系统漏洞管理方法与合规管理紧密联系。如同遵照特殊管控规范有利于合理管理方法系统漏洞，合理管理方法系统漏洞也有利于避开能致违反规定的安全事故。

但由于不一样监管部门规范不一样，既合理且合规管理的系统漏洞管理方法对不一样组织架构来讲将会代表不一样的物品。但是1个列外：风险性！全部规范都注重了风险性！实际有：

PCIDSS规定6.1申明：企业公司务必“开设系统漏洞发觉全过程，并成探索与发现的网络安全问题授予风险性得分。”

GDPR第31条规定：保持“适当的专业性或全局性对策以保证合适风险性状况的安全性水准。”

HIPAA安全性标准强制性规定：“评定电子器件健康信息的安全保密性、一致性和易用性所遭遇的潜在性风险性与系统漏洞。”

GLBA安全性要求规定：企业公司须“鉴别并评定客户资料风险性，评定当今风险管控安全防范措施的实效性。”

许多管控规范都规定评定风险性并为此作出适当没有响应能够达到并保持合规管理，左右几个只有摘抄1-2罢了。在系统漏洞管理方法语境下，如PCIDSS规定6.1上述，合规管理就代表应用场景风险性给系统漏洞排列并修补。

但因为系统漏洞对每家企业实际意义不一样，要保证按风险管控系统漏洞并不易。精确评定最先要明确：

1)系统漏洞武器化的几率有多高；

2)假如武器化，对特殊企业的危害是啥。

愿意明确这好多个自变量，下列提议可供参考：

1.知道财产状况

将会危害重要财产的系统漏洞絕對要优先选择修补。对大部分公司来讲，重要财产包含但不限于适用1个或好几个安全性合规管理规定的这些。例如，受HIPAA所管的企业公司还要特别关心带有本人健康信息的财产；PCIDSS辖下企业应高度重视支付卡统计数据；GDPR管控下的企业公司也要将客户统计数据也列入重中之重关心另一半。

鉴别出重要财产后，也要明确并纪录下其储存、解决、管理方法和将会被毁坏的方法。与这种财产关联的技术性有什么？如何联接的？什么客户能够出自于哪样目地浏览这种财产？什么人将会会想毁坏/泄漏这种财产？为何？这种财产如果被毁坏/泄漏，会导致哪些不良影响？该类难题的参考答案有利于鉴别、归类和排列将会危害这种财产的潜在性系统漏洞。

2.CVSS得分不意味着任何

排列修补姿势时最易犯的1个不正确，是将通用性系统漏洞评分系统(CVSS)的成绩相当于风险性值。虽然CVSS得分能体现出系统漏洞实质和系统漏洞武器化后的将会个人行为方法，但这种全是规范化的，并不可以体现出所述2个决策系统漏洞特殊风险性值的自变量——武器化几率和对于企业的特殊潜在性危害。

实际上，2012年对于CVSS得分的科学研究就发觉，“仅依据CVSS得分高矮修复漏洞，不比任意拣取漏洞修复。”该科学研究还发觉，虽然系统漏洞的CVSS得分好像两者之间武器化几率并无关系，但是别的要素与之有关，包含：是不是存有漏洞利用定义认证编码，深网社区论坛、暗网销售市场等不法免费在线小区是不是提及该漏洞利用编码等。

由于绝大部分通用性系统漏洞与曝露(CVE)从没武器化，该科学研究的依据具备必须现实意义。高CVSS得分的CVE只能在故意网络黑客能武器化的那时候算是真实的威协。但是武器化系统漏洞，网络黑客最先得明确武器化方式，而这一般都必须定义认证(POC)编码。应用或开发设计POC编码的全过程因此包括很多试错。若没有深/暗网和别的不法免费在线小区中与其他网络黑客沟通交流，大部分网络黑客通常是搞不定的。

换句话，不管CVSS得分是高是低，评定系统漏洞时都必须将是不是存有POC编码和有关网络黑客探讨做为关键风险性要素多方面考虑。

3.风险评价架构

出自于修补排列目地的风险评价全过程提升能够考虑到选用评定架构。制好的风险评价架构有许多，在其中某些還是特殊监管部门强制性规定或提议选用的，这种制好的架构都能协助安全性精英团队更合理地评定、排列和管理方法不一样风险性。

但不管选用哪样架构，都必须依据企业特殊自然环境和风险性要素多方面保持。换句话说，你必须统计分析财产，评定财产招黑的潜在性危害，分辨系统漏洞武器化几率。不管有木有运用系统漏洞风险评价架构，缺了所述信息内容都没法精确评定系统漏洞对企业的特殊风险性。

此外，还需切记：尽管合规管理不可是安全性新项目的终极目标，但每个合规管理规定都注重风险性必定是有缘故的。合理管理方法系统漏洞，特别是在是有效排列修补姿势，只能应用场景风险性算是行得通的。