word格式，下載后可自由編輯PAGEPAGE28安全運維糾正預防控制管理規定（精選5篇）第一篇：安全運維糾正預防控制管理規定安全運維糾正預防控制管理規定1.建立安全運維監控中心基于關鍵業務點面向業務系統可用性和業務連續性進行合理布控和監測，以關鍵績效指標指導和考核信息系統運行質量和運維管理工作的實施和執行，深信通幫助用戶建立全面覆蓋信息系統的監測中心，并對各類事件做出快速、準確的定位和展現。實現對信息系統運行動態的快速掌握，以及運行維護管理過程中的事前預警、事發時快速定位。其主要包括：集中監控：采用開放的、遵循國際標準的、可擴展的架構，整合各類監控管理工具的監控信息，實現對信息資產的集中監視、查看和管理的智能化、可視化監控系統。監控的主要內容包括：基礎環境、網絡、通信、安全、主機、中間件、數據庫和核心應用系統等。綜合展現：合理規劃與布控，整合來自各種不同的監控管理工具和信息源，進行標準化、歸一化的處理，并進行過濾和歸并，實現集中、綜合的展現。快速定位和預警：經過同構和歸并的信息，將依據預先配置的規則、事件知識庫、關聯關系進行快速的故障定位，并根據預警條件進行預警。2.建立安全運維告警中心基于規則配置和自動關聯，實現對監控采集、同構、歸并的信息的智能關聯判別，并綜合的展現信息系統中發生的預警和告警事件，幫助運維管理人員快速定位、排查問題所在。同時，告警中心提供多種告警響應方式，內置與事件響應中心的工單和預案處理接口，可依據事件關聯和響應規則的定義，觸發相應的預案處理，實現運維管理過程中突發事件和問題處理的自動化和智能化。其中只要包括：事件基礎庫維護：是事件知識庫的基礎定義，內置大量的標準事件，按事件類型進行合理劃分和維護管理，可基于事件名稱和事件描述信息進行歸一化處理的配置，定義了多源、異構信息的同構規則和過濾規則。智能關聯分析：借助基于規則的分析算法，對獲取的各類信息進行分析，找到信息之間的邏輯關系，結合安全事件產生的網絡環境、資產重要程度，對安全事件進行深度分析，消除安全事件的誤報和重復報警。綜合查詢和展現：實現了多種視角的故障告警信息和業務預警信息的查詢和集中展現。告警響應和處理：提供了事件生成、過濾、短信告警、郵件告警、自動派發工單、啟動預案等多種響應方式，內置監控界面的圖形化告警方式；提供了與事件響應中心的智能接口，可基于事件關聯響應規則自動生成工單并觸發相應的預案工作流進行處理。3.建立安全運維事件響應中心借鑒并融合了ITIL（信息系統基礎設施庫）/ITSM（IT服務管理）的先進管理規范和最佳實踐指南，借助工作流模型參考等標準，開發圖形化、可配置的工作流程管理系統，將運維管理工作以任務和工作單傳遞的方式，通過科學的、符合用戶運維管理規范的工作流程進行處置，在處理過程中實現電子化的自動流轉，無需人工干預，縮短了流程周期，減少人工錯誤，并實現對事件、問題處理過程中的各個環節的追蹤、監督和審計。其中包括：圖形化的工作流建模工具：實現預案建模的圖形化管理，簡單易用的預案流程的創建和維護，簡潔的工作流仿真和驗證。可配置的預案流程：所有運維管理流程均可由用戶自行配置定義，即可實現ITIL/ITSM的主要運維管理流程，又可根據用戶的實際管理要求和規范，配置個性化的任務、事件處理流程。智能化的自動派單：智能的規則匹配和處理，基于用戶管理規范的自動處理，降低事件、任務發起到處理的延時，以及人工派發的誤差。全程的事件處理監控：實現對事件響應處理全過程的跟蹤記錄和監控，根據ITIL管理建議和用戶運維要求，對事件處理的響應時限和處理時限的監督和催辦。事件處理經驗的積累：實現對事件處理過程的備案和綜合查詢，幫助用戶在處理事件時查找歷史處理記錄和流程，為運維管理工作積累經驗。