根據(jù)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，安全漏洞的責(zé)任主體包括兩大類：一是網(wǎng)絡(luò)產(chǎn)品提供者和網(wǎng)絡(luò)運(yùn)營(yíng)者，二是從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集、發(fā)布等活動(dòng)的組織或者個(gè)人。企業(yè)作為網(wǎng)絡(luò)運(yùn)營(yíng)者，在其中擔(dān)負(fù)著重要的作用。

制訂定期的漏洞掃描計(jì)劃

很多企業(yè)認(rèn)為，臨時(shí)掃描漏洞并進(jìn)行修復(fù)已經(jīng)足夠了，但這樣既低效又不能充分保護(hù)網(wǎng)絡(luò)。為了防止網(wǎng)絡(luò)攻擊通過(guò)漏洞進(jìn)行，企業(yè)應(yīng)該采用程序化方法進(jìn)行漏洞管理，這個(gè)方法結(jié)合了企業(yè)對(duì)風(fēng)險(xiǎn)的容忍度以及確定優(yōu)先級(jí)、補(bǔ)救和緩解已識(shí)別漏洞的流程。

這有助于確保進(jìn)行有效的監(jiān)督，并將漏洞管理與企業(yè)內(nèi)部的任何其他業(yè)務(wù)風(fēng)險(xiǎn)一樣對(duì)待。

審視風(fēng)險(xiǎn)和優(yōu)先事項(xiàng)

企業(yè)需要常常審視自身能承受的安全風(fēng)險(xiǎn)，并確定優(yōu)先事項(xiàng)，以提高企業(yè)的風(fēng)險(xiǎn)承受能力，并建立工作優(yōu)先順序的流程，對(duì)于強(qiáng)大的脆弱性管理計(jì)劃都至關(guān)重要。應(yīng)該至少每年都重新訪問(wèn)一次，也可以在企業(yè)內(nèi)部或IT環(huán)境發(fā)生重大變化時(shí)訪問(wèn)。

根據(jù)企業(yè)自身的風(fēng)險(xiǎn)進(jìn)行定制

企業(yè)會(huì)不斷發(fā)現(xiàn)新的漏洞，再加上現(xiàn)有已知漏洞，不可能一次性修復(fù)這些問(wèn)題。企業(yè)需要找到一種方法來(lái)查明最重要的漏洞并確定修復(fù)工作的優(yōu)先順序是至關(guān)重要的，這項(xiàng)工作可以由漏洞掃描、供應(yīng)商和其他安全渠道提供的分類(高、中、低)指導(dǎo)，但該過(guò)程應(yīng)考慮企業(yè)對(duì)風(fēng)險(xiǎn)的容忍度、技術(shù)環(huán)境、行業(yè)等。

使用框架和系統(tǒng)

企業(yè)無(wú)需自己獨(dú)立開(kāi)發(fā)技術(shù)來(lái)幫助完成漏洞管理任務(wù)，因?yàn)楹芏嗥髽I(yè)已經(jīng)開(kāi)發(fā)了框架和其他系統(tǒng)來(lái)幫助首席信息安全官進(jìn)行管理。這些框架和系統(tǒng)可以幫助企業(yè)查看安全漏洞，并了解網(wǎng)絡(luò)攻擊者如何使用它們的方法，因此可以使用框架和系統(tǒng)來(lái)確定漏洞和其響應(yīng)的優(yōu)先級(jí)。