由於經常發現保安漏洞，而相應推出的修補程式也與日俱增，修補程式管理程序便成為保障資訊系統安全的重要一環。

計劃修補程式管理

• 編製及備存機構內部硬件和軟件清單

系統管理員應編製及備存一份清單，用以記錄硬件設備、軟件程式和最常用軟件程式的版本編號。這份清單有助系統管理員監控保安漏洞，以及找出適用於機構內部硬件、軟件和應用系統的修補程式。

各主要類別的資訊科技資源，例如用戶工作站電腦和檔案伺服器等可統一配置。統一配置可簡化修補程式測試和應用程序，並可減少修補程式管理所需的人手。

如果沒有終端用戶的參與，修補程序不可能完善。如果用戶清楚認識資訊科技保安和修補程式管理對日常操作的重要性，並獲得足夠的培訓，懂得自行對工作站和桌上電腦進行簡單的修補，定能減輕系統管理員的工作量，提高對保安漏洞的警覺性。

系統管理員應按硬件及軟件記錄清單，經常留意資訊科技保安來源是否有發放有關的漏洞信息和修補程式。對於一些尚未有修補程式的漏洞，系統管理員應採取折衷解決方案或其他風險防範措施。 兩個主要的資料來源是：

•  供應商網站和郵寄名單
有關特定產品的漏洞和修補程式的資料，供應商網站大抵是最可靠的來源。

•  第三者保安漏洞諮詢網站
第三者漏洞諮詢網站可涵蓋大量產品，並可能比產品供應商更早公布最新的漏洞。這些第三者網站可提供有關漏洞的詳細資料。

為修補程序編定時間表和先後次序

於資源有限，系統管理員可能需要為修補程序編定先後次序，並進行風險評估，以判斷應優先修補的系統。系統管理員一般可根據以下元素編定先後次序：

•  保安威脅
保安威脅是針對資訊或系統的任何潛在危機。保安威脅可以是人為或自然產生。經常面對較大保安威脅的系統包括網站伺服器、電郵伺服器和儲存敏感資料的伺服器。

•  漏洞
漏洞是可能導致系統保安受破壞的薄弱環節。漏洞的特點是缺乏保障措施或保障措施薄弱以致攻擊者有機可乘。漏洞包括防火牆的開放埠、不再使用的用戶賬戶、不受限制的調解器撥號上網等。供應商會根據不同的嚴重程度（例如高、中、低）報告漏洞。

•  重要程度
重要程度取決於系統對業務運作的重要性或價值。常被視為對業務至關重要的系統包括郵件伺服器、數據庫伺服器和網絡基建。 所受威脅較大、漏洞較多或對業務至關重要的系統，一般在修補程式管理程序中應予以優先處理。 在編定修補工作的先後次序後，應制訂行動計劃，以便進行測試、分發修補程式、安裝修補程式、例外情況處理和報告等工作。

測試修補程式

測試修補程式的主要目的是：

•  確定修補程式不會影響現有軟件的正常操作；

•  確保漏洞已獲預期般修復及糾正。

為確保測試準確無誤，可按照以下步驟進行測試：

1. 檢驗修補程式的來源和完整性，以確保修補程式為有效，而且沒有被意外竄改。

2.   對要修補的系統或類似配置的系統進行測試。

3.   檢查所有相關的軟件，以確保在安裝修補程式後軟件操作正常。

4.   檢查修補程式是否已按供應商的說明文件所載，糾正擬修補的所有檔案和配置設定。

安裝修補程式

有關安裝修補程式，並沒有一套所有軟件和操作系統均適用的方法。修補漏洞可能涉及安裝全新版本的軟件，亦有可能只須簡單地修改配置設定。因此，修補程式管理程序往往與更改管理程序互相配合。

各操作系統和應用系統的供應商均有安裝修補程式和更新產品的獨特方法。所以，系統管理員宜細閱供應商提供的相關說明文件。

在安裝修補程式前，系統管理員還應為應變、備份和復原制訂計劃。如果修補程式對主機產生意料之外或無法預料的影響，系統管理員便能夠及時將系統還原到安裝修補程式前的狀態。

修補程式管理方案

市面上有各種不同的修補程式開發工具。其中一部分由產品供應商提供，另一些則由第三者供應商開發。第三者修補程式管理方案包括 BigFix Enterprise Suite 、 Ecora Patch Manager 、 HFNetChkPro 、 Patchlink Update 、 Service Pack Manager 2000 和 UpdateExpert 。這些工具能夠找出各系統和網絡缺少了的修補程式，並提供部署修補程式的方法及追蹤修補程式狀態的報告，因而有助簡化修補程式管理程序。 產品供應商微軟也提供了「使用軟件更新服務（ SUS ）」和「使用系統管理服務器（ SMS ）」等修補程式管理解決方案。透過 SUS ，整個網絡的電腦均能自動部署關鍵更新和即時修補程式，用戶無需開啟每一部電腦或編寫指令集。 SMS 是為微軟視窗伺服器和工作站操作系統提供配置和更改管理的企業管理工具。