4.建立安全運維審核評估中心該中心提供對信息系統運行質量、服務水平、運維管理工作績效的綜合評估、考核、審計管理功能。其中包括：評估：遵循國際和工業標準及指南建立平臺的運行質量評估框架，通過評估模型使用戶了解運維需求、認知運行風險、采取相應的保護和控制，有效的保證信息系統的建設投入與運行風險的平衡，系統地保證信息化建設的投資效益，提高關鍵業務應用的連續性。考核：是為了在評價過程中避免主觀臆斷和片面隨意性，應實現工作量、工作效率、處理考核、狀態考核等功能。審計：是以跨平臺多數據源信息安全審計為框架，以電子數據處理審計為基礎的信息審計系統。主要包括：系統流程和輸入輸出數據以及數據接口的完整性、合規性、有效性、真實性審計。5.以信息資產管理為核心IT資產管理是全面實現信息系統運行維護管理的基礎，提供的豐富的IT資產信息屬性維護和備案管理，以及對業務應用系統的備案和配置管理。基于關鍵業務點配置關鍵業務的基礎設施關聯，通過資產對象信息配置豐富業務應用系統的運行維護內容，實現各類IT基礎設施與用戶關鍵業務的有機結合，以及全面的綜合監控。這其中包括：綜合運行態勢：是全面整合現有各類設備和系統的各類異構信息，包括網絡設備、安全設備、應用系統和終端管理中各種事件，經過分析后的綜合展現界面，注重對信息系統的運行狀態、綜合態勢的宏觀展示。系統采集管理：以信息系統內各種IT資源及各個核心業務系統的監控管理為主線，采集相關異構監控系統的信息，通過對不同來源的信息數據的整合、同構、規格化處理、規則匹配，生成面向運行維護管理的事件數據，實現信息的共享和標準化。系統配置管理：從系統容錯、數據備份與恢復和運行監控三個方面著手建立自身的運行維護體系，采用平臺監測器實時監測、運行檢測工具主動檢查相結合的方式，構建一個安全穩定的系統。6.安全備份防病毒安全：導出防病毒安全檢查報告、對有風險和中毒的文件與數據進行檢查，對病毒分析處理，定期檢測病毒，防止病毒對系統的影響。系統安全：定期修改系統Administrator密碼，主要修改AD、Cluster、服務器密碼；安裝操作系統補丁，系統重啟，應用系統檢查測試；數據庫的賬號、密碼管理，保證數據庫系統安全和數據安全；對系統用戶的系統登錄、使用情況進行檢查，對系統日志進行日常審計。安全隔離：安全隔離是指對IT應用系統的相關數據（包括應用系統的程序代碼、數據文件等）進行邏輯隔離、物理隔離等，以確保應用系統的安全性。如果開發商在開發、維護合作過程當中可能接觸到我公司的敏感數據，必須與南方基地簽訂安全保密協議，對安全等級為機密的IT應用系統（包括但不局限于企業內部的機密檔案信息等），我們需要對它的有關數據進行物理隔離，以提高應用系統的安全防范能力；對安全等級為秘密的IT應用系統以及應用系統的基礎數據（如綜合應用平臺的基礎數據、組織架構等），需要進行邏輯隔離。系統應用層面的訪問必須通過帳號進行訪問，系統的帳號及口令管理參照本規定的帳號管理部分；應用系統管理員或者專職的安全管理員應根據具體應用系統的數據的敏感度制定相應的安全隔離措施，具體措施包括但不限于訪問控制列表、安全加固、文件系統權限設定等。