本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
定义漏洞管理计划
准备云漏洞管理计划的第一步是定义漏洞管理计划。该计划包括您的组织遵循的策略和流程。该计划应记录在案,供所有利益相关者查阅。漏洞管理计划是一份高级文档,通常包括以下部分:
-
目标和范围:概述漏洞管理的目标、功能和范围。
-
角色和职责:列出漏洞管理利益相关者并详细说明其职责。
-
漏洞严重性和优先级定义:确定如何对漏洞的严重性进行分类以及如何确定漏洞的优先级。
-
补救服务级别协议 (SLAs)-对于每个严重性级别,定义修正所有者解决安全发现的最长时间。由于 SLA 合规性是制定有效且可扩展的漏洞管理计划不可或缺的一部分,因此请考虑如何跟踪您是否符合这些 SLAs要求。
-
例外流程:详细说明提交、批准和更新例外情况的流程。此流程应确保例外情况合法、有时限且可跟踪。
-
漏洞信息来源:列出生成安全调查发现的来源或工具。有关 AWS 服务 这可能是安全发现来源的更多信息,请参阅本指南配置 AWS 安全服务中的。
尽管这些内容部分在各种规模和行业的公司中很常见,但每个组织的漏洞管理计划都是独一无二的。您需要制定最适合组织的漏洞管理计划。随着时间的推移,您需要不断迭代计划,以纳入吸取的经验教训和不断演进的技术。
