policy Enterprise

Politika upravljanja ranjivostima i zakrpama

Sveobuhvatna politika za upravljanje ranjivostima i zakrpama u poduzeću, koja osigurava korektivne radnje temeljene na riziku, usklađenost s propisima i snažnu IT higijenu.

Pregled

Ova politika uspostavlja obvezne zahtjeve za identifikaciju, procjenu i otklanjanje tehničkih ranjivosti i softverskih nedostataka u svim relevantnim IT sustavima. Provodi upravljanje zakrpama temeljeno na riziku, jasne uloge i odgovornosti, postupke iznimki te usklađenost s globalnim standardima radi smanjenja rizika i osiguravanja operativne otpornosti.

Ublažavanje rizika temeljeno na riziku

Osigurava da se ranjivosti identificiraju, prioritiziraju i otklanjaju na temelju utjecaja na poslovanje i operativnog rizika.

Sveobuhvatan obuhvat imovine

Primjenjuje se na sve IT sustave uključujući zaštitu krajnjih točaka, oblak, IoT i usluge treće strane unutar opsega sustava upravljanja informacijskom sigurnošću (ISMS).

Definirane uloge i odgovornosti

Jasno postavljene odgovornosti za IT i sigurnosne timove, vlasnike imovine, dobavljače i voditelje sigurnosti, uz eskalaciju i revizijske postupke.

Usklađeno s globalnim standardima

Politika mapirana na zahtjeve ISO/IEC 27001, ISO/IEC 27002, NIST, GDPR, NIS2, DORA i COBIT.

Pročitaj cijeli pregled
Politika upravljanja ranjivostima i zakrpama (P19) definira strukturirani pristup potreban za identifikaciju, klasifikaciju, otklanjanje i praćenje tehničkih ranjivosti i softverskih nedostataka unutar sve imovine kojom upravlja sustav upravljanja informacijskom sigurnošću (ISMS) organizacije. Primarni cilj je smanjiti izloženost riziku zbog neadresiranih slabosti osiguravanjem koordiniranog procesa za procjenu ranjivosti, određivanje prioriteta, korektivne radnje i praćenje usklađenosti, prilagođen operativnim prioritetima i regulatornom okruženju relevantnom za organizaciju. Politika se primjenjuje na razini cijele tvrtke na sve informacijske sustave, aplikacije, mrežnu infrastrukturu, firmver, resurse u oblaku, sučelja za programiranje aplikacija, krajnje točke, poslužitelje, virtualnu infrastrukturu i platforme trećih strana bez obzira na okruženje hostiranja. Obvezujuća je i za interne timove i za pružatelje usluga treće strane te nalaže pristup cjelovitog životnog ciklusa, počevši od redovitog skeniranja ranjivosti i otkrivanja, preko bodovanja rizika i nabave zakrpa, do pravovremenog uvođenja, postupanja s iznimkama, praćenja i izvješćivanja. Poseban naglasak stavlja se na autentificirano, rizikom prilagođeno skeniranje u definiranim intervalima, osobito za imovinu izloženu internetu ili imovinu visoke vrijednosti, uz povezane postupke za uvođenje u posao novih sustava i održavanje usklađenosti tijekom njihova životnog ciklusa. Uloge i odgovornosti precizno su razgraničene radi jačanja odgovornosti. Glavni službenik za informacijsku sigurnost (CISO) vlasnik je integracije politike i usklađivanja s rizikom; voditelji upravljanja ranjivostima nadziru operativnu isporuku; vlasnici sustava i aplikacija zaduženi su za primjenu korektivnih radnji i validaciju stabilnosti sustava; IT operacije provode promjene unutar utvrđenih prozora, a sigurnosni analitičari održavaju budnost kroz kontinuirano praćenje i otkrivanje prijetnji te ažurirane procjene rizika. Postoje formalni zahtjevi za dobavljače trećih strana kako bi se osiguralo da vanjski sustavi poštuju iste sporazume o razini usluge (SLA) za zakrpe, uz periodične revizije i kontrole nad njihovim procesima upravljanja zakrpama. Okvir upravljanja, uključujući centralno održavan registar upravljanja ranjivostima i SLA-ove temeljene na riziku, podupire politiku. Sustav provodi hitnost zakrpavanja prema ozbiljnosti (kako je određeno CVSS bodovanjem), kritičnosti imovine i izloženosti, uz integraciju s Politikom upravljanja promjenama radi sljedivosti i stabilnosti. Detaljni protokoli iznimki propisuju zahtjeve za formalno odobrenje, kompenzacijske kontrole, učestalost preispitivanja, vremenska ograničenja za kritične rizike i obvezno praćenje u određenim ISMS registrima. Provedba politike oslanja se na kontinuirano praćenje usklađenosti, izvješćivanje o statusu i strukturiranu eskalaciju. Politika također nalaže revizije, naknadne istrage nakon incidenata te robustan protokol pregleda/ažuriranja kako bi se osigurala trajna usklađenost s promjenjivim regulatornim obvezama, tehnološkim promjenama i relevantnim obavještajnim podacima o prijetnjama. Izravno je povezana s temeljnim politikama, kao što su politika informacijske sigurnosti, upravljanje promjenama, upravljanje rizicima, upravljanje imovinom, Politika bilježenja i praćenja te odgovor na incidente, kako bi se osigurao end-to-end obuhvat.

