3.3 VUL控制(项)安全评估计划说明表和模板
本节对安全评估计划进行介绍,是本NISTIR第1卷第6节描述的自动化评估计划的核心内容。另外,提供了缺陷检查表等信息作为补充。该计划说明在3.4节中进行了总结。
本节中引用的角色与NIST在相关特刊(如NIST SP 800-37)中定义的角色和/或2.7节中定义的VUL特定角色一致。这些角色可针对组织进行调整和/或定制,具体介绍请参见第3.1节。
此处列明的判断语句源自相关控制项语言,具体进行了以下三项调整:
- 针对同时适用于VUL以及其他能力域的控制项,必要时在其判断语句中插入限制性或范围界定短语{……软件…….}(可视情况与括号内的补充信息结合使用)。由于同一控制项可能出现在具有相同范围的其他能力中,限制性短语会对控制项进行约束,使其仅适用于VUL。例如,若控制措施同时适用于软硬件漏洞修复,即可使用限制短语{……软件……}。
- 如果控制项涉及多个本质上存在差异的动作,而且这些动作最好通过不同的缺陷检查进行评估(通常基于不同的评估标准),则可将控制项划分为多个VUL相关判断语句。
- 控制项仅部分适用于VUL。例如,控制项RA-5(b):控制文本列明了不一定适用于VUL能力的动作,例如确保扫描工具使用标准枚举平台(适用于HWAM和SWAM能力)和评估与漏洞无关的错误配置(适用于CSM能力)。
RA-5漏洞扫描:……使用多种漏洞扫描工具和工具互通技术,基于标准,对漏洞管理流程的部分环节进行自动化,实现如下目的:1)列明平台、软件缺陷和错误配置;2)制定检查单和测试过程;以及3)评估漏洞影响……【着重点由作者所加。】
为避免跨能力控制项问题,本卷中的判断语句仅涉及控制项中适用于VUL能力的部分。
3.3.1 控制项的内容框架
在标题控制项描述下为控制项的文字介绍。
一个控制项可能有一个或多个判断语句。每个判断语句单独成表,包含以下几项:
- 判断语句ID(控制项ID+判断语句编号(置于大括号中));
- 判断语句描述;
- 实施者(责任);
- 评估范围;
- 评估责任;
- 评估方法;
- 是否选择(组织自行填写);
- 接受风险(阈值)的理由(组织自行填写);
- 评估频率和;
- 不进行缺陷检查的影响(组织自行填写)。
每个判断语句详情后面都有表格,列明控制测试失败可能导致哪些缺陷检查(和相关子能力)执行失败。
这些文本提供了模板供组织编辑,如第3.1节所述。
3.3.2 控制项的内容框架
本节介绍NIST SP 800-53的低、中、高基线中选择的支持VUL能力的安全控制项。为方便起见,控制项按这三个级别分成三节描述:
- 低基线控制项(3.3.3节)。所有系统均应执行该级别安全控制。
- 中基线控制项(3.3.4节)。这些控制项在高基线安全控制中同样需要。
- 高基线控制项(3.3.5节)。仅适用于高基线安全控制。
表7列明安全控制项对每类基线的适用性。
| FIPS-199a (NIST SP 800-60)b 系统影响级别 | 低基线控制项(3.3.3节) | 中基线控制项(3.3.4节) | 高基线控制项(3.3.5节) |
| 低 | 适用 | ||
| 中 | 适用 | 适用 | |
| 高 | 适用 | 适用 | 适用 |
3.3.3 低基线安全控制项
3.3.3.1 控制项RA-5(a):漏洞扫描
控制项描述
控制:组织:
a.在【赋值:组织定义的频率和/或根据组织定义的流程随机确定】时以及在可能影响系统/应用程序的新漏洞发现和上报时,扫描信息系统和托管应用程序中的漏洞。
判断语句1
| 判断语句ID | 判断语句文字 |
| RA-5(a){1} | 确定组织是否:扫描系统和托管应用程序中的{软件}漏洞【赋值:组织定义的频率和/或根据组织定义的流程随机确定】。 |
角色和评估方法
| 判断语句ID | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| RA-5(a){1} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明 若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的信息系统和托管应用程序的{软件}漏洞扫描【赋值:组织定义的频率和/或根据组织定义的流程(以适当的频率)随机确定】问题可能是导致该缺陷的原因;即…… |
| RA-5(a){1} | VUL-Q04 | 时效性差指标 | ……ISCM总体报告的时效性差 |
3.3.3.2 控制项RA-5(a):漏洞扫描
控制项描述
控制:组织:
a.在【赋值:组织定义的频率和/或根据组织定义的流程随机确定】时以及在可能影响系统/应用程序的新漏洞发现和上报时,扫描信息系统和托管应用程序中的漏洞。
判断语句1
| 判断语句ID | 判断语句描述 |
| RA-5(a){2} | 确定组织是否:【确保】在发现可能影响系统/应用程序的新漏洞时将其【添加至扫描流程】。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| RA-5(a){2} | DSM | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明 若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的未能确保发现可能影响系统/应用程序的新漏洞时将其添加至【扫描流程】可能是该缺陷的原因;即…… |
| RA-5(a){2} | VUL-Q02 | 未上报适用的缺陷检查 | …未上报适用的缺陷检查。 |
3.3.3.3 控制项RA-5(b):漏洞扫描
控制项描述
控制:组织:
b.使用多种漏洞扫描工具和工具互通技术,基于标准,对漏洞管理流程的部分环节进行自动化,实现如下目的:
1.列明平台、软件缺陷和错误配置;
2.制定检查单和测试过程;以及
3.评估漏洞影响。
判断语句1
| 判断语句ID | 判断语句说明 |