安全審計：安全審計的目的在指定周期內對信息系統的系統（操作系統、數據庫）用戶、系統管理員、應用層面的用戶、系統批處理任務等涉及財務報表的操作進行安全審計；流程：信息系統安全審計流程審計通知審計實施處理分析確認開始安全審計員ST-01審計通知ST-02系統審計/用戶審計系統審計SJ-01日志審計CF-01審計結果分析結束安全管理員用戶審計ST-03審計準備QR-01簽字確認應用管理員ST-04發送用戶清單CF-02根據審計結果處理用戶相關部門SJ-02用戶權限審計SJ-03發送審計結果郵件/公文通知審計內容工具權限矩陣表及用戶清單列表（系統用戶）權限矩陣表及清單列表（應用用戶）用戶權限清單表（審計后）信息系統安全審計報告系統掃描分析：掃描、檢查、評估并幫助修補安全網絡漏洞，管理整個網絡部署與管理補丁和服務程序包，自動檢查并刪除未經授權的應用程序，可以掃描識別出多種主流防毒軟件安裝及病毒庫更新情況，擁有強大的報告系統，能夠對服務器的安全策略和整體系統環境做出來安全評定，提供一個完整的網絡拓撲和整個網絡安全歷史記錄。分析報告：服務器能正常啟動與運行，服務與應用程序能正常啟動與運行，客戶端能正常地連接和訪問網絡服務與應用程序；EventLogs中的關鍵錯誤日志，應用程序日志中的關鍵錯誤記錄，各邏輯磁盤空間使用和剩余狀況。第二篇：運維管理規定運維規范第一章總則1.為加強公司各個項目后期的系統運維管理，確保系統能夠平穩、可靠地運行，更好地為客戶提供管理服務，特制定本規定。2.本規定適用所有進入運維環節的項目。3.運維人員應根據授權，處理本規定中所涉及的業務事項。第二章主機、服務器及數據庫系統的運維管理1.根據應用需求，主機、服務器及數據庫系統的配備和安裝、以及系統資源的使用等由公司項目實施部統一規劃。2.應指定專人作為系統管理員（系統工程師）和數據庫管理員，對系統的運行、管理、維護和安全負責，并按照有關規定負責系統和數據的備份與恢復。3.系統/數據庫管理員應定時對系統進行監控和定期的健康性檢查，分析系統運行和資源使用狀況，并進行必要的優化、調整和修正，及時消除隱患。如系統設置發生變化，或重新安裝系統，或安裝了新軟件，應在此后15個工作日內對系統進行密切跟蹤。4.及時解決處理系統運行過程中出現的異常問題和軟硬件故障，并采取必要措施，最大限度地保護好系統資源和數據資源。5.對于重大軟硬件系統故障，應立即通知部門領導，協調服務商，使系統盡快得以恢復運行；對于應用系統引發的系統異常或故障，應及時通知相關人員，并協同解決處理。6.每季度應對系統主機/服務器/數據庫進行一次停運維護，其操作必須嚴格按照操作規程進行。其他非正常性停運（故障引發的除外），應提出書面申請，并經部門領導批準后方可進行。同時做好相應的準備工作，最大限度地減少對業務操作帶來的影響。7.具有系統操作或管理權限的人員調離工作崗位或離職，應立即從系統中刪除該用戶；如該人員掌握超級用戶口令，應立即更換口令。第三章軟件系統的運維管理1.避免在用戶工作時間進行軟件版本升級工作，以免由于人為失誤造成業務中斷。2.軟件系統的安裝、升級等操作應保留完整的實施記錄。3.對軟件系統進行升級、更新補丁，應首先進行相關的測試，并在確認無誤后實施。4.對軟件系統進行升級、更新補丁，或進行系統的重新安裝等操作，應在實施前對原有系統及數據進行備份。5.變更系統配置，修改配置文件、參數文件時，應對原始配置數據（或文件）進行保留。6.軟件進行版本升級時，對于不影響業務的升級工作，須以書面形式詳細將計劃、方案、措施等報上級主管部門備案；對于影響業務的升級工作，必須提前兩周向上級通信主管部門以書面形式提出申請詳細報告計劃、方案、措施等，經批7.1.2.3.4.5.6.準后方可實施。維護人員應定期跟蹤所使用系統的軟件升級情況和升級后的新功能，必要時提出升級建議。第四章數據庫的運維管理對于數據庫的變更必須有記錄，可以回滾。無用表和字段要及時清理。從數據庫刪除數據一定要先備份再刪除。定期對數據庫數據進行自動備份，以便在故障發生后盡快恢復最新的數據。定期檢查備份的執行情況，確保備份操作正確執行。