Dijagram politike

Dijagram toka upravljanja ranjivostima i zakrpama koji prikazuje korake skeniranja, klasifikacije, određivanja prioriteta rizika, nabave/testiranja zakrpa, uvođenja, postupanja s iznimkama i revizijskog izvješćivanja.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Opseg i pravila angažmana

Rokovi zakrpavanja temeljeni na ozbiljnosti

Skeniranje ranjivosti i otkrivanje

Upravljanje i dodjele uloga

Postupanje s iznimkama za zakrpe

Nadzor rizika trećih strana i SaaS-a

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.188.88.9
NIST SP 800-53 Rev.5
RA-5SI-2CM-2CM-6
EU GDPR
Article 32Recital 49
EU NIS2
Article 21(2)(d)
EU DORA
Article 8Article 10(2)(f)
COBIT 2019
DSS05.02DSS01.03MEA03

Povezane politike

Politika informacijske sigurnosti

Uspostavlja krovnu predanost zaštiti sustava i podataka, što uključuje proaktivno upravljanje ranjivostima i osiguranje cjelovitosti softvera.

Politika upravljanja promjenama

Upravlja svim uvođenjima zakrpa i prilagodbama konfiguracije, zahtijevajući dokumentaciju, testiranje, odobravanje i planove povrata koji nadopunjuju procese otklanjanja ranjivosti.

Politika upravljanja rizicima

Podržava klasifikaciju i obradu neotklonjenih ranjivosti kroz strukturirane procjene rizika, procjenu utjecaja i postupke prihvaćanja preostalog rizika.

Politika upravljanja imovinom

Osigurava da su sustavi inventarizirani i klasificirani točno, omogućujući dosljedno skeniranje ranjivosti, dodjelu vlasništva i pokrivenost zakrpama kroz životni ciklus.

Politika bilježenja i praćenja

Definira zahtjeve za otkrivanje događaja i generiranje revizijskog traga. Ova politika podržava vidljivost aktivnosti zakrpavanja, neovlaštene/neplanirane promjene i pokušaje iskorištavanja usmjerene na poznate ranjivosti.

Politika odgovora na incidente (P30)

Specificira protokole eskalacije i strategije ograničavanja za iskorištene ranjivosti, istrage povreda i korektivne radnje usklađene s kontrolama ove politike.

O Clarysec politikama - Politika upravljanja ranjivostima i zakrpama

Učinkovito upravljanje sigurnošću zahtijeva više od samih riječi; zahtijeva jasnoću, odgovornost i strukturu koja se može skalirati s vašom organizacijom. Generički predlošci često ne uspijevaju, stvarajući nejasnoće kroz duge odlomke i nedefinirane uloge. Ova politika je osmišljena kao operativna okosnica vašeg sigurnosnog programa. Dodjeljujemo odgovornosti specifičnim ulogama prisutnima u modernom poduzeću, uključujući glavnog službenika za informacijsku sigurnost (CISO), IT i informacijsku sigurnost te relevantne odbore, osiguravajući jasnu odgovornost. Svaki zahtjev je jedinstveno numerirana odredba (npr. 5.1.1, 5.1.2). Ova atomska struktura čini politiku jednostavnom za implementaciju, reviziju prema specifičnim kontrolama i sigurno prilagođavanje bez utjecaja na cjelovitost dokumenta, pretvarajući je iz statičnog dokumenta u dinamičan, provediv okvir.

Provedeni rokovi zakrpavanja

Nalaže stroge rokove uvođenja zakrpa prema ozbiljnosti, smanjujući prozor izloženosti za visoke i kritične ranjivosti.

Iznimke i kompenzacijske kontrole

Omogućuje formalne zahtjeve za iznimku uz kompenzacijske kontrole, pružajući fleksibilnost uz zadržavanje odgovornosti.

Kontinuirana revizija i praćenje

Zahtijeva česte revizije i izvješćivanje o usklađenosti zakrpavanja u stvarnom vremenu radi trajnog smanjenja rizika i revizijskih dokaza.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

IT Sigurnost Usklađenost Rizik Revizija

🏷️ Tematska pokrivenost

upravljanje ranjivostima upravljanje zakrpama upravljanje rizicima upravljanje usklađenošću sigurnosne operacije praćenje i revizijsko bilježenje upravljanje promjenama
€49

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja
Vulnerability and Patch Management Policy

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: Enterprise
Standardi: 7