GB/T 20282—2006信息安全技術 信息系統安全工程管理要求7.5 評估脆弱性
7.5.1 基本要求
應標識和特征化系統的安全脆弱性。實施系統資產分析、定義特殊的脆弱性以及提供對整個系統脆弱性的評估,并獲得對一確定環境中系統安全脆弱性的理解。
7.5.2 選擇脆弱性分析方法
7.5.2.1
所有分析應在預先安排和指定時間內,在一個已知的并記錄有配置的框架內進行;分析的方法論應包括預期結果;分析的特定目標應陳述清楚。
7.5.2.2
選擇對一確定環境中系統安全脆弱性進行標識和特征化的方法、技術和標準。
7.5.3 標識脆弱性
7.5.2中研究過的脆弱性分析方法論應延伸到對脆弱性的證實;所有發現的系統安全脆弱性應予以記錄、標識。
7.5.4 收集脆弱性數據
收集與脆弱性相關的數據。
7.5.5 綜合系統脆弱性
分析哪些脆弱性或脆弱性的組合會對系統造成問題,所有分析應標識出該脆弱性的特征;評估由特定脆弱性和特定脆弱性組合所產生的系統脆弱性與總體脆弱性。
7.5.6 監視脆弱性及其特征
7.5.6.1 本項要求與7.8.3“監視變化”中變化的一般性監視活動緊密相連。
推薦文章: