信息系统漏洞与风险管理制度
1、总则
1.1、目的
为了进一步规范XXXXX单位信息系统风险管理活动,提升风险管理工作的可操纵性和适用性,使信息网络正常运行,防止网络攻击,保证业务的正常进行,依据XXXXX单位员的相关规范和标准规定,特制定本管理制度。
1.2、范围
本办法适用于XXXXX单位信息系统。
1.3、职责
XXXXX单位员工作的所有职工人员都要遵守本管理制度。
1.4、术语、定义及缩写语
本制度所称的安全漏洞扫描是针对业务系统、业务系统服务器、网络设备进行安全漏洞扫描,及时发现信息系统中存在的各种安全隐患和应用系统的漏洞。
安全漏洞一般可分为操作系统漏洞、应用软件漏洞、数据库漏洞、网络漏洞、管理漏洞五类。
2、管理细则
2.1、安全漏洞管理
2.2.1、组织机构与人员
- 超级管理员工作要求:
超级管理员由XXXXX单位指定专人承担,负责定期策划并组织实施安全漏洞扫描工作。每2个月策划并组织实施安全漏洞扫描工作;对安全漏洞扫描工作进行授权和成果审核;负责安全漏洞扫描实施前业务系统和服务器的备份及恢复工作。
- 安全扫描人员工作要求:
安全扫描人员由安全服务单位人员承担,负责针对各业务系统及业务系统服务器、网络设备进行安全漏洞扫描,形成安全漏洞扫描报告并提出安全整改建议。各业务系统及业务系统服务器、网络设备进行安全漏洞扫描;输出安全漏洞扫描报告,并提供安全修复建议。
2.2.2、安全漏洞获知
漏洞获知通常有如下方式:
- 来自软、硬件厂商和国际、国内知名安全组织的安全通告。
- 单位信息安全部门工作人员的渗透测试结果及安全评审意见。
- 使用安全漏洞评估工具扫描。
- 来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知。
2.2.3、安全漏洞检测
- 网络安全与信息化管理部门部署有漏洞扫描系统,能在各层面对XXXXX单位网络进行安全扫描漏洞检测,漏洞扫描系统每星期至少进行一次安全扫描并输出报表,每月进行一次总结。
- 网络安全与信息化管理部门对XXXXX单位网络监控和上网行为管理每星期至少进行一次统计分析,每月进行一次总结。
- XXXXX单位各岗位人员,有责任和义务在平常工作中积极发现信息网络中的安全漏洞并提出可行性建议。
- 定期对单位生产系统使用的应用软件及第三方组件进行漏洞监控和查找,并在当天将高、中风险转交给网络安全与信息化管理部门处理。
2.2.4、安全漏洞处理原则
- 所有高、中风险必须在规定时间内完成修复。
- 对于有关安全漏洞的修复方案经评估后会影响系统稳定或短期不能找到解决方案的漏洞,由信息安全小组同有关部门出具体解决方案。
- 不定期对本制度执行情况进行检查, 确保所有漏洞都按照流程进行了有效处理。
- 针对发生的安全事件,及时总结经验和教训, 避免再度发生类似事件。
- 协助各部门提供安全漏洞测试和修复方法, 并定期组织安全培训。
- XXXXX单位网络上的所有用户(安全检测用户除外),禁止扫描端口,禁止猜测和扫描其他用户的密码,禁止猜测和扫描网络中心的服务器和交换设备的的口令。
- 在生产系统中:可获取系统权限(操作系统、数据库、中间件、网络设备、业务系统等)的漏洞;可直接导致客户信息、交易信息、单位机密信息外泄的漏洞;可直接篡改系统数据的漏洞,必须在48小时之内完成修复。
- 如果确实存在客观原因, 无法按照规定时间完成修复工作的, 应在修复截止日期前与信息安全小组申请延期, 并共同商定延后的修复时间和排期。
2.2、系统与补丁管理
- 防病毒系统设置每天自动升级病毒库。
- 漏洞扫描系统、深信服网络行为管理系统等按厂家新版本、新补丁开发完成进行升级。
- 如在漏洞分析报告中,发现有操作系统漏洞和数据库漏洞,应在测试环境中验证漏洞补丁的可行性和稳定性后,才能在部分正式服务器中修补,且在业务运行至少三个周期没有发现问题时才能进行全面补丁升级。
- 如果在补丁升级后发现业务运行异常,应该立即定位是否补丁稳定性问题,确认后,应该删除补丁,保证业务正常运行。
- 在保证业务正常运行后,应寻找其他方法修补漏洞,如经专家验证分析补丁的稳定性有问题时,应该寻找其他可补偿性措施。
- 所有用户有责任对所发现或发生的违反有关法律、法规和规章制度的人或事予以制止或向网络安全与信息化管理部门反映、举报,协助有关部门或管理人员对上述人或事进行调查、取证、处理,应该向调查人员如实提供所需证据。
- 网络安全与信息化管理部门要根据实际情况和需要采用新技术,调整网络结构、系统功能、变更系统参数和使用方法,及时排除系统隐患,保证业务运行稳定安全。
3、附则
本管理制度由XXXXX单位负责解释,自发布之日起实施。
相关文章:
信息系统漏洞与风险管理制度
1、总则 1.1、目的 为了进一步规范XXXXX单位信息系统风险管理活动,提升风险管理工作的可操纵性和适用性,使信息网络正常运行,防止网络攻击,保证业务的正常进行,依据XXXXX单位员的相关规范和标准规定,特制…...
:MapReduce之ReduceJoin案例分析)
Hadoop3教程(十七):MapReduce之ReduceJoin案例分析
文章目录 (113)ReduceJoin案例需求分析(114)ReduceJoin案例代码实操 - TableBean(115)ReduceJoin案例代码实操 - TableMapper(116)ReduceJoin案例代码实操 - Reducer及Driver参考文献…...
BAT026:删除当前目录及子目录下的空文件夹
引言:编写批处理程序,实现批量删除当前目录及子目录下的空文件夹。 一、新建Windows批处理文件 参考博客: CSDNhttps://mp.csdn.net/mp_blog/creation/editor/132137544 二、写入批处理代码 1.右键新建的批处理文件,点击【编辑…...
nodejs+vue网课学习平台
目 录 摘 要 I ABSTRACT II 目 录 II 第1章 绪论 1 1.1背景及意义 1 1.2 国内外研究概况 1 1.3 研究的内容 1 第2章 相关技术 3 2.1 nodejs简介 4 2.2 express框架介绍 6 2.4 MySQL数据库 4 第3章 系统分析 5 3.1 需求分析 5 3.2 系统可行性分析 5 3.2.1技术可行性:…...
Can Language Models Make Fun? A Case Study in Chinese Comical Crosstalk
本文是LLM系列文章,针对《Can Language Models Make Fun? A Case Study in Chinese Comical Crosstalk》的翻译。 语言模型能制造乐趣吗?中国滑稽相声个案研究 摘要1 引言2 问题定义3 数据集4 使用自动评估生成基准5 人工评估6 讨论7 结论与未来工作 摘要 语言是…...
阿里云云服务器实例使用教学
目录 云服务器免费试用 详细步骤 Xshell 远程连接 云服务器免费试用 阿里云云服务器网址:阿里云免费试用 - 阿里云 详细步骤 访问阿里云免费试用。单击页面右上方的登录/注册按钮,并根据页面提示完成账号登录(已有阿里云账号)…...
promisify 是 Node.js 标准库 util 模块中的一个函数
promisify 是 Node.js 标准库 util 模块中的一个函数。它用于将遵循 Node.js 回调风格的函数转换为返回 Promise 的函数。这使得你可以使用 async/await 语法来等待异步操作完成,从而让异步代码看起来更像同步代码。 在 Node.js 的回调风格中,函数通常接…...
ArcGIS在VUE框架中的构建思想
项目快要上线了,出乎意料的有些空闲时间。想着就把其他公司开发的一期代码里面,把关于地图方面的代码给优化一下。试运行的时候,客户说控制台有很多飘红的报错,他们很在意,虽然很不情愿,但能改的就给改了吧…...
