欢迎来到广汇联合(北京)认证服务有限公司【官方网站】:
客户专访
更多
员工专访
更多
联系我们

广汇联合---遵守法规,快速

 反应,增值认证,客户满意!

  热线:
13681064228
13681064228
  Q Q:
来电咨询

ISO27001涉及的漏洞管理方法

发布时间:2020-11-27 作者:广汇联合 来源:广汇联合

ISO27001的A.12.6.1主要通过以下三个步骤进行漏洞管理: 
1、及时发现漏洞
越早发现漏洞,你就越有充足时间对其进行修复,至少向厂商上报这一漏洞,这样留给攻击者利用漏洞的时间就越少。
2、对组织的漏洞暴露情况进行评估
某个漏洞或一组漏洞对不同组织的影响可能不尽相同。您需要进行风险评估,找出您的资产和业务的重要漏洞,并对其进行优先级排序。 
3、将相关风险考虑在内的合理措施
找出最严重的漏洞后,需考虑采取措施,然后分配资源处理漏洞,也就是说,制定风险应对计划。
最明智的做法是要考虑漏洞的风险等级。
ISO27002为实现漏洞管理目标提供支持
ISO27002定义了实现漏洞管理目标的支撑行动,提供实施安全措施(如A.12.6.1)时需考虑的最佳实践。ISO 27002建议采取以下行动:
1、盘点资产
有效的漏洞管理取决于您所掌握的您的信息资产的相关信息,如软件厂商、软件版本,软件安装位置以及每个软件的负责人。 
2、明确职责
漏洞管理需进行多项不同活动(如监控、风险评估和纠正等),因此,为方便起见,需明确职责,合理分工,确保对资产进行合理追踪。 
3、明确参考资料
您的参考资料列表上应包含厂商站点、专业论坛和特别兴趣小组,从而了解漏洞与修复措施相关的新闻。
4、按照制定的流程处理漏洞
不论漏洞的紧急程度如何,以结构化方式处理漏洞非常重要。处理漏洞时应考虑变更管理或事件响应流程,因为这些流程考虑了漏洞优先级、时间响应和响应升级等方面,指导您该采取哪些行动。 
5、做好记录以供事后分析
(事后需进行分析)持续记录所发生的事件以及事件处理过程是非常重要的,因为这样您可以从事件中吸取教训,防止后续类似事件的发生。至少这样做可尽量减轻事件影响,改进漏洞管理流程。此外,确保定期进行评估,尽快改进和修复漏洞。

如您想更详细的了解ISO27001标准,需要ISO27001标准,请您网络搜索广汇联合,快人一步,成就管理者风范。