XX有限公司信息安全漏洞事件响应制度

XX有限公司 信息安全漏洞事件响应管理制度 目 录： 第一章：总则 第二章：组织机构与职责 第三章： 应急响应方案 第四章：信息安全漏洞事件应急响应流程 第一章 总则 1. 目的 为做好应对网络与信息安全漏洞事件的响应效率，提高应急处理能力，降低安全风险，结合本公司ISO27001信息安全管理体系制度，制定本管理制度。 2. 适用范围 本制度适用于XX有限公司及下属公司。 3. 相关定义 信息安全漏洞事件分为为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件、拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、干扰事件和其他网络攻击事件。 4. 漏洞分级 《信息安全技术安全漏洞等级划分指南》（GB/T30279-2013）规定了信息系统安全漏洞的等级划分要素和危害等级程度，给出了安全漏洞等级划分方法。据此标准开展漏洞处置工作。结合本公司情况安全漏洞划分为高危、中危、低危三个等级。 4.1. 高危漏洞是指可远程利用并能直接获取系统权限（服务器端权限、客户端权限）或者能够导致严重级别的信息泄漏（泄漏大量用户信息或学校机密信息）的