安全运维管理-（五）漏洞和风险管理

安全运维管理

 控制点

5.漏洞和风险管理

漏洞和隐患会给等级保护对象造成安全风险，因此，需要采取必要的措施进行识别和评估，及时修补发现的漏洞和隐患，确保等级保护对象安全、稳定运行。

a)

安全要求（重要）：应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补，或评估可能的影响后进行修补。

要求解读：安全漏洞和隐患是引起安全问题的主要根源，采取有效的措施来及时识别系统漏洞和隐患，并对识别出来的漏洞和隐患根据评估的情况进行修补。

测评方法

1.核查用来发现安全漏洞和隐患的措施。

2.核查相关安全措施执行后的报告或记录。

3.核查修复漏洞或消除隐患的操作记录。

期望结果

1.定期进行漏洞扫描，对发现的漏洞及时进行修补或评估可能的影响。

2.具有漏洞扫描报告，报告描述了存在的漏洞、严重级别、原因分析和改进意见等方面。

3.漏洞报告的时间跟定期扫描的要求相符。

b)

安全要求（重要）：应定期开展安全测评，形成安全测评报告，采取措施应对发现的安全问题。

要求解读：定期开展安全测评工作，有利于及时发现系统潜在的安全问题，安全测评的形式不局限于风险评估、等级测评、只要是通过对系统的全面测试评估方法。

测评方法

1.核查以往开展安全测试所获得的测评报告，确认测评工作是否定期开展。

2.核查安全整改工作的相关文档，如整改方案、整改报告、工作总结等。

期望结果

1.具有安全测评报告。

2.安全测评定期开展。

3.有安全整改措施相关文档。