15323800465
漏洞是什么及漏洞如何产生的?
ISO27000系列标准概述了ISO信息安全管理系统及词汇表,规定漏洞为资产或安全措施中存在的可由一个或多个威胁利用的缺陷。同时ISO27000将威胁定义为可对系统或组织造成损害的意外事件的可能原因。因此,若威胁发现可利用的缺陷,就出现了漏洞。然而,缺陷来自何处?一般来说,缺陷是资产或安全措施在设计、实施、配置或运行过程中存在的不足之处。疏忽大意或故意行为均可导致缺陷。有些缺陷很容易识别、纠正和利用,而有些则需要投入时间、精力和资源。
ISO27001涉及的漏洞管理方法
ISO27001的A.12.6.1主要通过以下三个步骤进行漏洞管理:
1、及时发现漏洞
越早发现漏洞,你就越有充足时间对其进行修复,至少向厂商上报这一漏洞,这样留给攻击者利用漏洞的时间就越少。
2、对组织的漏洞暴露情况进行评估
某个漏洞或一组漏洞对不同组织的影响可能不尽相同。您需要进行风险评估,找出您的资产和业务的重要漏洞,并对其进行优先级排序。
3、将相关风险考虑在内的合理措施
找出最严重的漏洞后,需考虑采取措施,然后分配资源处理漏洞,也就是说,制定风险应对计划。
最明智的做法是要考虑漏洞的风险等级。
ISO27002为实现漏洞管理目标提供支持
ISO27002定义了实现漏洞管理目标的支撑行动,提供实施安全措施(如A.12.6.1)时需考虑的最佳实践。ISO 27002建议采取以下行动:
1、盘点资产
有效的漏洞管理取决于您所掌握的您的信息资产的相关信息,如软件厂商、软件版本,软件安装位置以及每个软件的负责人。
2、明确职责
漏洞管理需进行多项不同活动(如监控、风险评估和纠正等),因此,为方便起见,需明确职责,合理分工,确保对资产进行合理追踪。
3、明确参考资料
您的参考资料列表上应包含厂商站点、专业论坛和特别兴趣小组,从而了解漏洞与修复措施相关的新闻。
4、按照制定的流程处理漏洞
不论漏洞的紧急程度如何,以结构化方式处理漏洞非常重要。处理漏洞时应考虑变更管理或事件响应流程,因为这些流程考虑了漏洞优先级、时间响应和响应升级等方面,指导您该采取哪些行动。
5、做好记录以供事后分析
(事后需进行分析)持续记录所发生的事件以及事件处理过程是非常重要的,因为这样您可以从事件中吸取教训,防止后续类似事件的发生。至少这样做可尽量减轻事件影响,改进漏洞管理流程。此外,确保定期进行评估,尽快改进和修复漏洞。
如您想更详细的了解ISO27001标准,需要ISO27001标准,请您网络搜索航鑫认证,快人一步,成就管理者风范。
