发布时间：2020-11-27 作者：广汇联合来源：广汇联合

ISO27001的A.12.6.1主要通过以下三个步骤进行漏洞管理：

1、及时发现漏洞

越早发现漏洞，你就越有充足时间对其进行修复，至少向厂商上报这一漏洞，这样留给攻击者利用漏洞的时间就越少。

2、对组织的漏洞暴露情况进行评估

某个漏洞或一组漏洞对不同组织的影响可能不尽相同。您需要进行风险评估，找出您的资产和业务的重要漏洞，并对其进行优先级排序。

3、将相关风险考虑在内的合理措施

找出最严重的漏洞后，需考虑采取措施，然后分配资源处理漏洞，也就是说，制定风险应对计划。

最明智的做法是要考虑漏洞的风险等级。

ISO27002为实现漏洞管理目标提供支持

ISO27002定义了实现漏洞管理目标的支撑行动，提供实施安全措施（如A.12.6.1）时需考虑的最佳实践。ISO 27002建议采取以下行动：

1、盘点资产

有效的漏洞管理取决于您所掌握的您的信息资产的相关信息，如软件厂商、软件版本，软件安装位置以及每个软件的负责人。

2、明确职责

漏洞管理需进行多项不同活动（如监控、风险评估和纠正等），因此，为方便起见，需明确职责，合理分工，确保对资产进行合理追踪。

3、明确参考资料

您的参考资料列表上应包含厂商站点、专业论坛和特别兴趣小组，从而了解漏洞与修复措施相关的新闻。

4、按照制定的流程处理漏洞

不论漏洞的紧急程度如何，以结构化方式处理漏洞非常重要。处理漏洞时应考虑变更管理或事件响应流程，因为这些流程考虑了漏洞优先级、时间响应和响应升级等方面，指导您该采取哪些行动。

5、做好记录以供事后分析

（事后需进行分析）持续记录所发生的事件以及事件处理过程是非常重要的，因为这样您可以从事件中吸取教训，防止后续类似事件的发生。至少这样做可尽量减轻事件影响，改进漏洞管理流程。此外，确保定期进行评估，尽快改进和修复漏洞。

如您想更详细的了解ISO27001标准，需要ISO27001标准，请您网络搜索广汇联合，快人一步，成就管理者风范。