|
漏洞管理与合规相辅相成。正如遵循特定监管标准有助于有效管理漏洞,有效管理漏洞也有助于规避可致违规的安全事件。
|
但鉴于不同监管机构标准不同,既有效且合规的漏洞管理对不同组织机构而言可能意味着不同的东西。但有一个例外:风险!所有标准都强调了风险!具体有:
成都创新互联是一家专注于网站制作、
成都网站设计与策划设计,凤凰网站建设哪家好?
成都创新互联做网站,专注于网站建设十多年,网设计领域的专业建站公司;建站业务涵盖:凤凰等地区。凤凰做网站价格咨询:028-86922220
PCI DSS 要求 6.1 声明:公司企业必须 “设立漏洞发现过程,并为新发现的安全漏洞赋予风险评分。”
GDPR 第 32 条要求:实现 “恰当的技术性或组织性措施以确保适合风险情况的安全水平。”
HIPAA 安全规则强制要求:“评估电子健康信息的机密性、完整性和可用性所面临的潜在风险与漏洞。”
GLBA 安全规定要求:公司企业须 “识别并评估客户信息风险,评估当前风险控制安全措施的有效性。”
很多监管标准都要求评估风险并以此做出恰当响应才能达成并维持合规,以上几条不过摘录一二而已。在漏洞管理语境下,如 PCI DSS 要求 6.1 所述,合规就意味着基于风险给漏洞排序并修复。
但由于漏洞对各家公司意义不同,要做到按风险管理漏洞并不容易。准确评估首先要确定:
漏洞武器化的概率有多高;
如果武器化,对特定公司的影响是什么。
想要确定这几个变量,以下建议可供参考:
1. 了解资产情况
网站标题:风险的漏洞管理-创新互联
文章源于:
http://cdkjz.cn/article/jjosd.html
