停机时间视情况补充安排对此类计算机设备的漏洞扫描。

第十条生产环境新增计算机设备、新装或重装操作系统、数据库必须经过安全漏洞扫描、测试和实施修补措施后方可投入生产。

第十一条扫描结果应进行详细记录并对发现的安全漏洞进行分析确认。

第七章 漏洞扫描的执行

第十二条 安全漏洞扫描工作应双人操作严禁单人实施。

第十三条 在安全漏洞扫描工作开始前 应该与受检测部门共同制订详细、可行的漏洞扫描策略 确定扫描范围、 时间、参与人员对重要生产设备应准备应急措施。

第十四条 在执行安全漏洞扫描时 原则上不得跨防火墙等访问控制网络设备进行扫描 如确实需跨防火墙扫描时 应按照 《生产变更管理办法》 申请开通防火墙策略。

第十五条 受检测部门在安全漏洞扫描过程中应对被扫描设备的运行情况进行监控。

第十六条 安全漏洞扫描完成后 受检测部门应确认被扫描设备的系统和应用是否正常发现问题及时解决。

3

第八章 漏洞的修补

第十七条 安全漏洞扫描任务结束后 应及时向接受检测部门反馈详细的漏洞扫描结果。

第十八条 受检测部门应根据反馈的漏洞扫描结果对相关安全漏洞进行修补。修补措施实施完毕后 受检测部门应于一周之内将修补结果反馈至网络与安全中心。

第十九条 修补安全漏洞前 受检测部门应认真分析漏洞扫描报告做好系统及应用数据备份避免盲目操作。

第二十条 受检测部门在修补安全漏洞的过程中 应注意避免误操作引发的安全风险。

第二十一条 网络与安全中心对受检测部门修补漏洞中遇到的问题提供技术支持

第二十二条 受检测部门在安全漏洞修补过程中遇到因生产需要而无法修补的问题 应及时反馈网络与安全中心并说明原因。 网络与安全中心组织相关部门进行评估后可适当调整扫描策略。

第二十三条 网络与安全中心对受检测部门进行不定期抽样复查监督其安全漏洞修补情况。

4

第九章 情况上报和总结

第二十四条 每次漏洞扫描结束后 网络与安全中心应及时出具《计算机安全漏洞扫描报告》  并向信息科技部汇报。

第十章 附则

第二十五条 本办法由总行信息科技部制定 并负责解释和维护管理。

第二十六条 本办法自印发之日起施行。

附件计算机安全漏洞扫描报告

5

附件计算机安全漏洞扫描报告

计算机安全漏洞扫描报告

年月 日 

单位

注 1、 “漏洞扫描引起异常情况”包括由漏洞扫描引起的设备异常、 网络异常等情况。

2、 “意见和建议”栏由各单位填写在漏洞扫描实施和运行管理方面的困难、意见和建议。

6