主页
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
步骤 5：度量进度并获得合规性证明
了解如何度量进度和获得合规性证明。
获得合规性证明
如何获得合规性证明。
一致性报告
了解合规性报告。
金融服务 (GLBA) 报告
此报告显示在您站点上发现的 GLBA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。

管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
- 步骤 1：创建应用程序清单
  了解如何创建应用程序清单。
- 步骤 2：测试应用程序以查找漏洞
  了解如何在应用程序中测试识别的漏洞。
- 步骤 3：确定风险和划分漏洞优先级
  了解如何确定风险，以及对在应用程序中识别的漏洞划分优先级。
- 步骤 4：补救任务
  了解如何修复在应用程序中识别的漏洞。
- 步骤 5：度量进度并获得合规性证明
  了解如何度量进度和获得合规性证明。
  - 度量进度
    了解如何跟踪组成产品服务组合的应用程序的各种度量值和趋势。
  - 获得合规性证明
    如何获得合规性证明。
    - 以报告的形式导出问题
      可生成问题的定制报告（PDF、HTML 或 XML 格式）并将这些报告发送给开发人员、内部审计员、渗透测试员、经理和 CISO。AppScan Enterprise 的报告模板可将应用程序安全性数据映射到关键政府法规和行业标准。使用报告可记录针对法规一致性目标的进度，例如显示与一致性问题关联的应用程序数量的减少。
    - 限制安全报告的大小
      安全报告可能很大。报告生成期间，可能接收到文件有数百页长或者报告创建过程可能超时的警告消息。请尝试以下提示来减小报告大小。
    - 一致性报告
      了解合规性报告。
      - APRA PPG 234 -“信息和信息技术中的安全性风险管理”报告
        该报告显示在您站点上找到的与此法规不相符的问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - 新巴塞尔资本协定报告
        此新巴塞尔资本协定合规性报告有助于金融机构通过标识、监视和报告 Web 应用程序漏洞来处理由联机活动引发的运营风险。
      - California Assembly Bill No. 1950 and Senate Bill 1386 报告
        该报告显示在您站点上找到的与这些法规不相符的问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “1998 年儿童在线隐私保护法案”报告
        此报告显示在您站点上发现的“儿童在线隐私保护法案 (COPPA)”问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。注意：此报告中的许多问题与 HIPAA 报告中的问题类似。如果将两份报告都添加到仪表板，那么问题总数会大量增加。如果要防止发生这种情况，您可以为每个报告都创建选项卡，或只将其中一个报告添加到仪表板中。
      - “英国数据保护法案”报告
        此报告显示在您站点上发现的 Data Protection Act 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “DCID 6/3 保护高级技术 IS”报告
        此报告会分析 Web 应用程序扫描的结果，以检测是否违反了针对保护互连信息系统和保护采用高级技术的信息系统的安全要求。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。
      - DCID 6/3 基本可用性报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的可用性需求违例，这些系统在 Protecting Sensitive Compartmented Information within Information Systems 手册第 6 章中概述的基本保护级别上运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。“基本”级别意味着信息必须在发生一定程度的延迟时仍然可用，否则丧失可用性时将会有不利影响。
      - “DCID 6/3 中等可用性”报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的可用性需求违例，这些系统在 Protecting Sensitive Compartmented Information within Information Systems 手册第 6 章中概述的中保护级别下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。“中”级别意味着信息必须随时可用，并且容许最低程度的延迟，否则丧失可用性可能会导致身体伤害或对组织级别的利益造成不利影响。
      - DCID 6/3 高可用性报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的可用性需求违例，这些系统在 Protecting Sensitive Compartmented Information within Information Systems 手册第 6 章中概述的高保护级别下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。“高”级别意味着在请求时信息必须总是可用，并且不容许延迟。丧失可用性可能会导致失去生命，对国家利益造成不利影响或违反机密性。
      - DCID 6/3 机密性要求保护级别 1 报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的机密性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 4 章中概述的保护级别 1 下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。
      - DCID 6/3 机密性要求保护级别 2 报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的机密性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 4 章中概述的保护级别 2 下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。
      - DCID 6/3 机密性要求保护级别 3 报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的机密性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 4 章中概述的保护级别 3 下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。
      - DCID 6/3 机密性要求保护级别 4 报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的机密性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 4 章中概述的保护级别 4 下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。
      - DCID 6/3 机密性要求保护级别 5 要求
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的机密性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 4 章中概述的保护级别 5 下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。
      - DCID 6/3 完整性基本报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的完整性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 5 章中概述的基本完整性级别下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。“基本”级别意味着针对未授权的修改需要适当等级的阻止，否则丧失完整性将会有不利影响。
      - DCID 6/3 中等完整性报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的完整性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 5 章中概述的中完整性级别下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。“中”级别意味着针对未授权的修改需要高等级的阻止，但并非绝对。中度丧失完整性可能会导致身体伤害，或者对组织级别的利益造成不利影响。
      - DCID 6/3 完整性高报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的完整性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 5 章中概述的高完整性级别下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。“高”级别意味着针对未授权的修改需要非常高等级的阻止。高度丧失完整性可能会导致失去生命，或者对国家利益或机密性造成不利影响。
      - DISA STIG V3R9 报告
        《应用程序安全和开发安全技术实施指南》(STIG) 提供在整个应用程序开发生命周期中使用的安全指导。防御信息系统局 (DISA) 鼓励站点在应用程序开发流程中尽早使用这些准则。
      - DISA STIG V3R9 类别 1 报告
        《应用程序安全和开发安全技术实施指南》(STIG) 提供在整个应用程序开发生命周期中使用的安全指导。防御信息系统局 (DISA) 鼓励站点在应用程序开发流程中尽早使用这些准则。
      - DoD 指令 8500.1 - Cybersecurity 报告
        此报告显示在您站点上发现的问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - DoD 指令 8550.1 - 因特网服务和基于因特网的功能报告
        此报告显示在您站点上发现的问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “电子资金转帐法案和法规 E”报告
        此报告显示在您站点上发现的 EFTA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - European Directive 1995/46/EC 报告
        此报告显示在您站点上发现的《数据保护指令》（EU 1995/46/EC）问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - European Directive 2002/58/EC 报告
        此报告显示在您站点上发现的 Privacy and Electronic Communications Directive（EU 2002/58/EC）问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Family Educational Rights and Privacy Act (FERPA) 报告
        此报告显示在站点上发现的 FERPA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Federal Financial Institutions Examination Council (FFIEC) - Information Security IT Examination Handbook 报告
        此报告显示在您站点上发现的 FFIEC 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Federal Information Security Management Act（FISMA）报告
        此报告显示在您站点上发现的 FISMA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - 联邦风险和授权管理方案 (FedRAMP) 报告
        此报告显示在您站点上发现的 FedRAMP 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - 金融服务 (GLBA) 报告
        此报告显示在您站点上发现的 GLBA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Freedom of Information and Protection of Privacy Act (FIPPA) 报告
        此报告显示在站点上发现的 FIPPA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “1996 年健康保险可移植性和责任法案 (HIPAA)”报告
        此报告显示在您站点上发现的 HIPAA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Japan's Personal Information Protection Act 报告
        此报告显示在您站点上发现的有关“Japan's Personal Information Protection Act”的问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “马萨诸塞州 201 CMR 17.00”报告
        此 MA 201 合规性报告有助于金融机构通过标识、监视和报告 Web 应用程序漏洞来处理由联机活动引发的运营风险。
      - “信息技术安全管理 (MITS)”报告
        此 MITS 合规性报告有助于金融机构通过标识、监视和报告 Web 应用程序漏洞来处理由联机活动引发的运营风险。
      - “NERC CIPC 电子产业安全准则”报告
        此报告显示在您站点上发现的 NERC CIPC 违例问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “PA-DSS（支付应用程序数据安全标准）V3.0”报告
        此 PA-DSS 合规性报告有助于金融机构通过标识、监视和报告 Web 应用程序漏洞来处理由联机活动引发的运营风险。
      - “支付卡行业数据安全标准 (PCI) V3.0”报告
        此报告显示在您站点上发现的 PCI 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - PIPED Act 报告
        此报告显示在您站点上发现的 PIPED 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Privacy Act of 1974 报告
        此报告显示在您站点上发现的 Privacy Act of 1974 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Regulation 2016/679 of the European Parliament and of the Council - General Data Protection Regulation (GDPR)
        此报告显示在您站点上发现的通用数据保护条例 (GDPR) 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Safe Harbor 报告
        此报告显示在您站点上发现的欧盟 Safe Harbor 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “2002 年萨班斯法案 (SOX)”报告
        该报告显示在站点上找到的“沙宾法案”问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “美国联邦条例法典第 21 章 (21 CFR) 第 11 部分”报告
        该报告会显示在站点上找到的 21CFR11（美国联邦条例法典，标题 21，第 11 部分）问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
    - 行业标准报告
      了解行业标准报告。

