Policy för sårbarhetshantering och patchhantering

Policy för sårbarhetshantering och patchhantering (P19) definierar den strukturerade metod som krävs för att identifiera, klassificera, åtgärda och övervaka tekniska sårbarheter och programvarubristar inom alla tillgångar som styrs av organisationens ledningssystem för informationssäkerhet (ISMS). Det primära syftet är att minska riskexponering från oåtgärdade svagheter genom att säkerställa en samordnad process för sårbarhetsbedömning, prioritering, avhjälpning och efterlevnadsspårning, anpassad till de operativa prioriteringarna och det regulatoriska landskap som är relevant för organisationen. Policyn gäller i hela företaget för alla informationssystem, applikationer, nätverksinfrastruktur, firmware, molnresurser, API:er, slutpunkter, servrar, virtuell infrastruktur och tredjepartsplattformar oavsett driftmiljö. Bindande för både interna team och externa tredjepartstjänsteleverantörer kräver den ett fullständigt livscykelangreppssätt, som börjar med regelbunden sårbarhetsskanning och upptäckt, via riskpoängsättning och anskaffning av patchar, till snabb driftsättning, undantagshantering, övervakning och rapportering. Särskild betoning läggs på autentiserad, riskjusterad skanning med definierade intervall, särskilt för internetexponerade eller högvärdestillgångar, med tillhörande förfaranden för introduktion av nya system och upprätthållande av regelefterlevnad under hela deras livscykel. Roller och ansvar avgränsas noggrant för att främja ansvarsskyldighet. Informationssäkerhetschef (CISO) äger policyintegration och riskanpassning; ansvariga för sårbarhetshantering övervakar operativ leverans; systemägare och applikationsägare ansvarar för att tillämpa åtgärder och validera systemstabilitet; IT-driftteam genomför ändringar inom etablerade fönster, och säkerhetsanalytiker upprätthåller vaksamhet genom kontinuerlig hotövervakning och uppdaterade riskbedömningar. Formella krav finns för tredjepartsleverantörer för att säkerställa att externa system följer samma servicenivåavtal (SLA) för patchning, med periodiska revisioner och kontroller av deras patchhanteringsprocesser. Ett styrningsramverk, inklusive ett centralt underhållet register för sårbarhetshantering och riskbaserade servicenivåavtal (SLA), ligger till grund för policyn. Systemet tillämpar patchbrådska enligt allvarlighetsgrad (fastställd genom CVSS-poängsättning), tillgångskritikalitet och exponering, samtidigt som det integreras med ändringshanteringspolicy för spårbarhet och stabilitet. Detaljerade undantagsprotokoll anger krav på formellt godkännande, kompenserande kontroller, granskningsfrekvens, tidsbegränsningar för kritiska risker och obligatorisk spårning i utsedda ISMS-register. Policygenomdrivande bygger på kontinuerlig efterlevnadsövervakning, statusrapportering och strukturerad eskalering. Policyn kräver även revisioner, retrospektiva utredningar efter incidenter samt ett robust protokoll för översyn/uppdatering för att säkerställa fortsatt anpassning till föränderliga regulatoriska skyldigheter, tekniska förändringar och hotinformation med hög profil. Den är direkt kopplad till grundläggande policyer, såsom informationssäkerhet, ändringshantering, riskhantering, tillgångshantering, revisionsloggning och övervakning samt incidentrespons, för att säkerställa heltäckande täckning.