指定專人定期進行備份數據的恢復性試驗。1、嚴格操作原則：在系統上進行可能影響系統運行的參數設置、更改和維護等操作時，須有2人以上在場進行監護和確認，并作好詳細的操作記錄；2、提前溝通確認原則：軟件進行版本升級時，對于不影響業務的升級工作，必須提前與客戶方進行溝通，避免操作中人為失誤造成業務中斷；對于影響業務的升級工作，須提前與客戶方進行確認，達成一致后方可實施。3、遵守保密原則：對被運維系統單位的網絡、主機、系統軟件、應用軟件等的密碼、核心參數、業務數據等負有保密責任，不得隨意復制和傳播。第五章相關流程第三篇：計算機運維管理規定江蘇熔盛重工有限公司標準JiangsuRongshengHearyIndustriesCo.,Ltd計算機運維管理規定[版本1/修改0]年月日發布年月日實施編制：校對：審核：編制單位：會簽：審定：批準：計算機運維管理規定版本1.01.范圍本規定是對公司IT設備運行維護工作實施管理的基本依據。本規定包含了運維管理人員和技術人員的工作職責和行為標準。2.引用標準《中華人民共和國計算機信息系統安全保護條例》???????3.術語和定義4.培訓和資格所有信息部運維科成員應學習和掌握此程序，并嚴格遵照執行。5.運維管理職能5.1根據公司運維特點和運維要求，擬定本公司運維管理的方針、政策、保障計劃等提供領導決策，并組織實施；5.2貫徹公司關于運維管理的各項規章制度，擔負運維執勤、監控工作，掌握IT設備運行狀況，及時處理運維故障；5.3定期分析討論IT設備運行狀態和運行質量，對比各項數據，排除潛在故障隱患，提出改進意見；5.4保障公司用戶系統的正常運行，并為全公司用戶提供軟件應用的技術支持；5.5負責公司文件和LANDESK服務器的日常管理和重要數據的備份更新；5.6負責公司運維技術文檔資料的整理；5.7收集和反映公司IT設備使用人員的意見和建議，完善IT設備功能、改進IT設備性能，為全公司用戶提供滿意的服務。6.內部職責的劃分運維管理保障人員包括：管理人員、技術操作人員。6.1管理人員由運維科相關負責人和高級桌面工程師擔任。計算機運維管理規定版本1.06.2技術操作人員由運維科全體桌面技術人員組成。7.人員職責7.1管理人員職責a)完成公司運維的日常行政管理工作，負責檢查、督促、考核技術操作人員的工作情況。b)建立桌面管理方面相關技術及管理規范和制度，并組織公司各部門積極落實。c)負責公司IT類硬件設備的硬件維修、維護。d)負責對終端用戶計算機使用提供技術支持。e)負責各類標準桌面系統的安裝、使用維護、用戶技術支持與問題的解決。f)根據不同的崗位職責制定標準桌面清單。g)負責制定終端設備使用管理規范和維護制度。h)協助網絡工程師確保計算機網絡系統正常運行。7.2技術操作人員職責a)公司IT類硬件設備的硬件維修、維護。b)對終端用戶計算機使用提供技術支持。c)各類標準桌面系統的安裝、使用維護、用戶技術支持與問題的解決。d)對終端用戶進行標準桌面系統進行培訓。e)對各部門信息員進行日常運維的管理培訓。f)外單位維修的協調及跟蹤服務。8.計算機運維管理辦法計算機運維管理辦法主要包括計算機運維晨檢機制，計算機運維行為準則和安全保密制度。8.1計算機運維晨檢機制計算機運維每日晨檢內容包括：a)確認文件服務器運行狀態，檢查軟件是否有更新的需求；b)確認遠程管理服務器Landesk運行狀態正常；計算機運維管理規定版本1.0c)輔助控制臺連接功能測試，各技術操作人員對各自管理范圍內上一工作日計算機與Landesk服務器通信狀態進行檢查和記錄，并將超過一周未跟Landesk服務器通信的計算機記錄下來，列為當日檢查目標。