المبدأ 19: مراقبة الثغرات الأمنية والإبلاغ عنها
| الرقم: 43065348 | التاريخ (م): 2022/2/27 | التاريخ (هـ): 1443/7/26 | الحالة: نافذ |
Effective from Feb 27 2022 - Feb 26 2022
To view other versions open the versions tab on the right
يجب على المؤسسات الأعضاء أن تراقب باستمرار الإعلانات عن الثغرات الأمنية الجديدة التي يتم اكتشافها، بالإضافة إلى ثغرات اليوم الصفري التي تستغلها جهات التهديد. ويجب عليهم الإبلاغ عن هذه الثغرات الأمنية إلى الأطراف المعنية داخل المؤسسة (مثل المسؤولين عن إدارة حزم التحديثات والإصلاحات). ويجب أن تتم هذه الاتصالات وفقًا للإجراءات الداخلية للمؤسسات الأعضاء (مثل اتفاقية مستوى الخدمة ومؤشر الأداء الرئيسي).
ويجب على المؤسسة العضو اعتماد نهج قائم على المخاطر يربط بين قيمة الأصول وشدة الثغرات الأمنية ونشاط جهات التهديد من خلال استخدام معلومات وتحليلات التهديدات بهدف حساب تصنيف واقعي للمخاطر. ويجب استخدام هذا التصنيف لتحديد أولويات أنشطة الإصلاح. إضافةً إلى ذلك، يجب على المؤسسة العضو استخدام نهج قائم على المخاطر لتوظيف ضوابط التخفيف، مثل نظام منع التطفل عند عدم القدرة على تصحيح الثغرات الأمنية لتقليل مساحة الهجوم ومنع استغلال الثغرات الأمنية.