本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 定义漏洞管理计划 准备云漏洞管理计划的第一步是定义*漏洞管理计划*。该计划包括您的组织遵循的策略和流程。该计划应记录在案,供所有利益相关者查阅。漏洞管理计划是一份高级文档,通常包括以下部分: + **目标和范围**:概述漏洞管理的目标、功能和范围。 + **角色和职责**:列出漏洞管理利益相关者并详细说明其职责。 + **漏洞严重性和优先级定义**:确定如何对漏洞的严重性进行分类以及如何确定漏洞的优先级。 + **补救****服务级别协议 (SLAs)**-对于每个严重性级别,定义修正所有者解决安全发现的最长时间。由于 SLA 合规性是制定有效且可扩展的漏洞管理计划不可或缺的一部分,因此请考虑如何跟踪您是否符合这些 SLAs要求。 + **例外流程**:详细说明提交、批准和更新例外情况的流程。此流程应确保例外情况合法、有时限且可跟踪。 + **漏洞信息来源**:列出生成安全调查发现的来源或工具。有关 AWS 服务 这可能是安全发现来源的更多信息,请参阅本指南[配置 AWS 安全服务](configure-aws-security-services.md)中的。 尽管这些内容部分在各种规模和行业的公司中很常见,但每个组织的漏洞管理计划都是独一无二的。您需要制定最适合组织的漏洞管理计划。随着时间的推移,您需要不断迭代计划,以纳入吸取的经验教训和不断演进的技术。