d)確認OA流程平臺上的報修單的維修狀態，已經完成的認真填寫，做好記錄；未完成的列入當日工作計劃，及時幫助用戶解決問題。8.2計算機運維行為準則無論是上門服務還是Landesk遠程解決問題，運維管理保障人員在幫助用戶解決問題的過程中都需遵守以下規定：a)非工作需要，不得任意遠程連接或者使用用戶電腦；b)遵循“先溝通得到用戶許可，再動手解決問題”的基本服務策略；c)開始維修操作之前須提示用戶自己或幫助用戶保存當前工作內容；d)維修過程中在進行有可能對用戶數據造成破壞的操作前，需將其可能造成的后果告知用戶，相關數據妥善保存后，再進行下一步操作；e)未經用戶許可，不得對任何文件進行采集、存儲、傳遞、使用，在幫助用戶使用移動介質轉移文件之后，須當面徹底刪除移動介質內的文件拷貝；f)無論因任何原因跟用戶產生意見分歧，不得跟用戶爭吵，可在事后將事情經過以口頭或書面的形式向領導匯報，然后溝通處理問題。9.服務本節主要描述在運維過程中無論是主動檢查或是用戶報修問題的記錄，解決和跟蹤過程中的行為準則。9.1面向用戶服務用語規范作為桌面終端維護員在為用戶服務時，與用戶通話及當面交流的過程中盡量使用標準用語，能夠最快地了解用戶的問題所在。建議用下列標準用語。接起電話后，第一句：“您好，信息技術部運維科,請問你有什么需要幫助嗎？”第二句：“請您能留下您的姓名、部門和分機號碼來方便我們跟您聯系嗎？”第三句：“請問你是在使用什么系統時出現問題的，你能詳細描述一下問題的計算機運維管理規定版本1.0癥狀嗎？”第四句：“請問該問題最早是什么時候發生的，當時你做了什么操作？”……第N句：“我們會盡快為您解決這個問題并給您及時反饋的，再見”桌面終端維護員在接受用戶的電話時需要要耐心的詢問用戶碰到的問題，通過上述的標準用語，可以簡明快速地了解問題發生的地點（什么系統），時間，癥狀，起因（什么操作導致），節約問題解決的時間，并需要在維修單系統中做詳細的記錄，及時對問題跟蹤解決，同時要給用戶實時的反饋。9.2面向用戶服務承諾無論距離遠近，氣候好壞，工作量大小，只要接到用戶的報修單，我們就能確保30分鐘內做出響應。對于比較遠的地點，我們保證當日內到達現場。我們的服務理念：及時響應，優質服務！我們還對自己的服務提出了以下具體的承諾：a)30分鐘內對客戶申報的服務請求做出回應。b)節假日及周六日有人值班，保證用戶隨報隨修；c)維修人員及時抵達現場維修，以最快速度到達客戶指定地點；d)實行“先檢測故障，再報所需流程，最后排除故障”的服務政策；e)修不好或查不出故障，及時尋求幫助，不解決問題決不罷休；f)服務不滿意，用戶可隨時投訴，而且我們會給出反饋單通知用戶；g)對于需要硬件維修更換的IT產品，維修費用透明化，提供專業發票備檔，可隨時查詢；h)在服務作業方面，嚴格按服務程序及操作規程執行，確保服務質量；i)經技術操作人員維修的IT設備因服務質量造成故障再次發生，可以對相關技術操作人員做出投訴，技術操作人員存在主動性過失的，我們會在幫助您徹底排除故障的前提下，對相應技術操作人員做出處罰。10.本規定的最終解釋權屬于信息技術部第四篇：系統運維管理-信息安全漏洞管理規定信息安全漏洞管理規定版本歷史編制人：審批人：目錄目錄2信息安全漏洞管理規定41.目的42.范圍43.定義43.1ISMS43.2安全弱點44.職責和權限54.1安全管理員的職責和權限54.2系統管理員的職責和權限54.3信息安全經理、IT相關經理的職責和權限64.4安全審計員的職責和權限65.內容65.1弱點管理要求65.2安全弱點評估85.3系統安全加固85.4監督和檢查96.參考文件97.更改歷史記錄98.附則99.附件9信息安全漏洞管理規定1.目的建立信息安全漏洞管理流程的目的是為了加強公司信息安全保障能力，建立健全公司的安全管理體系，提高整體的網絡與信息安全水平，保證業務系統的正常運營，提高網絡服務質量，在公司安全體系框架下，本策略為規范公司信息資產的漏洞管理（主要包含IT設備的弱點評估及安全加固），將公司信息資產的風險置于可控環境之下。2.范圍本策略適用于公司所有在生產環境和辦公環境中使用的網絡系統、服務器、應用系統以及安全設備。3.定義3.1ISMS基于業務風險方法，建立、實施、運行、監控、評審、保持和改進信息安全的體系，是公司整個管理體系的一部分。3.2安全弱點安全弱點是由于系統硬件、軟件在設計實現時或者是在安全策略的制定配置上的錯誤而引起的缺陷，是違背安全策略的軟件或硬件特征。有惡意企圖的用戶能夠利用安全弱點非法訪問系統或者破壞系統的正常使用。3.3弱點評估弱點評估是通過風險調查，獲取與系統硬件、軟件在設計實現時或者是在安全策略的制定配置的威脅和弱點相關的信息，并對收集到的信息進行相應分析，在此基礎上，識別、分析、評估風險，綜合評判給出安全弱點被利用造成不良事件發生的可能性及損失/影響程度的觀點，最終形成弱點評估報告。4.職責和權限闡述本制度/流程涉及的部門（角色）職責與權限。4.1安全管理員的職責和權限1、制定安全弱點評估方案，報信息安全經理和IT相關經理進行審批；2、進行信息系統的安全弱點評估；3、生成弱點分析報告并提交給信息安全經理和IT相關經理備案；4、根據安全弱點分析報告提供安全加固建議。4.2系統管理員的職責和權限1、依據安全弱點分析報告及加固建議制定詳細的安全加固方案（包括回退方案），報信息安全經理和IT相關經理進行審批；2、實施信息系統安全加固測試；3、實施信息系統的安全加固；4、在完成安全加固后編制加固報告并提交給信息安全經理和IT相關經理備案；5、向信息安全審核員報告業務系統的安全加固情況。4.3信息安全經理、IT相關經理的職責和權限1、信息安全經理和IT相關經理負責審核安全弱點評估方案、弱點分析報告、安全加固方案以及加固報告。4.4安全審計員的職責和權限1、安全審計員負責安全加固后的檢查和驗證，以及定期的審核和匯報。5.內容5.1弱點管理要求通過定期的信息資產（主要是IT設備和系統）弱點評估可以及時知道公司安全威脅狀況，這對及時掌握公司主要IT設備和系統弱點的狀況是極為有重要的；通過評估后的安全加固，可以及時彌補發現的安全弱點，降低公司的信息安全風險。5.1.1評估及加固對象a)公司各類信息資產應定期進行弱點評估及相應加固工作。b)弱點評估和加固的信息資產可以分為如下幾類：i.網絡設備：路由器、交換機、及其他網絡設備的操作系統及配置安全性。ii.服務器：操作系統的安全補丁、賬號號口令、安全配置、網絡服務、權限設置等。iii.應用系統：數據庫及通用應用軟件（如：WEB、Mail、DNS等）的安全補丁及安全配置，需應用部門在測試環境測試通過后方可在正式環境中進行安全補丁加載。iv.安全設備：VPN網關、防火墻、各類安全管理系統等設備或軟件的操作系統及配置安全性。5.1.2評估及加固過程中的安全要求a)在對信息資產進行弱點評估前應制定詳細的弱點評估方案，充分考慮評估中出現的風險，同時制定對應的詳細回退方案。b)在對信息資產進行安全加固前應制定詳細的安全加固方案，明確實施對象和實施步驟，如涉及到其他系統，應分析可能存在的風險以及應對措施，并與關聯部門和廠商溝通。c)對于重要信息資產的弱點評估及安全加固，在操作前要進行測試。需經本部門經理的確認，同時上報信息安全經理和IT相關經理進行審批。d)對信息資產進行弱點評估和加固的時間應選擇在業務閑時段，并保留充裕的回退時間。e)對信息資產進行安全加固后，應進行總結并生成報告，進行弱點及加固措施的跟蹤。f)對信息資產進行安全加固完成后，應進行業務測試以確保系統的正常運行。加固實施期間業務系統支持人員應保證手機開機，確保出現問題時能及時處理。g)安全加固完成后次日，系統管理員及業務系統支持人員應對加固后的系統進行監控，確保系統的正常運行。h)弱點評估由IT相關經理和安全管理員協助進行，安全加固由系統管理員執行。如由供應商或服務提供商協助實施安全加固，則應由系統管理員確保評估和加固的有效性并提交信息IT信息安全經理和IT相關經理進行評定。5.2安全弱點評估5.2.1公司每季度進行一次弱點評估工作，信息資產的弱點評估由安全管理員負責。5.2.2在進行信息資產弱點評估時應采用公司認可的掃描工具及檢查列表，弱點評估計劃需由IT信息安全經理和IT相關經理進行確認和審批。5.2.3信息安全經理和IT相關經理弱點評估完成后，相關IT人員參考弱點評估報告編寫安全加固方案，并進行系統安全加固工作。5.2.4安全管理員在各系統完成安全加固后，組織弱點評估復查，驗證加固后的效果。5.2.5所有安全弱點評估文檔應交付信息安全經理和IT相關經理備案。5.3系統安全加固5.3.1安全加固a)公司每次完成安全弱點評估后，各系統管理員應根據弱點評估結果確定需要加固的資產，針對發現的安全弱點制定加固方案。b)安全加固前，加固人員應制定詳細的加固測試方案及加固實施方案（包括回退方案）并在測試環境中進行加固測試，確認無重大不良影響后才可實施正式加固。c)在完成安全加固后，加固人員應根據加固過程中弱點的處理情況編制加固報告。安全管理員應對加固后的信息資產進行弱點評估復查，評估復查結果作為加固的措施驗證。d)所有加固文檔應交付信息安全經理及IT相關經理備案。5.3.2緊急安全加固a)當安全管理部發現高危漏洞時，提出緊急加固建議，通知相關IT人員進行測試后進行緊急變更實施加固并事后給出評估報告。5.4監督和檢查5.4.1安全審計員負責對信息安全弱點管理的執行情況進行檢查，可通過安全漏洞掃描和現場人工抽查進行審計和檢查，檢查的內容包括弱點評估和安全加固的執行情況及相關文檔記錄。6.參考文件無7.更改歷史記錄IT-007-V01新版本發布8.附則本制度由信息技術部每年復審一次，根據復審結果進行修訂并頒布執行。本制度的解釋權歸信息技術部。本規定自簽發之日起生效，凡有與該規定沖突的，以此規定為準。9.附件無第五篇：糾正預防措施控制程序醫療投資有限公司文件編號XXX-QP8.5-20XX版本號B/0文件名稱糾正預防措施控制程序頁數31目的為了識別不合格問題的影響程度，采取有效的糾正預防措施，消除不合格發生的原因，防止不合格和潛在不合格再發生，實現質量管理體系的不斷完善和促進持續改進活動。2范圍適用于本公司質量管理體系所有過程。3權責3.1責任部門:負責不合格原因分析和對策措施的制訂與執行；3.2質量部：3.2.1負責將進貨檢驗中的不合格信息以書面形式反饋給采購、供應商并追蹤改善效果；3.2.2負責糾正與預防措施的追蹤驗證。3.2采購部：3.2.1負責聯絡及要求供應商對進貨的不合格原因進行分析及提出糾正預防措施并執行糾正預防措施、永久改善對策。3.2.2負責將供應商的改善對策、執行結果傳遞給質量部。3.3銷售部門負責將客戶抱怨信息傳遞給質量部，并將改善對策及執行效果回復客戶。3.4管代負責糾正和預防措施的管理、協調和監督檢查及有效性驗證工作。4程序要求4.1糾正預防措施的信息來源4.1.1

糾正措施來源a）顧客反復投訴、重大投訴及批量退貨時；b）產品