适用范围本制度适用于虹微公司管理的所有信息系统，非虹微公司管理的信息系统可参照执行。
2正文
21术语定义
211信息安全I
formatio
security保护、维持信息的保密性、完整性和可用性，也可包括真实性、可核查性、抗抵赖性、
可靠性等性质。212信息安全漏洞I
formatio
securityvul
erability信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷，这些缺
陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体利用，就会对信息系统的安全造成损害，影响信息系统的正常运行。
213资产Asset安全策略中，需要保护的对象，包括信息、数据和资源等等。
214风险Risk资产的脆弱性利用给定的威胁，对信息系统造成损害的潜在可能。风险的危害可通过事
件发生的概率和造成的影响进行度量。215信息系统（I
formatio
system）由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的
以处理信息流为目的的人机一体化系统，本制度信息系统主要包括操作系统、网络设备以及应用系统等。
第3页共9页
f22职责分工
221安全服务部：负责信息系统安全漏洞的评估和管理，漏洞修复的验证工作，并为发现的漏洞提供解决
建议。222各研发部门研发部门负责修复应用系统存在的安全漏洞，并根据本制度的要求提供应用系统的测试
环境信息和源代码给安全服务部进行安全评估。223数据服务部数据服务部负责修复生产环境和测试环境操作系统、网络设备存在的安全漏洞，并根据
本制度的要求提供最新最全的操作系统和网络设备的IP地址信息。
23安全漏洞生命周期
依据信息安全漏洞从产生到消亡的整个过程，信息安全漏洞的生命周期可分为以下几个阶段：
a漏洞的发现：通过人工或自动的方法分析、挖掘出漏洞的过程，且该漏洞可被验证和重现。
b漏洞的利用：利用漏洞对信息系统的保密性、完整性和可用性造成破坏的过程。c漏洞的修复：通过补丁、升级版本或配置策略等方法对漏洞进行修补的过程，使该漏洞不能被利用。d漏洞的公开：通过公开渠道（如网站、邮件列表等）公布漏洞信息的过程。
24信息安全漏洞管理
241原则信息安全漏洞管理遵循以下：a分级原则：应根据对业务影响程度，对安全漏洞进行分级；同时对不同级别的安全漏
洞执行不同的处理要求；b及时性原则：安全服务部应及时把发现的漏洞发布给相关的负责人；各部门在对安全
漏洞进行整改时，及时出具整改方案，及时进行研发或更新补丁和加固，及时消除漏洞与隐r