Patch Management. 5.4.1 Leverandøren sætter indledningsvis Kundens Windows Update og yum-cron autokonfiguration op, således at Kundens Løsning autoopdaterer. Hvis Kundens Løsning kræver det, så kan Leverandøren deaktivere autoopdateringen. Såfremt, at Kunden har specifikke ønsker til patch management på Løsningen, kan dette aftales nærmere med Leverandøren. Leverandøren kan ikke holdes ansvarlig hvis en autoopdatering resulterer i en driftsafbrydelse på Kundens Løsning.
Patch Management. Patch Management processen gør det muligt for Leverandøren at levere opdateringer af Programmel i Systemet og programmel i Driftsmiljøet. Formålet med Patch er at rette fejl, samt afbøde sikkerhedsbrister og sikkerhedsrisici. En Patch er en afgrænset opdatering af Programmel i Systemet, programmel i Infrastrukturen (f.eks. operativsystemer, switches, firewalls m.v.), firmware til udstyr og / eller Tredjepartsprogrammel. Patches deles op i følgende fire kategorier: Kritisk Sårbarheder, hvis udnyttelse kan medføre kompromittering af fortrolighed, integri- tet eller tilgængeligheden af brugerdata i forbindelse med eks. persondataloven, eller eksekvering af kode uden advarsler eller prompter Vigtig Sårbarheder hvis udnyttelse kan medføre kompromittering af fortrolighed, integri- tet eller tilgængeligheden af brugerdata, eller systemresurser Moderat Patches, der har til formål at sikre, at sårbarheder afbødes i betydelig grad, såle- des at der ikke kan skabes prioritet A eller B incidents. Øvrige Patches, der ikke dækkes af Moderat sikkerhedspatches Leverandøren skal levere følgende ydelser: • Leverandøren skal opretholde og anvende sikkerhedsrettelser inden for rammerne af ydede tjenester og enhver infrastruktur, der anvendes til at levere denne service, som kunden kræver. • Leverandøren skal sikre sig at leve fuldt op til de i Bilag 7.2 stk. 13.4 nævnte lovgivningsmæs- sige krav • Leverandøren skal uden unødigt ophold informere KOMBITs Driftschef og Service Manager om identificerede sikkerhedsrettelser, der ikke kan anvendes i it-infrastrukturen. • Leverandøren skal sikre, at gældende sikkerhedsrettelser, efter frigivelse, er testet og imple- menteret i henhold til nedenstående skema. Sikkerhedsrettelser kategoriseret som kritiske af softwareproducenten, skal anvendes uden unødig forsinkelse • Leverandøren skal sikre og vedligeholde en Service Management Procedure, der inkluderer en Patch proces, og som indgår i Driftshåndbogen jf. Bilag 7.2.F Service Management Proceduren skal blandt andet indeholde følgende: • Patches risikoevalueres først hos Leverandøren, hvorefter udrulning foretages inden for de an- givne værdier. • Sikkerhedspatches testes før installation, og det skal sikres, at servere efter opdatering fungerer korrekt • Dokumentation, jf. bilag 4 og bilag 7.2.F, indeholdende overblik over installerede Patches samt publicerede, men endnu ikke installerede Patches. • Det er Leverandørens ansvar løbende at holde sig opdateret om og fremskaffe nye Patch...
Patch Management. Patching af Windows servere foretages med WSUS. Installation af sikkerhedspatche vil som standard blive foretaget i førstkommende ordinære servicevindue efter frigivelse fra leverandøren. Funktionelle patche vil blive installeret i forbin- delse med fejlsager eller i først kommende ordinære servicevindue efter beslutning om installation. For Red Hat Linux-servere gælder, at rolling patches installeres løbende med Red Hat Satellite. Ordinære servicevinduer er beskrevet i afsnit 4. Data lager Data lager er baseret på SAN teknologi med redundant opsætning.
Patch Management. Som et led i driften er Hostnordic ansvarlig for at udføre patch management på OS og software som specificeret i Bilag 1. Patch Management inddeles i tre typer: Hostnordic udfører planlagt patching af godkendte opdateringer til OS og software hver torsdag fra kl. 03:00 til 06:00 CET. Der orienteres ikke særskilt om disse opdateringer. Efter forudgående accept fra både Hostnordic og Kunden kan alternative patch tidspunkter aftales, f.eks. hvis der frigives en patch, som løser et væsentligt problem og derfor ønskes lagt på hurtigst muligt. Såfremt hensynet til Kundens eller datacenterets driftsstabilitet eller sikkerhed kræver det, kan Hostnordic undtagelsesvist udføre Nød Patch Management med en times varsel. Det kan for eksempel være hvis der udsendes en sikkerhedspatch, der lukker et kritisk sikkerhedshul i OS eller applikationer. I sådanne tilfælde orienterer Hostnordic Kundens primære kontaktperson via email.