漏洞管理包括哪些階段

漏洞管理包括以下階段：

• 漏洞發現（掃描）階段：不管治理工作有多重要，漏洞發現一定是第一步的，只有發現，才會涉及治理。

• 漏洞修復階段：對于修復，安全團隊要從督促和協助兩個方面進行，所謂督促是從監督層面用各種辦法讓相關方盡快修復漏洞，協助就是提供必要的技術支持。

• 復查階段：這是一般的漏洞掃描都不會落下的工作，安全部門需要確認漏洞是否真的被修復了。

• 復發判斷及處理階段：對于復發的處理是個可選項，有些情況下漏洞明明已經修復，但是由于恢復系統而將漏洞同步恢復的情況也有。如果能夠對復發進行特別的處理，就可以讓業務部門更重視這類情況。

• 時效性管理階段：對于不同威脅程度的漏洞，要有不同的修復時限，這是對漏洞修復的進一步要求。同時對超時修復漏洞的管理也基于時效性的規定。

• 數據統計階段：有了各個環節的管理，后續的數據統計就比較簡單了，主要看安全團隊需要從哪些角度進行數據統計，比如：累計發現漏洞數、各類漏洞數占比、未修復漏洞數量及占比、各業務部門超時漏洞數量排名（或超時時間排名）等。這些數據統計方法要根據各企業的實際情況輸出，有些統計還是比較容易引發部門矛盾的，所以在捋順內部關系之前，數據可以留在后臺，而慎用展示手段。

• 通報制度階段：有了統計數據，就可以通過各種手段通報了，例如：例會、大屏展示、安全周報等。這些通報最好提前制度化，而非“隨心所欲”地通報。因為“隨心所欲”會讓人當成是“別有用心”。