2.檢查與評估
一旦有新的補(bǔ)丁發(fā)布，網(wǎng)絡(luò)管理員將在發(fā)布后的4小時內(nèi)下載并檢查該補(bǔ)丁。管理員將根據(jù)下述標(biāo)準(zhǔn)對該補(bǔ)丁進(jìn)行分類:

不管面向什么平臺以及是否危險，所有的補(bǔ)丁發(fā)布必須遵循一個指定的過程，整個補(bǔ)丁的部署過程包括風(fēng)險評估，測試，計(jì)劃安裝時間，正式安裝，確認(rèn)安裝。

3.風(fēng)險評估與測試
在部署之前，網(wǎng)絡(luò)管理員要對一個補(bǔ)丁在公司的網(wǎng)絡(luò)上實(shí)施所產(chǎn)生的效果進(jìn)行評估。同時，網(wǎng)絡(luò)管理員部門要評估與該補(bǔ)丁相關(guān)的各平臺可能會受到的影響（比如，服務(wù)器，桌面計(jì)算機(jī)，打印機(jī)等等）。

如果管理員將某個補(bǔ)丁標(biāo)記為“緊急”，表明部門認(rèn)為公司網(wǎng)絡(luò)即將面臨嚴(yán)重的威脅。因此，在沒有部署補(bǔ)丁之前，等待補(bǔ)丁測試期間，公司網(wǎng)絡(luò)將承受巨大風(fēng)險。

無論補(bǔ)丁是否被認(rèn)定為“危險”級別，都必須在部署前，先進(jìn)行對相關(guān)平臺的影響測試。對于“危險”的補(bǔ)丁，網(wǎng)絡(luò)管理員會加快測試的進(jìn)程。管理員的部門必須在補(bǔ)丁部署之前，完成在所有平臺上的評定（比如，Windows，Unix，等等）。

4.告示及時間表
網(wǎng)絡(luò)管理部門領(lǐng)導(dǎo)必須在正式部署前審定具體的時間表。不考慮補(bǔ)丁本身是否屬于“危險”級別，每個補(bǔ)丁在發(fā)布之前必須生成一個技術(shù)更改請求（request for technical change，簡稱RTC），并得到批準(zhǔn)。公司的信息安全主管將決定何時需要向公司職員發(fā)布告示。

5.部署
網(wǎng)絡(luò)管理員將在補(bǔ)丁發(fā)布后8小時內(nèi)部署“緊急”級別的補(bǔ)丁。鑒于網(wǎng)絡(luò)所面臨的重大風(fēng)險，可能一個“緊急”的補(bǔ)丁還在測試當(dāng)中就被發(fā)布了。在所有情況下，部門必須對補(bǔ)丁進(jìn)行測試（無論是在補(bǔ)丁發(fā)布前測試或是一邊部署一邊測試），并進(jìn)行相關(guān)的記錄，以備審核和效果追蹤。

下面是一個示例的時間安排，關(guān)于如何發(fā)布重要的補(bǔ)丁：

當(dāng)需要部署“緊急”的補(bǔ)丁時，網(wǎng)絡(luò)管理員將從緊急狀態(tài)RTC以及公司處獲得批準(zhǔn)。而非緊急的補(bǔ)丁，則按照預(yù)先安排的“定期預(yù)防性維護(hù)”時間表進(jìn)行部署。每個補(bǔ)丁都應(yīng)當(dāng)有批準(zhǔn)的RTC。對于新網(wǎng)絡(luò)設(shè)備，每個平臺都須嚴(yán)格遵守事先規(guī)定的進(jìn)程，確保安裝了所有最新的補(bǔ)丁。

6.審核，評估以及驗(yàn)證
發(fā)布完畢所有的補(bǔ)丁之后，網(wǎng)絡(luò)管理人員將確認(rèn)補(bǔ)丁是否成功安裝，以及沒有產(chǎn)生副作用。

用戶責(zé)任以及實(shí)踐
這是每個用戶的責(zé)任——無論是公司的部門還是個人——必須確保審慎負(fù)責(zé)的使用計(jì)算機(jī)和網(wǎng)絡(luò)資源。

最后的想法
雖然這個策略很簡單，但是它道出了一個策略應(yīng)該涉及的所有細(xì)節(jié)——具體，何人，何故，何時，以及如何做。一旦你制定了你的補(bǔ)丁管理策略，不要讓它成為一紙空文，確保整個公司都會遵循它。