ISMS-03-05-V1.0 信息系统漏洞扫描实施细则

信息系统漏洞扫描管理实施细则

第一章 总则

第一条 目的

为规范思度安全运营中心信息系统漏洞扫描工作，指导漏洞扫描工作的具体实施，特制定本细则。

第二条 漏洞

指网络设备、操作系统和应用系统等信息系统中能被利用并造成安全危害的弱点；漏洞扫描是指使用漏洞扫描工具进行探测，找到信息系统存在的安全隐患的过程；目标主机是指漏洞扫描的对象。

第三条 适用范围

本细则适用于思度安全运营中心信息系统漏洞扫描相关的各项工作。

第二章 角色与职责

第四条 信息安全工作

指挥小组负责审批漏洞扫描计划，审议漏洞扫描的报告和漏洞处理计划。

第五条 风险管理组

思度安全运营中心风险管理组负责漏洞扫描相关各项工作的监督与检查。

第六条 运维中心安全组

负责制订漏洞扫描计划、申请使用漏洞扫描工具、执行漏洞扫描、处理和分析扫描结果并形成报告、发布漏洞修复的通知以及跟踪漏洞修复的实施情况。

第七条 运维中心网络管理组

负责为信息系统漏洞扫描的实施提供网络支持，配合安全组确定扫描接入点，提供目标主机的IP地址等网络信息。

第八条 各部门负责人

负责配合漏洞扫描的实施，包括：提供漏洞扫描计划中目标主机的相关信息、参与评估实施漏洞扫描的风险并做好相应的应急准备、制订信息系统漏洞修补计划并实施修补改进措施。

第三章 基本要求

第九条 专用工具

信息系统漏洞扫描应使用指定的漏洞扫描工具，工具的漏洞特征库应及时更新，禁止使用未经授权的其他漏洞扫描工具。

第十条 漏扫计划

漏洞扫描前应制订漏洞扫描计划，分阶段实施漏洞扫描工作，确保办公网每年完成一次全面的漏洞扫描，生产网根据实际情况和管理需求进行漏洞扫描。

第四章 漏洞扫描流程

第十一条 确定漏扫目标

实施信息系统漏洞扫描前，运维中心安全组应明确扫描范围、目标、扫描接入点、时间和执行人。

第十二条 评估漏扫计划

由思度安全运营中心风险管理组组织相关部门评估计划的可行性，评估实施漏洞扫描的风险并做好应急处理准备，各相关部门做好漏洞扫描前的准备工作。

第十三条 实施扫描

漏洞扫描执行人应严格按照漏洞扫描计划实施扫描；扫描过程中，各相关部门应监控本部门范围内目标主机的运行情况，发现异常应立即报告运维中心安全组。

第十四条 漏扫异常处置

漏洞扫描过程中所产生的异常若影响生产运行，漏洞扫描执行人应立即停止扫描，协同相关部门查找异常原因，排除异常后方能继续扫描，若异常无法排除，应取消扫描。

第十五条 检查主机情况

漏洞扫描完成后，各相关部门应检查本部门范围内目标主机的运行情况，并在一个工作日内反馈给运维中心安全组。

第十六条 制定漏扫报告

运行中心安全组应组织各相关部门对漏洞扫描工具生成的结果进行确认，并根据反馈意见编制《信息系统漏洞扫描报告》，逐级提交至信息安全工作指挥小组审议。漏洞扫描结果应严格保密，严格控制流转范围。

第十七条 漏洞修复

根据漏洞扫描报告，运维中心安全组应以部门（职能组）为单位发布信息系统漏洞修补的通知。相关部门应指派专人从运维中心安全组获取详细的漏洞信息。运行中心安全组协助相关部门制订《信息系统漏洞修补通知》，其内容应包括：改进责任人、改进措施和时间安排。

第五章 漏洞扫描工具管理

第十八条 工具安全管理

运维中心安全组应为漏洞扫描工具设置高强度的密码。密码长度应不少于12位，为数字、字母、特殊符号的组合。密码分两段生成，密封至不同的密码信封中，由运维中心综合组负责人管理。

第十九条 工具保管管理

扫描工具使用完毕后，使用人应及时将漏洞扫描工具归还保管人，若使用时间超过申请时间，应重新申请。

第六章 附则

本细则有思度安全运营中心制定、修订和解释。 本细则自发布之日起生效。 记录 《信息系统漏洞扫描报告》 《信息系统漏洞修补通知》