信息系统补丁及版本管理制度

一、总则

为加强机房系统补丁及版本的管理，规范补丁及版本的部暑流程，保证信息系统补丁及版本的及时更新，确保信息系统安全稳定高效的运行，特制定本办法。

本办法所涉及的补丁包括硬件微码补丁、操作系统补丁、数据库补丁和应用系统补丁。

本办法所涉及的版本包括网络设备、安全设备、存储、服务器、终端等硬件产品的操作系统版本，各类系统软件(数据库、中间件)及各类业务系统的版本

二、适用范围

机房负责部暑在信息中心的各类软硬件产品的补丁及版本更新工作及市本级各类终端设备的补丁及版本更新工作。

信息中心负责本级各类软硬件产品的补丁及版本更新工作及终端设备的补丁及版本更新工作

三、职贵分工

补丁版本管理

硬件设备操作系统版本管理员，每月和相关厂商联系，获取操作系统版本的最新情况，并对版本的更新后可能会产生的影响进行评估，确认是否可以升级，升级版本之前先做备份。

各类业务系统应该部署与之相应的测试系统，版本升级之前应做充分的测试，测试2天后无重大问题可进行正式部暑，并将版本升级后做的改动内容告知各使用对象。

3.1操作系统管理员

3.1.1负责各操作系统(含浏览器、办公软件)补丁的管理。

3.1.2负责收集操作系统漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。

3.1.3负责提出操作系统漏洞修补要求和相关防护措施，审批变更计划。

3.2数据库管理员

3.2.1负责各数据库补丁的管理。

3.2.2负责收集数据库漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。

3.2.3负责提出数据库漏洞修补要求和相关防护措施，审批变更计划。

3.3系统管理员

3.3.1负责各应用系统(含中间件)补丁的管理。

3.3.2负责收集应用系统漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。

3.3.4负责提出数应用系统洞修补要求和相关防护措施，审批变更计划。

3.4补丁测试

3.4.1负责部署测试环境，负责测试补丁和测试结果的记录。

3.4.2负责跟踪最新补丁信息和下载补丁。

四、补丁管理

4.1补丁由信息中心统一进行下载、测试和安装，未经许可，不可私自下载安装。

4.2补丁来源需为原厂官方网站或原厂工作人员，对于非法的补丁禁止安装。

4.3补丁安装前，应先做好系统和数据备份工作，避免出现问题进行回退，经严格测试通过后方可安装，对测试不成功的补丁严禁安装。

4.4测试中发现的问题应做详细分析，判断发生问题的原因并及时解决，如果不能解决，须记录发生问题的环境，立即反馈给原厂商

4.5对于刚发布的严重等级漏洞(无补丁)或未通过测试的补丁，可采用临时解决办法消除漏洞的威胁或者暂时接受该风险。

4.6制订补丁修补计划，须先分析信息资产、T系统环境、T网络环境和信息资产重要等级，确定需要安装的补丁和相应严重等级，同时明确修补时间、修补方式和修补范围。

4.7补丁安装须先填写变更工单(或工作票)，相应补丁管理员和应用系统管理员对变更的必要性、风险和修补计划进行评审，评审通过后由应用系统管理员安排运维人员全过程配合补丁安装员完成补丁的安装和应用系统的测试

4.8补丁安装顺序遵循“资产价值大、威胁等级高优先安装”的原则。对于漏洞级别为严重的补丁，无特殊情况须在补丁发布后1星期内安装。

4.9补丁安装完成后应进行全面检查，以确认补丁安装情况，同时制定补丁列表。

五、附则

5.1本办法由本单位信息中心负责解释

5.2本办法自发布之日起施行