信息系统漏洞扫描管理实施细则
总则
为规范科技发展部信息系统漏洞扫描工作，指导漏洞扫描工作的具体实施，特制定本细则。
本细则所称漏洞是指网络设备、操作系统和应用系统等信息系统中能被利用并造成安全危害的弱点；漏洞扫描是指使用漏洞扫描工具进行探测，找到信息系统存在的安全隐患的过程；目标主机是指漏洞扫描的对象。
本细则适用于科技发展部信息系统漏洞扫描相关的各项工作。
角色与职责
信息安全工作指挥小组负责审批漏洞扫描计划，审议漏洞扫描的报告和漏洞处理计划。
科技发展部风险管理组负责漏洞扫描相关各项工作的监督与检查。
运维中心安全组负责制订漏洞扫描计划、申请使用漏洞扫描工具、执行漏洞扫描、处理和分析扫描结果并形成报告、发布漏洞修复的通知以及跟踪漏洞修复的实施情况。
运维中心网络管理组负责为信息系统漏洞扫描的实施提供网络支持，配合安全组确定扫描接入点，提供目标主机的IP地址等网络信息。
各部门负责配合漏洞扫描的实施，包括：提供漏洞扫描计划中目标主机的相关信息、参与评估实施漏洞扫描的风险并做好相应的应急准备、制订信息系统漏洞修补计划并实施修补改进措施。
基本要求
信息系统漏洞扫描应使用指定的漏洞扫描工具，工具的漏洞特征库应及时更新，禁止使用未经授权的其他漏洞扫描工具。
漏洞扫描前应制订漏洞扫描计划，分阶段实施漏洞扫描工作，确保办公网每年完成一次全面的漏洞扫描，生产网根据实际情况和管理需求进行漏洞扫描。
漏洞扫描流程
实施信息系统漏洞扫描前，运维中心安全组应明确扫描范围、目标、扫描接入点、时间和执行人。
由科技发展部风险管理组组织相关部门评估计划的可行性，评估实施漏洞扫描的风险并做好应急处理准备，各相关部门做好漏洞扫描前的准备工作。
漏洞扫描执行人应严格按照漏洞扫描计划实施扫描；扫描过程中，各相关部门应监控本部门范围内目标主机的运行情况，发现异常应立即报告运维中心安全组。
漏洞扫描过程中所产生的异常若影响生产运行，漏洞扫描执行人应立即停止扫描，协同相关部门查找异常原因，排除异常后方能继续扫描，若异常无法排除，应取消扫描。
漏洞扫描完成后，各相关部门应检查本部门范围内目标主机的运行情况，并在一个工作日内反馈给运维中心安全组。
运行中心安全组应组织各相关部门对漏洞扫描工具生成的结果进行确认，并根据反馈意见编制《信息系统漏洞扫描报告》，逐级提交至信息安全工作指挥小组审议。漏洞扫描结果应严格保密，严格控制流转范围。
根据漏洞扫描报告，运维中心安全组应以部门（职能组）为单位发布信息系统漏洞修补的通知。相关部门应指派专人从运维中心安全组获取详细的漏洞信息。运行中心安全组协助相关部门制订《信息系统漏洞修补通知》，其内容应包括：改进责任人、改进措施和时间安排。
漏洞扫描工具管理
运维中心安全组应为漏洞扫描工具设置高强度的密码。密码长度应不少于12位，为数字、字母、特殊符号的组合。密码分两段生成，密封至不同的密码信封中，由运维中心综合组负责人管理。
扫描工具使用完毕后，使用人应及时将漏洞扫描工具归还保管人，若使用时间超过申请时间，应重新申请。
附则
本细则有科技发展部制定、修订和解释。
本细则自发布之日起生效。
记录
《信息系统漏洞扫描报告》
《信息系统漏洞修补通知》
附件一：
修订记录
日期（年月日)
版本
描述
作者
审批人
审批日期
20161017
1.0 发布稿
刘春宇
李树峰
20161103