18.8 技術漏洞管理（MAD_TVM）

18.8.1　安全保障管理目的

減少來自于已發布的技術漏洞攻擊所產生的風險。
應以有效的、系統化的和可重復的方式實施技術漏洞管理，并且應采取測量措施以確定其有效性。這些考慮應包含至所使用的操作系統和所有其它應用中。

18.8.2　MAD_TVM.1 技術漏洞的控制

18.8.2.1　管理保障控制組件控制

組織結構應獲得自己所使用信息系統技術漏洞的及時的信息，并對暴露于此類漏洞的風險進行評估，然后采取相應的措施以解決相關的風險。

18.8.2.2　管理保障控制組件注解

有效的技術漏洞管理的前提是有一份完整的資產清單。支持技術漏洞管理所需的特定信息包括軟件廠商、版本號、部署的當前狀態（例如，哪個系統上安裝了哪些軟件)以及組織機構內負責此軟件的人員。
組織機構應采取及時適當的行動以響應潛在技術漏洞的標識。組織機構應遵守下列指南以建立技術漏洞有效的管理過程：
a) 組織機構應定義和建立同技術漏洞管理相關的崗位和職責，包括漏洞監控、漏洞風險評估、打補丁、資產跟蹤和所需的所有協調職責；
b) 應識別出軟件和其它技術中用來識別相關技術漏洞并維護漏洞意識時的信息資源；這些信息資源應基于資產清單中的變更進行更新，或者發現了其它新的、有用的資源時進行變更；
c) 應該為技術漏洞的響應定義一個時間期限要求；
d) 一旦已經識別了潛在的技術漏洞，組織機構應標識相關的風險和所要采取的行動；此類行動包括對脆弱系統打補丁和/或應用其它控制；
e) 根據需要解決的技術漏洞的緊急性，應根據同變更管理相關的控制或遵守信息安全事故響應流程來執行行動；
f) 如果有可用的補丁，應對安裝補丁相關的風險進行評估（應將漏洞所導致的風險同安裝補丁的風險進行比較）；
g) 在安裝補丁前，應對補丁進行測試和評估，以確保這些補丁有效，并且不會造成不兼容；如果沒有可用的補丁，應考慮其它控制，例如
1) 關閉同漏洞相關的服務；
2) 在網關修改或增加訪問控制，例如設置防火墻等；
3) 增加監控以檢測或預防現實的攻擊；
4) 加強漏洞的意識；
h) 應對所采取的所有流程保留審計日志；
i) 應定期監控和評估技術漏洞管理過程，以確保其有效性和高效性；
j) 應首先解決高風險的系統。