安全策略：如何建立补丁管理策略

审查和评估
一旦发现新补丁，网络运营部需在补丁发布的4小时内下载并进行审查，并按以下标准对补丁的危险程度性进行分级：

所有发布的补丁，无论用于何种平台或者重要性如何，都要按补丁实施程序进行风险评估、测试、计划安排、安装和校验。

风险评估与测试
网络运营部需要在实施补丁前对补丁可能给企业基础设施带来的影响进行评估。还要对每个相关平台（如服务器、桌面电脑、打印机等）的危险程度进行评估。

如果网络运营部将某个补丁定为“紧急”，说明他们认为XYZ网络公司的网络马上面临威胁。所以，XYZ网络公司如果没有马上实施补丁，而是首先进行测试，可能将面临更大的风险。

“危险”和“不危险”级别的补丁需在实施前进行对每个平台影响程度的测试。网络运营部会加快对“危险”级补丁的测试。实施补丁之前，必须完成在所有典型平台（如Windows，UNIX等）上的验证。

通告和计划的制订
网络运营部的管理层必须在实施之前对实施计划进行批准。无论危险程度如何，每个补丁都需要提出技术性变更申请（RTC）并获得批准后才可以发布。XYZ网络公司的CISO将决定什么时候通知员工是必要的。

实施
对于“紧急”补丁，网络运营部将在补丁的有效期8小时内完成补丁的实施。由于“紧急”补丁表示网络可能很快面临威胁，因此所发布的补丁版本应该已经经过测试。在任何情况下，网络运营部都要进行测试（包括实施前测试和实施后测试），并进行记录以供审查和追踪。

以下是一个危险补丁的时间表：

网络运营部通过提交紧急RTC及XYZ网络公司的批准后获得实施危险补丁的授权。对于非危险性的补丁，网络运营部会在日常定期预防性维护中实施。每个补丁也会获得RTC的批准。对于新的网络设备，每个平台都要相应建立加强程序，以确保能够安装最新的补丁。

审查、评估和验收
在所有补丁发布以后，网络运营部员工需要检验所有补丁已安装成功，没有产生负面影响。

用户职责和实际操作
每一位用户，无论个人还是企业内部，都有责任谨慎地确保计算能力和网络资源的使用安全。

总结
尽管策略简单，但是依然详细规定了什么人，为什么，何时以及如何进行等一般策略内容。补丁管理策略一旦适当地建立，就不要停留在纸面上，务必保证整个公司能够遵照执行。