翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
脆弱性管理計画を定義する
クラウド脆弱性管理プログラムを準備する最初のステップは、脆弱性管理計画を定義することです。この計画には、組織が従うポリシーとプロセスが含まれます。この計画は文書化され、すべての利害関係者がアクセスできるようにしておく必要があります。脆弱性管理計画は、通常、以下のセクションを含む高レベルのドキュメントです。
-
目標と範囲 — 脆弱性管理の目標、機能、範囲を概説します。
-
役割と責任 — 脆弱性管理の利害関係者を一覧表示し、それぞれの責任について詳しく説明します。
-
脆弱性の重要度と優先順位付けの定義 — 脆弱性の重要度を分類する方法と、優先順位の付け方を決定します。
-
修復のためのサービスレベルアグリーメント (SLA) – 重要度レベルごとに、修復所有者がセキュリティ検出結果を解決するために必要な最大時間を定義します。SLA コンプライアンスは、効果的でスケーラブルな脆弱性管理プログラムに不可欠な要素であるため、これらの SLA が満たされているかどうかを追跡する方法を検討します。
-
例外プロセス – 例外の提出、承認、更新のプロセスについて詳しく説明します。このプロセスでは、例外が正当であり、期限が設定され、追跡されていることを確実にする必要があります。
-
脆弱性情報のソース – セキュリティ検出結果を生成するソースまたはツールを一覧表示します。セキュリティ検出結果のソースとなる AWS のサービス 可能性のある の詳細については、このガイドAWS セキュリティサービスを設定するの「」を参照してください。
これらのセクションは、さまざまな規模や業界の企業で共通していますが、各組織の脆弱性管理計画は異なります。組織に最適な脆弱性管理計画を構築する必要があります。計画は、学んだ教訓と進化するテクノロジーを反映させるために、時間の経過と共に繰り返し更新されることが想定されます。
