首页 > ISO27001认证 > ISO27001认证_“A.12.6 技术方面的脆弱性管理”条款讲解

ISO27001认证_“A.12.6 技术方面的脆弱性管理”条款讲解

文章来源：华道众合添加时间：2021-1-28

A.12.6 技术方面的脆弱性管理

目的：防止对技术脆弱性的利用。

【标准条款】

A.12.6.1 技术脆弱性的管理

应及时获取在用的信息系统的技术脆弱性信息，评价组织对这些脆弱性的暴露状况并采取适当的措施来应对相关风险。

【理解与应用】

当前的、完整的资产清单（见A.8资产管理）是进行有效技术脆弱性管理的先决条件。支持技术脆弱性管理所需的特定信息包括软件供应商、版本号、部署的当前状态（例如，在什么系统上安装什么软件），以及组织内负责软件的人员。

宜采取适当的、及时的措施以响应潜在的技术脆弱性。建立有效的技术脆弱性管理过程宜遵循下列指南∶

（1）组织宜定义和建立与技术脆弱性管理相关的角色和责任，包括脆弱性监视、脆弱性风险评估、打补丁、资产追踪和任何要求的协调职责;

（2）用于识别相关的技术脆弱性和维护有关这些脆弱性的认识的信息资源，宜被识别用于软件和其他技术（基于资产清单，见 A.8.1.1资产清单）;这些信息资源宜根据清单的变更而更新，或当发现其他新的或有用的资源时，也宜更新;

（3）宜制定时间表对潜在的相关技术脆弱性的通知做出反映;

（4）一旦潜在的技术脆弱性被确定，组织宜识别相关的风险并采取措施;这些措施可能包括对脆弱的系统打补丁或应用其他控制;

（5）按照技术脆弱性需要解决的紧急程度，宜根据变更管理相关的控制（见 A.12.1.2变更管理），或者遵照信息安全事件响应规程（见 A.16.1.5信息安全事件的响应）采取措施;

（6）如果有可用的补丁，则宜评估与安装该补丁相关的风险（脆弱性引起的风险宜与安装补丁带来的风险进行比较）;

（7）在安装补丁之前，宜进行测试与评价，以确保它们是有效的，且不会导致不能容忍的负面影响;如果没有可用的补丁，宜考虑其他控制，例如:

——关闭与脆弱性有关的服务和功能;

——调整或增加访问控制，例如在网络边界上添加防火墙（见 A.13.1 网络安全管理）;

——增加监视以检测或预防实际的攻击;

——提高脆弱性意识;

（8）宜保持所有执行规程的审计日志;

（9）宜定期对技术脆弱性管理过程进行监视和评价，以确保其有效性和效率;

（10）宜首先解决处于高风险的系统;

（11）有效的技术脆弱性管理过程宜与事件管理活动保持一致，以传递脆弱性数据至事件响应活动并在事件发生时提供可执行的技术规程;

（12）确定脆弱性被识别但没有合适对策时的规程。在该情况下，组织宜评价与已知脆弱性相关的风险，并确定适当的检测和纠正活动。

需要关注以下内容:

技术脆弱性管理可被看作是变更管理的一个子功能，因此可以利用变更管理的过程和规程（见 A.12.1.2 变更管理和A.14.2.2 系统变更控制规程）。

供应商往往是在很大的压力下发布补丁。因此，补丁可能不足以解决该问题，并且可能存在负作用。

而且，在某些情况下，一旦补丁被安装后，很难被卸载。如果不能对补丁进行充分的测试，如由于成本或资源缺乏，那么可以考虑推迟打补丁，以便基于其他用户报告的经验来评价相关的风险。可参考使用 ISO/IEC 27031。

【标准条款】

A.12.6.2 软件安装限制

应建立并实现控制用户安装软件的规则。

【理解与应用】

组织宜确定并严格实现用户能安装的软件类别的策略。

宜使用最小授权原则。如获得了某些特权，用户就可能具有安装软件的能力。组织宜确定允许安装的软件类型（如现有软件的升级和安全补丁）和禁止安装的软件类型（如仅为个人使用的软件，与未知的或可疑的潜在的恶意软件相关的软件）。宜针对用户所涉及的角色授予这些特权。

需要关注的是在计算机设备上不受控制的安装软件可能导致脆弱性，进而导致信息泄露、完整性损失、其他信息安全事件，或违反知识产权。

您可能还想看