As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Definir um plano de gerenciamento de vulnerabilidades A primeira etapa ao preparar seu programa de gerenciamento de vulnerabilidades na nuvem é definir seu *plano de gerenciamento de vulnerabilidades*. Esse plano inclui as políticas e os processos que sua organização segue. Ele deve ser documentado e estar acessível a todas as partes interessadas. Um plano de gerenciamento de vulnerabilidades é um documento de alto nível que, normalmente, inclui as seguintes seções: + **Metas e escopo**: descreva as metas, as funções e o escopo do gerenciamento de vulnerabilidades. + **Perfis e responsabilidades**: liste as partes interessadas no gerenciamento de vulnerabilidades e detalhe suas responsabilidades. + **Definições de gravidade e priorização das vulnerabilidades**: determine como classificar a gravidade de uma vulnerabilidade e como priorizá-la. + **Acordos de nível de serviço (SLAs)** **para remediação** — Para cada nível de severidade, defina o tempo máximo que o proprietário da remediação tem para resolver uma descoberta de segurança. Como a conformidade com o SLA é parte integrante de um programa de gerenciamento de vulnerabilidades eficaz e escalável, considere como monitorar se você está cumprindo esses requisitos. SLAs + **Processo de exceções**: detalhe o processo de envio, aprovação e atualização de exceções. Esse processo deve garantir que as exceções sejam legítimas, com limite de tempo e rastreadas. + **Fontes de informações sobre vulnerabilidades**: liste as fontes ou ferramentas que geram descobertas de segurança. Para obter mais informações sobre Serviços da AWS essas fontes de descobertas de segurança, consulte [Configurar serviços AWS de segurança](configure-aws-security-services.md) este guia. Embora essas seções sejam comuns para empresas de diferentes portes e setores, o plano de gerenciamento de vulnerabilidades de cada organização é único. Você precisa criar um plano de gerenciamento de vulnerabilidades que seja o mais eficiente para a sua organização. Planeje a iteração periódica do seu plano, a fim de incorporar as experiências adquiridas e as novas tecnologias.