| RA-5(b){1} | 确定组织是否:使用多种漏洞扫描工具和工具互通技术,并利用软件缺陷【识别】标准实现漏洞管理过程中某些环节自动化。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| RA-5(b){1} | DSM | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明 若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的软件缺陷【识别】标准使用问题可能是导致该缺陷的原因;即…… |
| RA-5(b){1} | VUL-Q02 | 未上报适用的缺陷检查 | ……未上报适用的缺陷检查。 |
判断语句2
| 判断语句ID | 判断语句描述 |
| RA-5(b){2} | 确定组织是否:使用多种漏洞扫描工具和工具互通技术,利用相关标准制定检查单和测试过程,实现漏洞管理流程中某些环节自动化,从而最大限度降低误报。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| RA-5(b){2} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明 若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项的利用相关标准制定检查单和测试过程将误报降至最低过程中出现的问题可能是导致该缺陷的原因;即…… |
| RA-5(b){2} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
判断语句3
| 判断语句ID | 判断语句描述 |
| RA-5(b){3} | 确定组织是否:使用多种漏洞扫描工具和工具互通技术,利用相关标准制定检查单和测试过程实现漏洞管理流程中某些环节自动化,从而最大限度减少漏报。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| RA-5(b){3} | MAN | ISCM-TN | MAN | 待定 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
由于手动进行测试,因此缺陷检查说明表不适用。
3.3.3.4 控制项RA-5(c):漏洞扫描
控制项描述
控制:组织:
c.分析漏洞扫描报告和安全控制评估结果。
判断语句1
| 判断语句ID | 判断语句描述 |
| RA-5(c){1} | 确定组织是否:分析漏洞扫描报告和安全控制评估结果。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| RA-5(c){1} | RskEx | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明 若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的漏洞扫描报告和安全控制评估结果的分析过程中存在的问题可能是导致该缺陷的原因;即…… |
| RA-5(c){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
| RA-5(c){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
| RA-5(c){1} | VUL-Q01 | 设备未上报(漏洞) | ……设备未在规定时间内上报软件漏洞。 |
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明 若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的漏洞扫描报告和安全控制评估结果的分析过程中存在的问题可能是导致该缺陷的原因;即…… |
| RA-5(c){1} | VUL-Q02 | 未上报适用的缺陷检查 | ……未上报适用的缺陷检查。 |
| RA-5(c){1} | VUL-Q03 | 完整性差指标 | ……ISCM总体报告的完整性未达到阈值。 |
| RA-5(c){1} | VUL-Q04 | 时效性差指标 | ……ISCM总体报告的时效性差 |
3.3.3.5 控制项RA-5(d):漏洞扫描
控制项描述
控制:组织:
d.根据组织对风险的评估修复合法漏洞【赋值:组织定义的响应时间】。
判断语句1
| 判断语句ID | 判断语句描述 |
| RA-5(d){1} | 确定组织是否:根据对风险的评估修复合法漏洞【赋值:组织定义的响应时间】。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| RA-5(d){1} | PatMan | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明 若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的合法漏洞修复时存在的问题可能是导致该缺陷的原因;即…… |
| RA-5(d){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
| RA-5(d){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
3.3.3.6 控制项RA-5(e):漏洞扫描
控制项描述
控制:组织:
e.分享漏洞扫描过程和安全控制评估过程中获取的信息【赋值:组织定义的人员或角色】,协助消除其他信息系统(即系统的缺点或缺陷)中的类似漏洞。
判断语句1
| 判断语句ID | 判断语句描述 |
| RA-5(e){1} | 确定组织是否:分享漏洞扫描过程中获取的信息【赋值:组织定义的人员或角色】,协助消除其他系统(即系统的缺点或缺陷)中的类似漏洞。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| RA-5(e){1} | RskEx | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明 若此缺陷检查的【组织定义的指标】高于[组织定义的阈值],则该控制项相关的分享漏洞扫描过程中获取的信息【赋值:组织定义的人员或角色】协助修复其他信息系统中的类似漏洞的过程中存在的问题可能是导致该缺陷的原因;即…… |
