主页
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
步骤 5：度量进度并获得合规性证明
了解如何度量进度和获得合规性证明。
获得合规性证明
如何获得合规性证明。
行业标准报告
了解行业标准报告。
“国际标准 ISO 27002”报告
此报告显示违反该标准控制目标的现有 Web 应用程序漏洞。该标准中所列的控制目标直接源于 ISO 17799 中所列的控制目标并与其一致。

管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
- 步骤 1：创建应用程序清单
  了解如何创建应用程序清单。
- 步骤 2：测试应用程序以查找漏洞
  了解如何在应用程序中测试识别的漏洞。
- 步骤 3：确定风险和划分漏洞优先级
  了解如何确定风险，以及对在应用程序中识别的漏洞划分优先级。
- 步骤 4：补救任务
  了解如何修复在应用程序中识别的漏洞。
- 步骤 5：度量进度并获得合规性证明
  了解如何度量进度和获得合规性证明。
  - 度量进度
    了解如何跟踪组成产品服务组合的应用程序的各种度量值和趋势。
  - 获得合规性证明
    如何获得合规性证明。
    - 以报告的形式导出问题
      可生成问题的定制报告（PDF、HTML 或 XML 格式）并将这些报告发送给开发人员、内部审计员、渗透测试员、经理和 CISO。AppScan Enterprise 的报告模板可将应用程序安全性数据映射到关键政府法规和行业标准。使用报告可记录针对法规一致性目标的进度，例如显示与一致性问题关联的应用程序数量的减少。
    - 限制安全报告的大小
      安全报告可能很大。报告生成期间，可能接收到文件有数百页长或者报告创建过程可能超时的警告消息。请尝试以下提示来减小报告大小。
    - 一致性报告
      了解合规性报告。
    - 行业标准报告
      了解行业标准报告。
      - “国际标准 ISO 27001”报告
        此报告显示违反该标准控制目标的现有 Web 应用程序漏洞。该标准中所列的控制目标直接源于 ISO 17799 中所列的控制目标并与其一致。
      - “国际标准 ISO 27002”报告
        此报告显示违反该标准控制目标的现有 Web 应用程序漏洞。该标准中所列的控制目标直接源于 ISO 17799 中所列的控制目标并与其一致。
      - “NERC 网络安全标准”报告
        此报告显示在您站点上发现的 NERC 网络安全标准问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “NIST 专刊 800-53 修订版 4”报告
        此报告显示在您站点上发现的 NIST 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - OWASP Top 10 2013 报告
        此报告显示在您的站点上发现的 OWASP Top 10 2013 问题。
      - “SANS/CWE 最危险的 25 个编程错误 v1.03”报告
        此报告显示在站点上发现的“SANS/CWE 最危险的 25 个编程错误”问题。它按照 CWE 值与问题类型匹配。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - WASC 威胁分类 V2.0 报告
        该报告会显示站点上找到的 WASC 威胁分类问题。

“国际标准 ISO 27002”报告

此报告显示违反该标准控制目标的现有 Web 应用程序漏洞。该标准中所列的控制目标直接源于 ISO 17799 中所列的控制目标并与其一致。

它为什么重要

ISO 27002 为在组织内开展、实施、维护和改进信息安全管理制定了相应的准则和一般原则。信息安全通过实施一组适当的控件实现，例如：策略、进程、过程、组织结构和软件及硬件功能。需要建立、实施、监视、复审、改进和报告这些控制，以确保达到组织的特定安全性和业务目标。