10 安全运维管理 10.5漏洞和风险管理

漏洞和隐患会给等级保护对象造成安全风险，需要采取必要的措施进行识别和评估，针对发现的漏洞和隐患需要及时修补，确保等级保护对象安全、稳定地运行。

 

10.5.1 应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。

安全漏洞和隐患是引起安全问题的主要根源，采取有效的措施来及时识别系统漏洞和隐患，并对识别出来的漏洞和隐患根据评估的情况进行修补。

【测评方法】

1）核查用来发现安全漏洞和隐患的措施。

2）核查相关安全措施执行后的报告或记录。

3）核查修复漏洞或消除隐患的操作记录。

【预期结果】

1）定期进行漏洞扫描，对发现的漏洞及时进行修补或评估可能的影响。

2）具有漏洞扫描报告，报告描述了存在的漏洞、严重级别、原因分析和改进意见等方面。

3）漏洞报告的时间跟定期扫描的要求相符。

【权重】1

【风险等级】高

判例内容：未对发现的安全漏洞和隐患及时修补，会导致系统存在较大的安全隐患，黑客有可能利用安全漏洞对系统实施恶意攻击，如果安全漏洞和隐患能够构成高危风险，可判定为高风险。

 

适用范围：3级及以上系统。

满足条件（同时）：

1、3级及以上系统；

2、通过漏洞扫描，发现存在可被利用的高风险漏洞；

3、未对相关漏洞进行评估或修补，对系统安全构成重大隐患。

10.5.2 应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。

定期开展安全测评有利于及时发现系统潜在的安全问题，安全测评的形式不局限于风险评估、等级测评，只要是通过对系统的全面测试评估方法。

【测评方法】

1）核查以往开展安全测评所获得的测评报告，确认测评工作是否定期开展。

2）核查安全整改工作相关的文档，如整改方案、整改报告、工作总结等。

【预期结果】

1）具有安全测评报告。

2）安全测评定期开展。

3）具有安全整改措施相关文档，如整改方案、整改报告、工作总结等。

【权重】1