Politik for sårbarheds- og patchstyring

Politik for sårbarheds- og patchstyring (P19) definerer den strukturerede tilgang, der kræves for at identificere, klassificere, afhjælpe og overvåge tekniske sårbarheder og softwarefejl i alle aktiver, der er omfattet af organisationens ledelsessystem for informationssikkerhed (ISMS). Det primære formål er at reducere risikoeksponering fra uadresserede svagheder ved at sikre en koordineret proces for sårbarhedsvurdering, prioritering, afhjælpning og compliance-sporing, tilpasset organisationens driftsprioriteter og det relevante regulatoriske landskab. Politikken gælder på tværs af virksomheden for alle informationssystemer, applikationer, netværksinfrastruktur, firmware, cloud-ressourcer, API'er, endepunkter, servere, virtuel infrastruktur og tredjepartsplatforme uanset hostingmiljø. Den er bindende for både interne teams og eksterne tjenesteudbydere og kræver en fuld livscyklustilgang, der starter med regelmæssige sårbarhedsscanninger og discovery, fortsætter med risikoscoring og patchanskaffelse og ender med rettidig udrulning, undtagelseshåndtering, overvågning og rapportering. Der lægges særlig vægt på autentificerede, risikojusterede scanninger med fastlagte intervaller, især for internetvendte eller højværdia ktiver, med tilhørende procedurer for onboarding af nye systemer og opretholdelse af overholdelse gennem hele deres livscyklus. Roller og ansvar er præcist afgrænset for at fremme ansvarlighed. Informationssikkerhedschefen (CISO) ejer politikintegration og risikoafstemning; ledere for sårbarhedsstyring har ansvar for den operationelle leverance; system- og applikationsejere har ansvar for at anvende afhjælpninger og validere systemstabilitet; it-driftsteams udfører ændringer inden for etablerede vinduer, og sikkerhedsanalytikere opretholder årvågenhed gennem løbende overvågning og opdaterede risikovurderinger. Der stilles formelle krav til tredjepartsleverandører for at sikre, at eksterne systemer overholder de samme patch-SLA'er, med periodiske audits og kontroller af deres patchstyringsprocesser. Et styringsrammeværk, herunder et centralt vedligeholdt register for sårbarhedsstyring og risikobaserede SLA'er, understøtter politikken. Systemet håndhæver patch-hastighed efter alvorlighed (som fastlagt ved CVSS-scoring), aktivkritikalitet og eksponering, samtidig med at det integrerer med Politik for ændringsstyring for sporbarhed og stabilitet. Detaljerede undtagelsesprotokoller fastsætter krav til formel godkendelse, kompenserende kontroller, gennemgangsfrekvens, tidsbegrænsninger for kritiske risici og obligatorisk sporing i udpegede ISMS-registre. Håndhævelse af politikken baseres på løbende overvågning af overholdelse, statusrapportering og struktureret eskalering. Politikken kræver også audits, retrospektive undersøgelser efter hændelser og en robust protokol for gennemgang/opdatering for at sikre fortsat tilpasning til udviklende reguleringsmæssige forpligtelser, teknologiske ændringer og trusselsinformation med høj relevans. Den er direkte knyttet til grundlæggende politikker, såsom informationssikkerhed, ændringsstyring, risikostyring, aktivstyring, revisionslogning og overvågning samt hændelseshåndtering, for at sikre end-to-end-dækning.