【Overload游戏引擎细节分析】视图投影矩阵计算与摄像机
本文只罗列公式,不做具体的推导。 OpenGL本身没有摄像机(Camera)的概念,但我们为了产品上的需求与编程上的方便,一般会抽象一个摄像机组件。摄像机类似于人眼,可以建立一个本地坐标系。相机的位置是坐标原点,摄像机的朝…...
什么是云原生?零基础学云原生难吗?
伴随着云计算的浪潮,云原生概念也应运而生,而且火得一塌糊涂,但真正谈起“云原生”,大多数非 IT 从业者的认知往往仅限于将服务应用放入云端,在云上处理业务。实际上,云原生远不止于此。 现在越来越多的企…...
Ubuntu18.04下载安装基于使用QT的pcl1.13+vtk8.2,以及卸载
一、QVTKWidget、QVTKWidget2、QVTKOpenGLWidget、QVTKOpenGLNativeWidget 区别 1.Qt版本 Qt5.4以前版本:QVTKWidget2/QVTKWidget。 Qt5.4以后版本:QVTKOpenGLWidget/QVTKOpenGLWidget。 2.VTK版本(Qt版本为5.4之后) 在VTK8.2以前的版本:QVT…...
7 使用Docker容器管理的tomcat容器中的项目连接mysql数据库
1、查看容器的IP 1)进入容器 docker exec -it mysql-test /bin/bash 2)显示hosts文件内容 cat /etc/hosts 这里容器的ip为172.17.0.2 除了上面的方法外,也可以在容器外使用docker inspect查看容器的IP docker inspect mysql-test 以下为…...
双节前把我的网站重构了一遍
赶在中秋国庆假期前,终于将我的网站(https://spacexcode.com/[1])结构定好了,如之前所说,这个网站的定位就是作为自己的前端知识沉淀。内容大致从:前端涉及的基础知识分类汇总(知识库࿰…...
基于 nodejs+vue网上考勤系统
目 录 摘 要 I ABSTRACT II 目 录 II 第1章 绪论 1 1.1背景及意义 1 1.2 国内外研究概况 1 1.3 研究的内容 1 第2章 相关技术 3 2.1 nodejs简介 4 2.2 express框架介绍 6 2.4 MySQL数据库 4 第3章 系统分析 5 3.1 需求分析 5 3.2 系统可行性分析 5 3.2.1技术可行性:…...
以数智化指标管理,驱动光伏能源行业的市场推进
近年来,碳中和、碳达峰等降低碳排放、提升环境健康度的政策和技术改进正在不断地被社会所认可和引起重视,也被越来越多的企业在生产运营和基础建设中列为重要目标之一。而光伏能源行业作为全球绿色能源、新能源的优秀解决方案,充分利用太阳能…...
lv8 嵌入式开发-网络编程开发 18 广播与组播的实现
目录 1 广播 1.1 什么是广播? 1.2 广播地址 1.3 广播的实现 2 组播 2.1 分类的IP地址 2.2 多播 IP 地址 2.3 组播的实现 1 广播 1.1 什么是广播? 数据包发送方式只有一个接受方,称为单播 如果同时发给局域网中的所有主机࿰…...
)
前端面试题个人笔记(后面继续更新完善)
文章目录 填空题部分简答题部分 if有好答案请各位大佬们在底下评论上,感谢 填空题部分 1、常见的css选择器 2、getElementById获取元素的(DOM)对象 简答题部分 1、介绍一下你对RESTful API的理解以及它的优势? 答: …...
软件设计之工厂方法模式
工厂方法模式指定义一个创建对象的接口,让子类决定实例化哪一个类。 结构关系如下: 可以看到,客户端创建了两个接口,一个AbstractFactory,负责创建产品,一个Product,负责产品的实现。ConcreteF…...
【Linux】shell运行原理及权限
主页点击直达:个人主页 我的小仓库:代码仓库 C语言偷着笑:C语言专栏 数据结构挨打小记:初阶数据结构专栏 Linux被操作记:Linux专栏 LeetCode刷题掉发记:LeetCode刷题 算法:算法专栏 C头疼…...
