企业服务器操作系统补丁管理办法.docx

1.总则 1.1.目的为规范企业服务器操作系统补丁管理工作，及时有效更新系统补丁，消除安全隐患，保障系统安全、稳定运行，制定本办法。 1.2.管理原则操作系统补丁管理工作按照“归口管理、分级负责”的原则，实行“谁建设谁负责、谁使用谁负责、谁运维谁负责”，建设单位、使用单位和运维单位要严格建立补丁更新常态化机制，落实具体补丁升级工作，及时有效完成服务器补丁升级。 1.3.适用范围本办法中的补丁是指服务器操作系统安全漏洞相关的修复程序，适用于企业总部机关各部门、各企事业单位、股份公司各分（子）公司的服务器操作系统，包括WindowsServer、Linux、Unix等。 2.职责分工 2.1.信息化管理部负责制定服务器操作系统的补丁管理规范、标准及更新策略，制定补丁管理工作计划和流程；负责组织重要补丁风险评估、测试及分发等工作，并指导总部运行保障团队开展补丁升级工作；负责所有集中系统的补丁管理，监督检查总部和企业的补丁更新情况，审阅补丁报告，并对补丁升级过程中的例外情况进行评估确认。 2.2.总部机关各部门、事业部负责所属信息系统的服务器补丁管理及应用支持工作，负责本部门、本板块的风险评估，组织补丁测试、补丁安装、服务器重启等工作；配合做好集团公司统一组织的漏洞检查、补丁升级等工作。 2.3.各企事业单位、股份公司各分（子）公司负责本单位服务器补丁管理及应用支持工作，负责本单位的风险评估、补丁测试、补丁安装、服务器重启等工作；根据本单位实际情况，制定本单位具体补丁管理工作计划，配合做好总部统一组织的漏洞检查、补丁升级等工作。 2.4.总部运行保障团队负责总部服务器操作系统补丁升级的风险评估、补丁测试、补丁推送、补丁安装、服务器重启、镜像备份等工作；负责对企业提供技术支持。 3.管理内容 3.1.总体要求总部和企业的所有应用系统均纳入补丁升级管理，所有Windows服务器均加入sinopec.ad域。总部应用系统必须在总部IT运维平台登记并纳入总部补丁升级管理系统进行管理。 3.2.补丁更新总部信息化管理部每季度发布补丁信息公告，评估漏洞信息和相关补丁，分析补丁适用度与优先级，发起补丁更新流程，统一分发补丁，总部运行保障团队负责对总部范围内的所有服务器进行补丁升级维护；企业根据信息公告开展补丁升级工作。对影响重大、特殊的高危紧急事件，由总部信息化管理部统一发布针对性补丁，进行紧急补丁维护。 3.3.例外管理 3.3.1.例外登记应用系统服务器无法更新补丁或无法安装补丁管理客户端的，应用部门应向业务主管部门及信息化管理部门备案，并签署风险责任承担书。总部应用系统通过总部IT运维平台进行例外管理登记，企业每年将例外情况报总部信息化管理部备案。 3.3.2.例外处置例外处置包括安全防护软件加固、防火墙策略限制、有限的补丁支持等；遇高危、严重漏洞无法解决的，可临时对例外处置的服务器进行安全隔离、断网或强制下电处理，整改后视情况恢复。 4.监督检查信息化管理部负责对补丁升级情况进行监督检查，每年检查补丁更新情况。 5.附则各企事业单位、股份公司各分（子）公司依据本办法制定本单位补丁管理实施细则。 6.附件 6.1.补丁评级表 6.2.补丁风险责任书 6.3.补丁更新情况统计表 6.4.业务职责分工表