漏洞管理方法--ISO27001及ISO27002

時間：2020-08-24作者：廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司瀏覽：139

您一定遇到過，系統(tǒng)正常運行得好好地突然無緣無故變得很慢或近乎停止運行。IT人員奮戰(zhàn)數(shù)小時使所有系統(tǒng)恢復(fù)在線正常運行。最后IT人員發(fā)現(xiàn)事件的根本原因在于信息系統(tǒng)中存在缺陷。該缺陷可能會被蓄意或無意地利用，導(dǎo)致系統(tǒng)故障。

這種情況再平常不過了，有時候會導(dǎo)致較嚴(yán)重的后果：數(shù)據(jù)丟失或被竊取，且造成運營損失，中斷業(yè)務(wù)。那如何處理以上情況呢？且看下文解說：

漏洞是什么及漏洞如何產(chǎn)生的？

ISO 27000概述了ISO信息安全管理系統(tǒng)及詞匯表，規(guī)定漏洞為資產(chǎn)或安全措施中存在的可由一個或多個威脅利用的缺陷。同時，ISO 27000將威脅定義為可對系統(tǒng)或組織造成損害的意外事件的可能原因。  因此，若威脅發(fā)現(xiàn)可利用的缺陷，就出現(xiàn)了漏洞。然而，缺陷來自何處？一般來說，缺陷是資產(chǎn)或安全措施在設(shè)計、實施、配置或運行過程中存在的不足之處。疏忽大意或故意行為均可導(dǎo)致缺陷。有些缺陷很*識別、糾正和利用，而有些則需要投入時間、精力和資源。

ISO 27001涉及的漏洞管理方法

ISO 27001的A.12.6.1主要通過以下三個步驟進(jìn)行漏洞管理： 

1、及時發(fā)現(xiàn)漏洞
越早發(fā)現(xiàn)漏洞，你就越有充足時間對其進(jìn)行修復(fù)，至少向廠商上報這一漏洞，這樣留給攻擊者利用漏洞的時間就越少。

2、對組織的漏洞暴露情況進(jìn)行評估
某個漏洞或一組漏洞對不同組織的影響可能不盡相同。您需要進(jìn)行風(fēng)險評估，找出您的資產(chǎn)和業(yè)務(wù)的重要漏洞，并對其進(jìn)行**級排序。 

3、將相關(guān)風(fēng)險考慮在內(nèi)的合理措施
找出較嚴(yán)重的漏洞后，需考慮采取措施，然后分配資源處理漏洞，也就是說，制定風(fēng)險應(yīng)對計劃。
較明智的做法是要考慮漏洞的風(fēng)險等級。

ISO 27002為實現(xiàn)漏洞管理目標(biāo)提供支持

ISO 27002定義了實現(xiàn)漏洞管理目標(biāo)的支撐行動，提供實施安全措施（如A.12.6.1）時需考慮的較佳實踐。ISO 27002建議采取以下行動：

1、盤點資產(chǎn)
有效的漏洞管理取決于您所掌握的您的信息資產(chǎn)的相關(guān)信息，如軟件廠商、軟件版本，軟件安裝位置以及每個軟件的負(fù)責(zé)人。 

2、明確職責(zé)
漏洞管理需進(jìn)行多項不同活動（如監(jiān)控、風(fēng)險評估和糾正等），因此，為方便起見，需明確職責(zé)，合理分工，確保對資產(chǎn)進(jìn)行合理追蹤。 

3、明確參考資料
您的參考資料列表上應(yīng)包含廠商站點、專業(yè)論壇和特別興趣小組，從而了解漏洞與修復(fù)措施相關(guān)的新聞。

4、按照制定的流程處理漏洞
不論漏洞的緊急程度如何，以結(jié)構(gòu)化方式處理漏洞非常重要。處理漏洞時應(yīng)考慮變更管理或事件響應(yīng)流程，因為這些流程考慮了漏洞**級、時間響應(yīng)和響應(yīng)升級等方面，指導(dǎo)您該采取哪些行動。 

5、做好記錄以供事后分析
（事后需進(jìn)行分析）持續(xù)記錄所發(fā)生的事件以及事件處理過程是非常重要的，因為這樣您可以從事件中吸取教訓(xùn)，防止后續(xù)類似事件的發(fā)生。至少這樣做可盡量減輕事件影響，改進(jìn)漏洞管理流程。此外，確保定期進(jìn)行評估，盡快改進(jìn)和修復(fù)漏洞。

