信息系统补丁管理制度

1 总则

1.1为加强XX公司（以下简称“公司”）补丁的管理，规范补丁部署流程，保障信息系统补丁尽快更新，确保公司企业信息网络安全稳定的运行，特制定本办法。

1.2 本办法所涉以及的补丁包括操作系统补丁、数据库补丁和应采用系统补丁。 2 适采用范围

本办法适采用范围为XX公司。 3 职责分工

3.1 操作系统补丁管理员

3.1.1负责各操作系统（含浏览器、办公软件）补丁的管理。

3.1.2负责收集操作系统漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。

3.1.3负责提出操作系统漏洞修补要求和相关防护措施，审批变更计划。 3.2 数据库补丁管理员

3.2.1负责各数据库补丁的管理。

3.2.2负责收集数据库漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。

3.2.3负责提出数据库漏洞修补要求和相关防护措施，审批变更计划。 3.3 应采用系统补丁管理员

3.3.1负责各应采用系统（含中间件）补丁的管理。

3.3.2负责收集应采用系统漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。

3.3.3负责提出应采用系统漏洞修补要求和相关防护措施，审批变更计划。 3.4 补丁测试员

3.4.1负责搭建测试环境，负责测试补丁和测试结果的记录。 3.4.2负责跟踪最新补丁信息和下载补丁。 3.5补丁安装员

3.5.1负责补丁的安装或分发，负责制订补丁修补计划。 3.5.2负责解决补丁安装或分发过程中出现的问题。 4 补丁管理

4.1补丁由信通分公司统一进行下载、测试和安装，未经许可，不可私自下载安装，补丁安装流程见附件1。

4.2补丁来源须为原厂商官方网站或原厂商工作人员，对于非法的补丁禁止安装。

4.3补丁安装之前，应先做好系统和数据备份工作，防止出现问题进行回退，经严格测试通过后方可安装，对测试不成功的补丁禁止安装，测试结果记录表见附件2。

4.4测试中发现的问题应做详细分析，判断发生问题的原因并尽快解决，如果不能解决，须记录发生问题的环境，立刻反馈给原厂商。

4.5对于刚公布的严重等级漏洞（无补丁）或未通过测试的补丁，可采采用临时解决办法消除漏洞的威胁或者暂接受该风险。

4.6制订补丁修补计划，须先分析信息资产、IT系统环境、IT网络环境和信息资产重要等级，确定需安装的补丁和相应严重等级，同时明确修补时间、修补方式和修补范围。

4.7补丁安装须先填写变更工单（或工作票），相应补丁管理员和应采用系统管理员对变更的必要性、风险和修补计划进行评审，评审通过后由应采用系统管理员安排运维人员全过程配合补丁安装员完成补丁的安装和应采用系统的测试。 4.8补丁安装顺序遵循“资产价值大、威胁等级高优先安装”的原则。对于漏洞级别为严重的补丁，无特殊情况须在补丁公布后1星期内安装。

4.9补丁安装完成后应进行全面检查，以确认补丁安装情况，同时制定补丁清单列表。

5 附则

5.1本办法由XX公司信息通信分公司生技部负责解释。 5.2本办法自公布之日起施行。