12.6技術方面的脆弱性管理

12.6技術方面的脆弱性管理

12.6.1技術方面脆弱性的管理

控制
宜及時獲取在用的信息系統的技術方面的脆弱性信息，評價組織對這些脆弱性的暴露狀況并采取適當的措施來應對相關風險。
實現指南
當前的、完整的資產清單（見第8章）是進行有效技術方面的脆弱性管理的先決條件。支持技術方面的脆弱性管理所需的特定信息包括軟件供應商、版本號、部署的當前狀態（例如，在什么系統上安裝什么軟件），以及組織內負責軟件的人員。
宜采取適當的、及時的措施以響應潛在的技術方面脆弱性。建立有效的技術方面的脆弱性管理過程宜遵循下列指南：
a) 組織宜定義和建立與技術方面的脆弱性管理相關的角色和責任，包括脆弱性監視、脆弱性風險評估、打補丁、資產追蹤和任何要求的協調職責；
b) 用于識別相關的技術方面的脆弱性和維護有關這些脆弱性的認識的信息資源，宜被識別用于軟件和其他技術（基于資產清單，見8.1.1）；這些信息資源宜根據清單的變更而更新，或當發現其他新的或有用的資源時，也宜更新；
c) 宜制定時間表對潛在的相關技術方面的脆弱性的通知做出反映；
d) 一旦潛在的技術方面的脆弱性被確定，組織宜識別相關的風險并采取措施；這些措施可能包括對脆弱的系統打補丁或應用其他控制；
e) 按照技術方面的脆弱性需要解決的緊急程度，宜根據變更管理相關的控制（見12.1.2），或者遵照信息安全事件響應規程（見16.1.5）采取措施；
f) 如果有可用的補丁，則宜評估與安裝該補丁相關的風險（脆弱性引起的風險宜與安裝補丁帶來的風險進行比較）；
g) 在安裝補丁之前，宜進行測試與評價，以確保它們是有效的，且不會導致不能容忍的負面影響；如果沒有可用的補丁，宜考慮其他控制，例如：
1) 關閉與脆弱性有關的服務和功能；
2) 調整或增加訪問控制，例如在網絡邊界上添加防火墻（見13.1）；
3) 增加監視以檢測或預防實際的攻擊；
4) 提高脆弱性意識；
h) 宜保持所有執行規程的審計日志；
i) 宜定期對技術方面的脆弱性管理過程進行監視和評價，以確保其有效性和效率；
j) 宜首先解決處于高風險的系統；
k) 有效的技術方面的脆弱性管理過程宜與事件管理活動保持一致，以傳遞脆弱性數據至事件響應活動并在事件發生時提供可執行的技術規程；
l) 確定脆弱性被識別但沒有合適對策時的規程。在該情況下，組織宜評價與已知脆弱性相關的風險，并確定適當的檢測和糾正活動。
其他信息
技術方面的脆弱性管理可被看作是變更管理的一個子功能，因此可以利用變更管理的過程和規程（見12.1.2和14.2.2）。
供應商往往是在很大的壓力下發布補丁。因此，補丁可能不足以解決該問題，并且可能存在負作用。而且，在某些情況下，一旦補丁被安裝后，很難被卸載。

12.6.2軟件安裝限制

控制
宜建立并實現控制用戶安裝軟件的規則。
實現指南
組織宜確定并嚴格實現用戶能安裝的軟件類別的策略。
宜使用最小授權原則。如獲得了某些特權，用戶就可能具有安裝軟件的能力。組織宜確定允許安裝的軟件類型（如現有軟件的升級和安全補丁）和禁止安裝的軟件類型（如僅為個人使用的軟件，與未知的或可疑的潛在的惡意軟件相關的軟件）。宜針對用戶所涉及的角色授予這些特權。
其他信息