OA系统和ERP系统有什么区别?
在当今的企业管理领域,协同办公管理系统和ERP系统是两个非常重要的工具。它们在企业的日常运营中扮演着不同的角色,有着各自独特的功能和优势。那么,OA系统和ERP系统到底有什么区别呢?协同办公管理系统又是如何在这两者之间发挥协…...
Vim 调用外部命令学习笔记
Vim 外部命令集成完全指南 文章目录 Vim 外部命令集成完全指南核心概念理解命令语法解析语法对比 常用外部命令详解文本排序与去重文本筛选与搜索高级 grep 搜索技巧文本替换与编辑字符处理高级文本处理编程语言处理其他实用命令 范围操作示例指定行范围处理复合命令示例 实用技…...
docker详细操作--未完待续
docker介绍 docker官网: Docker:加速容器应用程序开发 harbor官网:Harbor - Harbor 中文 使用docker加速器: Docker镜像极速下载服务 - 毫秒镜像 是什么 Docker 是一种开源的容器化平台,用于将应用程序及其依赖项(如库、运行时环…...
)
postgresql|数据库|只读用户的创建和删除(备忘)
CREATE USER read_only WITH PASSWORD 密码 -- 连接到xxx数据库 \c xxx -- 授予对xxx数据库的只读权限 GRANT CONNECT ON DATABASE xxx TO read_only; GRANT USAGE ON SCHEMA public TO read_only; GRANT SELECT ON ALL TABLES IN SCHEMA public TO read_only; GRANT EXECUTE O…...
sqlserver 根据指定字符 解析拼接字符串
DECLARE LotNo NVARCHAR(50)A,B,C DECLARE xml XML ( SELECT <x> REPLACE(LotNo, ,, </x><x>) </x> ) DECLARE ErrorCode NVARCHAR(50) -- 提取 XML 中的值 SELECT value x.value(., VARCHAR(MAX))…...
【HTTP三个基础问题】
面试官您好!HTTP是超文本传输协议,是互联网上客户端和服务器之间传输超文本数据(比如文字、图片、音频、视频等)的核心协议,当前互联网应用最广泛的版本是HTTP1.1,它基于经典的C/S模型,也就是客…...
Device Mapper 机制
Device Mapper 机制详解 Device Mapper(简称 DM)是 Linux 内核中的一套通用块设备映射框架,为 LVM、加密磁盘、RAID 等提供底层支持。本文将详细介绍 Device Mapper 的原理、实现、内核配置、常用工具、操作测试流程,并配以详细的…...
Yolov8 目标检测蒸馏学习记录
yolov8系列模型蒸馏基本流程,代码下载:这里本人提交了一个demo:djdll/Yolov8_Distillation: Yolov8轻量化_蒸馏代码实现 在轻量化模型设计中,**知识蒸馏(Knowledge Distillation)**被广泛应用,作为提升模型…...
MacOS下Homebrew国内镜像加速指南(2025最新国内镜像加速)
macos brew国内镜像加速方法 brew install 加速formula.jws.json下载慢加速 🍺 最新版brew安装慢到怀疑人生?别怕,教你轻松起飞! 最近Homebrew更新至最新版,每次执行 brew 命令时都会自动从官方地址 https://formulae.…...
从零开始了解数据采集(二十八)——制造业数字孪生
近年来,我国的工业领域正经历一场前所未有的数字化变革,从“双碳目标”到工业互联网平台的推广,国家政策和市场需求共同推动了制造业的升级。在这场变革中,数字孪生技术成为备受关注的关键工具,它不仅让企业“看见”设…...
C++中vector类型的介绍和使用
文章目录 一、vector 类型的简介1.1 基本介绍1.2 常见用法示例1.3 常见成员函数简表 二、vector 数据的插入2.1 push_back() —— 在尾部插入一个元素2.2 emplace_back() —— 在尾部“就地”构造对象2.3 insert() —— 在任意位置插入一个或多个元素2.4 emplace() —— 在任意…...