保护受控未分类信息 Rev 3

组织识别受已公布的软件和固件漏洞影响的系统，包括由这些漏洞引起的潜在安全漏洞，并将此信息报告给具有信息安全职责的指定人员。与安全相关的更新包括补丁、服务包、热修复程序和防病毒签名。组织会解决在安全评估、持续监控、事件响应活动和系统错误处理过程中发现的缺陷。组织在修复系统缺陷时可以利用可用的资源（例如 CWE 或 CVE 数据库）。组织定义的用于更新安全相关软件和固件的时间周期可能会因多种因素而有所不同，包括更新的关键性（即与发现的漏洞相关的漏洞严重性）。某些类型的漏洞修复可能比其他类型需要更多的测试。