 我們舉一個漏洞管理例子：“心臟滴血”漏洞在2014年被發(fā)現(xiàn)，可通過加密通信導(dǎo)致信息被竊取。通過閱讀資產(chǎn)庫中定義的參考資料，組織發(fā)現(xiàn)該漏洞可影響一些被視為關(guān)鍵性的資產(chǎn)。通過采用變更管理流程，您可通過補丁部署規(guī)劃合理的缺陷糾正措施，以加密方式傳輸信息，安裝補丁，將信息泄露風(fēng)險降至較低。 

不要被自己的防護(hù)措施中的漏洞打敗。由于市場需要較快速的軟件交付及更多特性，將會有更多漏洞出現(xiàn)。因此，為確保您的信息資產(chǎn)安全、維護(hù)企業(yè)形象以及保持競爭力，制定漏洞發(fā)現(xiàn)和處理計劃非常重要。您會發(fā)現(xiàn)，通過對ISO 27001和27002推薦的漏洞控制措施進(jìn)行調(diào)整，使其與您的業(yè)務(wù)需求相匹配會省掉很多麻煩和不必要的工作，盡量減小對公司信譽的損失和影響。 

如您想較詳細(xì)的了解更多認(rèn)證資訊，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。
廣匯聯(lián)合：壹 叁 陸 捌 壹 零 陸 肆 貳 貳 捌

如您想較詳細(xì)的了解更多認(rèn)證資訊，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。
廣匯聯(lián)合：壹 叁 陸 捌 壹 零 陸 肆 貳 貳 捌

如您想較詳細(xì)的了解更多認(rèn)證資訊，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。
廣匯聯(lián)合：壹 叁 陸 捌 壹 零 陸 肆 貳 貳 捌


廣匯聯(lián)合（北京）認(rèn)證服務(wù)有限公司專注于服務(wù)認(rèn)證,IT信息管理認(rèn)證 ,三體系認(rèn)證等

• 詞條

  詞條說明

• ISO27001認(rèn)證的主要步驟ISO27001認(rèn)證的主要步驟

  1、ISO27001認(rèn)證策劃與準(zhǔn)備、策劃與準(zhǔn)備階段主要是做好建立信息安全管理體系的各種前期工作。內(nèi)容包括教育培訓(xùn)、擬定計劃、安全管理發(fā)展情況調(diào)研，以及人力資源的配置與管理。 2、ISO27001認(rèn)證確定信息安全管理體系適用的范圍 信息安全管理體系的范圍就是需要重點進(jìn)行管理的安全領(lǐng)域。組織需要根據(jù)自己的實際情況，可以在整個組織范圍內(nèi)、也可以在個別部門或領(lǐng)域內(nèi)實施。在本階段的工作，應(yīng)將組織劃分成不同的

• 信息安全體系認(rèn)證-ISO27001

  ISO27001體系認(rèn)證，對于眾多信息服務(wù)提供商來說，意義并不僅**于信息服務(wù)符合規(guī)程和提高服務(wù)質(zhì)量。信息安全管理體系認(rèn)證作為檢驗一個企業(yè)在信息安全方面的一個標(biāo)準(zhǔn)，是能夠幫助公司形成一個約束員工、規(guī)范信息交流活動、推動公司業(yè)務(wù)發(fā)展越具系統(tǒng)化和管理化。 任何一家企業(yè)都是離不開體系認(rèn)證的，就如ISO27001就是其一，特別是ISO20000信息技術(shù)管理體系作為世界上**部針對信息技術(shù)服務(wù)管理領(lǐng)域的國

• 如何建立信息安全管理體系

  信息安全管理體系ISMS（Information Securitry Management Systems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它基于業(yè)務(wù)風(fēng)險方法，用來建立、實施、運行、監(jiān)視、 評審、保持和改進(jìn)組織的信息安全系統(tǒng)，其目的是**組織的信息安全。它是直接管理活動的結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、檢查表等要素的集合， 涉及到人、程序和

• ISO27001體系的建立和運行步驟

  ISO27001體系的建立和運行步驟 ISO27001標(biāo)準(zhǔn)要求組織建立并保持一個文件化的信息安全管理體系，其中應(yīng)闡述需要保護(hù)的資產(chǎn)、組織風(fēng)險管理的渠道、控制目標(biāo)及控制方式和需要的保證程度。 不同的組織在建立與完善信息安全管理體系時，可根據(jù)自身的具體情況，采取不同的步驟和方法。但總的來說，建立信息安全管理體系一般要經(jīng)過以下四個基本步驟： 1.信息安全管理體系的策劃與準(zhǔn)備； 2.信息安全管理體系文件的