金融服务 (GLBA) 报告

此报告显示在您站点上发现的 GLBA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。

它为什么重要

1999 年的《金融服务现代化法案》（通常称为《Gramm-Leach-Bliley 法案》（Gramm-Leach-Bliley Act，GLBA））包含对保护金融机构所持有的消费者个人金融信息的规定。通过废除大萧条时期银行、保险和证券这几个行业之间的障碍，此法案允许美国金融服务供应商（包括银行、证券公司和保险公司）相互联系并进入彼此的市场。该法规旨在确保金融机构保护敏感的客户信息，以防黑客通过支持 Web 的环境（包括因特网连接和托管安排）进行访问。《保障措施规则》已于 2003 年生效，要求通过积极的步骤确保自由的客户信息安全。

尽管此立法将美国的金融格局加以现代化，但是它还包含针对个体的重大隐私和安全元素，包括：

针对应用提供详尽的隐私须知并每年提供。隐私须知应包含机构所收集的关于其客户的信息内容，与其共享此信息的对象及其保护或保障此信息的方式。
提供详细的安全策略，此策略会识别并评估可能会威胁客户信息的风险。策略必须概述机构在实施安全计划方面将采取的具体安全措施。
针对与无关的第三方公司进行的任何个人信息共享，提供 opt-out 权利。隐私须知必须说明消费者如何能够 opt-out。此外，隐私须知还必须说明消费者有权不同意与其金融机构的分支机构共享特定信息，如信用报告或申请信息。
实施重大的安全保障。

针对遵守 GLBA 的最佳做法

在所有在线申请点提供隐私须知。
确保在特定在线信息收集点提供自愿退出声明和机制。
对金融信息的在线收集实施安全保障。
确保不会违反共享规则将个人金融信息传递给第三方。
防范任何对于客户记录安全性或完整性的预期性威胁或危险。
防范对这些记录或信息的未授权访问或使用，以免对客户造成巨大伤害或不便。