Vulnerability Management · Preparation Kit
Chuẩn bị Vulnerability Management Program
Bộ tài liệu chuẩn bị quy trình quản lý lỗ hổng bảo mật, từ vulnerability scanning, patching process, đến remediation SLA. Yêu cầu trong ISO 27001 (A.8.8), SOC 2 (CC7.1), PCI-DSS (Req 6, 11).
Nhận hỗ trợ từ pTrackly →1. Vulnerability Scanning
- □ Chọn vulnerability scanner: Nessus, Qualys, Rapid7 InsightVM, OpenVAS
- □ Scan frequency: internal weekly, external quarterly (PCI-DSS yêu cầu quarterly)
- □ Scope: tất cả production systems, staging nếu có PHI/CHD
- □ Authenticated scan vs unauthenticated, authenticated cho kết quả chính xác hơn
2. Vulnerability Prioritization
- □ CVSS score: Critical (9.0-10.0), High (7.0-8.9), Medium (4.0-6.9), Low (0.1-3.9)
- □ Xem xét exploitability: có exploit công khai không? Đã bị khai thác in the wild?
- □ Asset criticality: lỗ hổng trên production critical system → ưu tiên cao hơn
- □ Business context: internet-facing system → cao hơn internal-only
3. Remediation SLA
- □ Critical: patch trong 7 ngày (PCI-DSS yêu cầu 30 ngày nhưng best practice là 7)
- □ High: 30 ngày
- □ Medium: 90 ngày
- □ Low: theo maintenance cycle bình thường
- □ Nếu không patch được: compensating control (WAF, network segmentation, disable service)
4. Patch Management Process
- □ Patch testing: test patch trên staging trước khi deploy production
- □ Emergency patching process cho critical zero-day vulnerabilities
- □ Rollback plan nếu patch gây breaking change
- □ Document patching activity: patch nào, khi nào, ai apply, có downtime không
5. Exception & Compensating Controls
- □ Khi nào cần exception: patch break critical functionality, vendor chưa release patch
- □ Compensating control examples: WAF rule, IPS signature, restrict network access
- □ Exception approval: senior management + security team
- □ Review exceptions quarterly, có thể patch được chưa?
6. Metrics & Reporting
- □ Mean Time to Remediate (MTTR) per severity level
- □ % vulnerabilities remediated within SLA
- □ Open vulnerability count trend, đang tăng hay giảm?
- □ Monthly vulnerability report lên senior management
pTrackly giúp bạn triển khai Vulnerability Management nhanh hơn với templates và evidence collection tự động.
Đặt Demo Miễn PhíSẵn sàng cho audit?
Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.
Đặt Demo Miễn Phí 15 phút, không ràng buộc Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào