本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 定義漏洞管理計畫 準備雲端漏洞管理計劃的第一步是定義*漏洞管理計劃*。此計劃包含您的組織遵循的政策和程序。所有利益相關者都應記錄和存取此計劃。漏洞管理計畫是高階文件,通常包含下列各節: + **目標和範圍** – 概述漏洞管理的目標、功能和範圍。 + **角色和責任** – 列出漏洞管理利益相關者並詳細說明其責任。 + **漏洞嚴重性和優先順序定義** – 決定如何分類漏洞嚴重性以及如何排定優先順序。 + **用於修復****的服務層級協議 (SLAs)** – 針對每個嚴重性層級,定義修復擁有者解決安全問題清單所需的時間上限。由於 SLA 合規是擁有有效且可擴展的漏洞管理計畫不可或缺的一部分,請考慮如何追蹤您是否滿足這些 SLAs。 + **例外狀況程序 **– 詳細說明提交、核准和更新例外狀況的程序。此程序應確保例外狀況合法、有時間限制且受到追蹤。 + **漏洞資訊來源 **– 列出產生安全調查結果的來源或工具。如需有關 AWS 服務 可能是安全調查結果來源的詳細資訊,請參閱本指南[設定 AWS 安全服務](configure-aws-security-services.md)中的 。 雖然這些區段在大小和產業不同的公司中都很常見,但每個組織的漏洞管理計畫都是獨一無二的。您需要建立最適合您組織的漏洞管理計劃。預期隨著時間的推移反覆執行您的計劃,以納入經驗教訓和不斷發展的技術。