漏洞评估 VUAS
识别网络、系统和应用程序中的安全漏洞并对其进行分类,同时减轻或消除其影响。
指导说明
活动可能包括但不限于:
- 对信息和技术资源(资产和能力)进行分类,以支持漏洞评估
- 为信息和技术资源分配可量化的价值、等级顺序以及重要性
- 发现和分析每种资源的漏洞 — 手动或使用自动化工具及信息源
- 对与漏洞相关的风险进行优先排序、评分和排名
- 业务影响评估
- 减轻或消除漏洞。
漏洞评估工具包括网络应用程序扫描仪、协议扫描仪和网络扫描仪。
了解此技能的责任级别
在未定义较低级别的情况下...
- 没有定义具体的任务和职责,因为该技能需要比这些级别的通常预期的更高的自主性、影响力和决策复杂性。您可以使用本质语句来了解与这些级别相关的一般职责。
如果未定义更高的级别...
- 职责和问责制没有定义,因为这些更高层次涉及战略领导和更广泛的组织影响力,超出了这一特定技能的范围。请参阅本质陈述。
发展技能并展示与该技能相关的责任
定义的级别显示了技能和责任的增量进展。
在未定义较低级别的情况下...
您可以通过以下方式发展您的知识并支持在该领域负有责任的其他人:
- 学习与此技能相关的关键概念和原则及其对您的角色的影响
- 执行相关技能(请参阅相关的 SFIA 技能)
- 支持他人执行更高级别的任务和活动
如果未定义更高的级别...
- 你可以通过发展更适合更高层次组织领导的相关技能来取得进步。
单击以了解为什么 SFIA 技能没有在所有 7 个级别中定义。
显示/隐藏额外的描述和级别。
该技能的责任级别
| 2 | 3 | 4 | 5 |
漏洞评估: 级别 2
级别 2 — 协助:
该级别的本质:为他人提供帮助,在日常监督下工作,利用自己的判断力解决常规问题。通过培训和在职经验积极学习。
使用自动化和半自动化工具执行低复杂度的常规漏洞评估。在适当时机上报问题。协助记录漏洞评估的范围和评估结果。
漏洞评估: 级别 3
级别 3 — 应用:
该级别的本质:使用标准方法和程序执行各种任务,有时是复杂和非常规任务。在一般指导下工作,行使自主权,在截止日期内管理自己的工作。在工作场所积极主动地提高技能和影响力。
按照标准方法对小型信息系统执行基本的漏洞评估。支持创建用于漏洞评估的信息和技术资产目录。
漏洞评估: 级别 4
级别 4 — 帮助:
该级别的本质:执行各种复杂的活动,支持和指导他人,在适当时委派任务,在一般指导下自主工作,并为实现团队目标贡献专业知识。
整理和分析用于漏洞评估的信息和技术资产目录。针对中等复杂程度的信息系统,执行漏洞评估和业务影响分析。协助选择及部署漏洞评估工具和技术。
漏洞评估: 级别 5
级别 5 — 确保,建议:
该级别的本质:在其专业内提供权威性指导,并在广泛的指导下开展工作。负责交付从分析、执行到评估的重要工作成果。
规划并管理组织内部的漏洞评估活动。评估、选择并审查漏洞评估工具和技术。提供专家建议与指导,进而支持对商定办法的采用。获取并处理漏洞信息,对复杂信息系统进行安全风险评估、业务影响分析和认证。