网络与信息安全指令2 2023

资产中的漏洞被识别、确认并记录。利用威胁、漏洞、可能性和影响来理解固有风险，并为风险应对的优先顺序提供依据。风险应对措施被选择、优先排序、规划、监控并进行沟通。建立了接收、分析和应对漏洞披露的流程。标准：1。在措施 ID.RA-08 的第 1 点中提到的信息用于识别信息和网络系统中潜在的漏洞。| 2. 对于至少相关的信息和网络系统，应根据措施 ID 下的漏洞管理计划进行处理。RA-08，除非有正当且有文档记录的规范或技术原因，否则识别漏洞的活动，包括至少漏洞评估和/或渗透测试，应定期进行，并且在投入使用之前进行。| 3.第2点所提到的活动通过包含至少以下内容的特定报告进行记录：a) 所执行活动的一般描述及其结果；b) 所发现漏洞的描述及其对安全的影响程度。

资产中的漏洞被识别、确认并记录。利用威胁、漏洞、可能性和影响来理解固有风险，并为风险应对的优先顺序提供依据。风险应对措施被选择、优先排序、规划、监控并进行沟通。建立了接收、分析和响应漏洞披露的流程。标准：1。根据GV.RM-03措施中概述的网络安全风险管理计划，针对信息和网络系统安全的风险评估已执行并记录，同时考虑对第三方供应商和合作伙伴的可能依赖，至少包括：a) 风险识别；b) 风险分析；c) 风险评估。| 2.第1点提到的风险评估应按照计划的时间间隔进行，且至少每两年进行一次，同时在发生重大事件、组织变动或威胁暴露及相关风险发生变化时也应进行评估。| 3. 第1点提到的风险评估需由管理和执行机构批准。| 4.第1点提到的风险评估应至少考虑内部和外部威胁、未解决的漏洞以及潜在事件所造成的影响。

资产中的漏洞被识别、确认并记录。威胁、漏洞、可能性和影响用于了解固有风险，并为风险应对的优先顺序提供依据。风险应对措施被选择、优先排序、计划、监控和沟通。建立了接收、分析和应对漏洞披露的流程。标准：风险应对措施被选择、优先排序、规划、监控并传达。| 1. 风险处理计划已被定义、记录、执行和监控，其中至少包括：a) 针对每一个已识别风险拟实施的处理选项和措施及其相对优先级；b) 执行风险处置措施的主管机构及其实施时间表；c) 对处置后任何剩余风险的接受所进行的说明及理由。| 2.如果由于有正当且有文件记录的规范性或技术原因，未实施本附录附表2中的要求，应在适用的情况下采取补偿性缓解措施，并且第1点所述的计划应包括对这些措施及任何剩余风险的描述。| 3.第1点中提到的计划，包括对任何剩余风险的接受，已获得行政和指挥机构的批准。

资产中的漏洞已被识别、确认并记录。威胁、漏洞、可能性和影响用于理解固有风险，并为风险应对的优先顺序提供依据。风险应对措施被选择、优先排序、规划、监控并进行沟通。建立了接收、分析和响应漏洞披露的流程。标准：1。至少，意大利CSIRT的通信渠道，以及任何行业CERT和信息共享与分析中心（ISAC）都会被监控，以获取、分析并应对有关漏洞的信息。| 2.漏洞，包括根据测量ID识别的漏洞。RA-01，通过安全更新或缓解措施（如可用）及时解决，或者按照措施 ID.RA-06 所述的网络风险处理计划接受并记录风险。| 3. 定义、实施、更新并记录了漏洞管理计划，其中至少包括：a) 按措施 ID 所述识别漏洞的方法。RA-01 及相关活动的规划；b) 监控、接收、分析和应对漏洞信息的方法；c) 执行 a) 和 b) 点所述活动的程序、角色和职责。| 4. 第 3 点中提到的计划经管理和行政机构批准。| 5.出于第1点所述的目的，还会监控被视为关键的软件供应商的渠道。