| RA-5(e){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
| RA-5(e){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
3.3.3.7 控制项SI-2(a):纠正缺陷
控制项描述
控制:组织:
a.识别、上报和纠正信息系统中的缺陷。
判断语句1
| 判断语句ID | 判断语句描述 |
| SI-2(a){1} | 确定组织是否:识别和上报系统缺陷。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| SI-2(a){1} | SWFM | ISCM-TN | ISCM-Ops | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的信息系统缺陷识别和上报过程存在的问题可能是导致该缺陷的原因;即…… |
| SI-2(a){1} | VUL-Q01 | 设备未上报(漏洞) | ……设备未能在规定时间内上报软件漏洞。 |
| SI-2(a){1} | VUL-Q02 | 未上报适用的缺陷检查 | ……未上报适用的缺陷检查。 |
| SI-2(a){1} | VUL-Q03 | 完整性差指标 | ……ISCM总体报告的完整性未达到阈值。 |
| SI-2(a){1} | VUL-Q04 | 时效性差指标 | ……ISCM总体报告的时效性差 |
判断语句2
| 判断语句ID | 判断语句描述 |
| SI-2(a){2} | 确定组织是否:纠正系统缺陷。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| SI-2(a){2} | PatMan | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的信息系统缺陷纠正过程存在的问题可能是导致该缺陷的原因;即…… |
| SI-2(a){2} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
| SI-2(a){2} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
3.3.3.8 控制项SI-2(b):纠正缺陷
控制项描述
控制:组织:
b.安装软件和固件更新修复缺陷前,先对这些更新进行测试,检查其有效性和负面影响。
判断语句1
| 判断语句ID | 判断语句描述 |
| SI-2(b){1} | 确定组织是否:安装软件和固件更新修复缺陷前,先对这些更新进行测试,检查其有效性和负面影响。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| SI-2(b){1} | MAN | ISCM-TN | MAN | 待定 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
由于手动进行测试,因此缺陷检查说明表不适用。
3.3.3.9 控制项SI-2(c):纠正缺陷
控制项描述
控制:组织:
c.在更新发布的【赋值:组织定义的时间段】内,安装安全相关的软件和固件更新。
判断语句1
| 判断语句ID | 判断语句描述 |
| SI-2(c){1} | 确定组织是否:在更新发布的【赋值:组织定义的时间段】内,安装安全相关的软件和固件更新。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| SI-2(c){1} | PatMan | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的更新发布的【赋值:组织定义的时间段】内安装安全相关软件和固件更新过程中存在的问题可能是导致该缺陷的原因;即…… |
| SI-2(c){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
| SI-2(c){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
| SI-2(c){1} | VUL-Q04 | 时效性差指标 | ……ISCM总体报告的时效性差 |
3.3.3.10 控制项SI-2(d):纠正缺陷
控制项描述
控制:组织:
d.将修复缺陷纳入组织的配置管理流程。
判断语句1
| 判断语句ID | 判断语句描述 |
| SI-2(d){1} | 确定组织是否:将修复缺陷纳入组织的配置管理流程。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| SI-2(d){1} | SWFM | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的纠正缺陷纳入组织配置管理流程存在的问题可能是导致该缺陷的原因;即…… |
| SI-2(d){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
| SI-2(d){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
3.3.4 中基线安全控制项
3.3.4.1. 控制项RA-5(1):漏洞扫描|更新工具能力
控制项描述
组织采用的漏洞扫描工具能够根据扫描结果即时更新信息系统漏洞。
判断语句1
| 判断语句ID | 判断语句描述 |
| RA-5(1){1} | 确定组织是否:采用了能够根据扫描结果即时更新信息系统漏洞的漏洞扫描工具。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| RA-5(1){1} | DSM | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的修复发现的信息系统漏洞过程存在的问题可能是导致该缺陷的原因;即…… |
