漏洞评估 VUAS
识别网络、系统和应用程序中的安全漏洞并对其进行分类,同时减轻或消除其影响。
指导说明
活动可能包括但不限于:
- 对信息和技术资源(资产和能力)进行分类,以支持漏洞评估
- 为信息和技术资源分配可量化的价值、等级顺序以及重要性
- 发现和分析每种资源的漏洞——手动或使用自动化工具及信息源
- 对与漏洞相关的风险进行优先排序、评分和排名
- 业务影响评估
- 减轻或消除漏洞。
漏洞评估工具包括网络应用程序扫描仪、协议扫描仪和网络扫描仪。
等级
| 在以下级别定义: | 2 | 3 | 4 | 5 |
单击以了解为什么 SFIA 技能没有在所有 7 个级别中定义。
漏洞评估: 级别 1
在承担这种级别的责任时,通常不会观察到这项技能。
漏洞评估: 级别 2
使用自动化和半自动化工具执行低复杂度的常规漏洞评估。在适当时机上报问题。协助记录漏洞评估的范围和评估结果。
漏洞评估: 级别 3
按照标准方法对小型信息系统执行基本的漏洞评估。支持创建用于漏洞评估的信息和技术资产目录。
漏洞评估: 级别 4
整理和分析用于漏洞评估的信息和技术资产目录。针对中等复杂程度的信息系统,执行漏洞评估和业务影响分析。协助选择及部署漏洞评估工具和技术。
漏洞评估: 级别 5
规划并管理组织内部的漏洞评估活动。评估、选择、审查漏洞评估工具和技术。提供专家建议与指导,进而支持对商定办法的采用。获取并处理漏洞信息,对复杂信息系统进行安全风险评估、业务影响分析和认证。
漏洞评估: 级别 6-7
在承担这些级别的责任时,通常不会观察到这项技能。