漏洞评估 VUAS
识别网络、系统和应用程序中的安全漏洞并对其进行分类,同时减轻或消除其影响。
指导说明
活动可能包括但不限于:
- 对信息和技术资源(资产和能力)进行分类,以支持漏洞评估
- 为信息和技术资源分配可量化的价值、等级顺序以及重要性
- 发现和分析每种资源的漏洞——手动或使用自动化工具及信息源
- 对与漏洞相关的风险进行优先排序、评分和排名
- 业务影响评估
- 减轻或消除漏洞。
漏洞评估工具包括网络应用程序扫描仪、协议扫描仪和网络扫描仪。
该技能的责任级别
| 2 | 3 | 4 | 5 |
漏洞评估: 级别 1
这种技能通常不会在这种责任和问责制水平上被观察到或实践。
漏洞评估: 级别 2
使用自动化和半自动化工具执行低复杂度的常规漏洞评估。在适当时机上报问题。协助记录漏洞评估的范围和评估结果。
漏洞评估: 级别 3
按照标准方法对小型信息系统执行基本的漏洞评估。支持创建用于漏洞评估的信息和技术资产目录。
漏洞评估: 级别 4
整理和分析用于漏洞评估的信息和技术资产目录。针对中等复杂程度的信息系统,执行漏洞评估和业务影响分析。协助选择及部署漏洞评估工具和技术。
漏洞评估: 级别 5
规划并管理组织内部的漏洞评估活动。评估、选择、审查漏洞评估工具和技术。提供专家建议与指导,进而支持对商定办法的采用。获取并处理漏洞信息,对复杂信息系统进行安全风险评估、业务影响分析和认证。
漏洞评估: 级别 6-7
这种技能通常不会在这些责任和问责级别上被观察到或实践。