| RA-5(1){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
| RA-5(1){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
| RA-5(1){1} | VUL-Q02 | 未上报适用的缺陷检查 | ……未上报适用的缺陷检查。 |
3.3.4.2 控制项RA-5(2):漏洞扫描|按频率/扫描开始前/发现漏洞时进行更新
控制项描述
组织根据扫描结果修复信息系统漏洞【选择(一个或多个):【赋值:组织定义的频率】;新扫描任务开始前;发现和上报新漏洞时】。
判断语句1
| 判断语句ID | 判断语句描述 |
| RA-5(2){1} | 确定组织是否:修复系统中发现的漏洞【选择(一个或多个):【赋值:组织定义的频率】;新扫描任务开始前;发现和上报新漏洞时】。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| RA-5(2){1} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的新漏洞发现和上报时修复信息系统漏洞过程存在的问题可能是导致该缺陷的原因;即…… |
| RA-5(2){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
| RA-5(2){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
| RA-5(2){1} | VUL-Q02 | 未上报适用的缺陷检查 | ……未上报适用的缺陷检查。 |
3.3.4.3控制项SA-11(d):开发者安全测试和评估
控制项描述
控制:组织要求信息系统、系统组件或信息系统服务的开发者:
d. 实现可验证的缺陷修复流程
判断语句1
| 判断语句ID | 判断语句描述 |
| SA-11(d){1} | 确定组织是否:要求系统、系统组件或系统服务的开发者实现可验证的缺陷修复流程。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| SA-11(d){1} | SWFM | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明 若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的要求信息系统、系统组件或信息系统服务的开发者实现可验证的缺陷修复流程存在的问题可能是导致该缺陷的原因;即…… |
| SA-11(d){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
| SA-11(d){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
3.3.4.4 控制项SI-2(2):缺陷修复|自动化缺陷修复状态
控制项描述
组织采取自动化机制【赋值:组织定义的频率】确定信息系统组件的缺陷修复状态。
判断语句1
| 判断语句ID | 判断语句描述 |
| SI-2(2){1} | 确定组织是否:采取自动化机制【赋值:组织定义的频率】确定信息系统组件的缺陷修复状态。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| SI-2(2){1} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的采取自动化机制【赋值:组织定义的频率】确定信息系统组件的缺陷修复状态过程中存在的问题可能是导致该缺陷的原因;即…… |
| SI-2(2){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
| SI-2(2){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
| SI-2(2){1} | VUL-Q03 | 完整性差指标 | ……ISCM总体报告的完整性未达到阈值。 |
| SI-2(2){1} | VUL-Q04 | 时效性差指标 | ……ISCM总体报告的时效性差 |
3.3.5 高基线安全控制项
3.3.5.1 控制项SI-2(2):缺陷修复|自动化缺陷修复状态
控制项描述
组织集中管理缺陷修复流程。
判断语句1
| 判断语句ID | 判断语句描述 |
| SI-2(1){1} | 确定组织是否:集中管理缺陷修复流程。 |
角色和评估方法
| 判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| SI-2(1){1} | SWFM | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
| 判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的集中管理缺陷修复流程存在的问题可能是导致该缺陷的原因;即…… |
| SI-2(1){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞)。 |
| SI-2(1){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷)。 |
| SI-2(1){1} | VUL-Q01 | 设备未上报(漏洞) | ……设备未在规定时间内上报软件漏洞。 |
| SI-2(1){1} | VUL-Q02 | 未上报适用的缺陷检查 | ……未上报适用的缺陷检查。 |
| SI-2(1){1} | VUL-Q03 | 完整性差指标 | ……ISCM总体报告的完整性未达到阈值。 |
| SI-2(1){1} | VUL-Q04 | 时效性差指标 | ……ISCM总体报告的时效性差 |
译者声明:
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。