主页
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
步骤 5：度量进度并获得合规性证明
了解如何度量进度和获得合规性证明。
获得合规性证明
如何获得合规性证明。
一致性报告
了解合规性报告。
“2002 年萨班斯法案 (SOX)”报告
该报告显示在站点上找到的“沙宾法案”问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。

管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
- 步骤 1：创建应用程序清单
  了解如何创建应用程序清单。
- 步骤 2：测试应用程序以查找漏洞
  了解如何在应用程序中测试识别的漏洞。
- 步骤 3：确定风险和划分漏洞优先级
  了解如何确定风险，以及对在应用程序中识别的漏洞划分优先级。
- 步骤 4：补救任务
  了解如何修复在应用程序中识别的漏洞。
- 步骤 5：度量进度并获得合规性证明
  了解如何度量进度和获得合规性证明。
  - 度量进度
    了解如何跟踪组成产品服务组合的应用程序的各种度量值和趋势。
  - 获得合规性证明
    如何获得合规性证明。
    - 以报告的形式导出问题
      可生成问题的定制报告（PDF、HTML 或 XML 格式）并将这些报告发送给开发人员、内部审计员、渗透测试员、经理和 CISO。AppScan Enterprise 的报告模板可将应用程序安全性数据映射到关键政府法规和行业标准。使用报告可记录针对法规一致性目标的进度，例如显示与一致性问题关联的应用程序数量的减少。
    - 限制安全报告的大小
      安全报告可能很大。报告生成期间，可能接收到文件有数百页长或者报告创建过程可能超时的警告消息。请尝试以下提示来减小报告大小。
    - 一致性报告
      了解合规性报告。
      - APRA PPG 234 -“信息和信息技术中的安全性风险管理”报告
        该报告显示在您站点上找到的与此法规不相符的问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - 新巴塞尔资本协定报告
        此新巴塞尔资本协定合规性报告有助于金融机构通过标识、监视和报告 Web 应用程序漏洞来处理由联机活动引发的运营风险。
      - California Assembly Bill No. 1950 and Senate Bill 1386 报告
        该报告显示在您站点上找到的与这些法规不相符的问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “1998 年儿童在线隐私保护法案”报告
        此报告显示在您站点上发现的“儿童在线隐私保护法案 (COPPA)”问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。注意：此报告中的许多问题与 HIPAA 报告中的问题类似。如果将两份报告都添加到仪表板，那么问题总数会大量增加。如果要防止发生这种情况，您可以为每个报告都创建选项卡，或只将其中一个报告添加到仪表板中。
      - “英国数据保护法案”报告
        此报告显示在您站点上发现的 Data Protection Act 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “DCID 6/3 保护高级技术 IS”报告
        此报告会分析 Web 应用程序扫描的结果，以检测是否违反了针对保护互连信息系统和保护采用高级技术的信息系统的安全要求。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。
      - DCID 6/3 基本可用性报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的可用性需求违例，这些系统在 Protecting Sensitive Compartmented Information within Information Systems 手册第 6 章中概述的基本保护级别上运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。“基本”级别意味着信息必须在发生一定程度的延迟时仍然可用，否则丧失可用性时将会有不利影响。
      - “DCID 6/3 中等可用性”报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的可用性需求违例，这些系统在 Protecting Sensitive Compartmented Information within Information Systems 手册第 6 章中概述的中保护级别下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。“中”级别意味着信息必须随时可用，并且容许最低程度的延迟，否则丧失可用性可能会导致身体伤害或对组织级别的利益造成不利影响。
      - DCID 6/3 高可用性报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的可用性需求违例，这些系统在 Protecting Sensitive Compartmented Information within Information Systems 手册第 6 章中概述的高保护级别下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。“高”级别意味着在请求时信息必须总是可用，并且不容许延迟。丧失可用性可能会导致失去生命，对国家利益造成不利影响或违反机密性。
      - DCID 6/3 机密性要求保护级别 1 报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的机密性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 4 章中概述的保护级别 1 下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。
      - DCID 6/3 机密性要求保护级别 2 报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的机密性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 4 章中概述的保护级别 2 下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。
      - DCID 6/3 机密性要求保护级别 3 报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的机密性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 4 章中概述的保护级别 3 下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。
      - DCID 6/3 机密性要求保护级别 4 报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的机密性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 4 章中概述的保护级别 4 下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。
      - DCID 6/3 机密性要求保护级别 5 要求
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的机密性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 4 章中概述的保护级别 5 下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。
      - DCID 6/3 完整性基本报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的完整性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 5 章中概述的基本完整性级别下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。“基本”级别意味着针对未授权的修改需要适当等级的阻止，否则丧失完整性将会有不利影响。
      - DCID 6/3 中等完整性报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的完整性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 5 章中概述的中完整性级别下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。“中”级别意味着针对未授权的修改需要高等级的阻止，但并非绝对。中度丧失完整性可能会导致身体伤害，或者对组织级别的利益造成不利影响。
      - DCID 6/3 完整性高报告
        此报告会分析 Web 应用程序扫描的结果，以检测系统可能的完整性需求违例，这些系统在 Protecting Sensitive Compartmented Information Within Information Systems 手册第 5 章中概述的高完整性级别下运行。它将帮助您检测鉴定过程的步骤 3、4、5 和 8 中所显示的可能要求违例。“高”级别意味着针对未授权的修改需要非常高等级的阻止。高度丧失完整性可能会导致失去生命，或者对国家利益或机密性造成不利影响。
      - DISA STIG V3R9 报告
        《应用程序安全和开发安全技术实施指南》(STIG) 提供在整个应用程序开发生命周期中使用的安全指导。防御信息系统局 (DISA) 鼓励站点在应用程序开发流程中尽早使用这些准则。
      - DISA STIG V3R9 类别 1 报告
        《应用程序安全和开发安全技术实施指南》(STIG) 提供在整个应用程序开发生命周期中使用的安全指导。防御信息系统局 (DISA) 鼓励站点在应用程序开发流程中尽早使用这些准则。
      - DoD 指令 8500.1 - Cybersecurity 报告
        此报告显示在您站点上发现的问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - DoD 指令 8550.1 - 因特网服务和基于因特网的功能报告
        此报告显示在您站点上发现的问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “电子资金转帐法案和法规 E”报告
        此报告显示在您站点上发现的 EFTA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - European Directive 1995/46/EC 报告
        此报告显示在您站点上发现的《数据保护指令》（EU 1995/46/EC）问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - European Directive 2002/58/EC 报告
        此报告显示在您站点上发现的 Privacy and Electronic Communications Directive（EU 2002/58/EC）问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Family Educational Rights and Privacy Act (FERPA) 报告
        此报告显示在站点上发现的 FERPA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Federal Financial Institutions Examination Council (FFIEC) - Information Security IT Examination Handbook 报告
        此报告显示在您站点上发现的 FFIEC 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Federal Information Security Management Act（FISMA）报告
        此报告显示在您站点上发现的 FISMA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - 联邦风险和授权管理方案 (FedRAMP) 报告
        此报告显示在您站点上发现的 FedRAMP 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - 金融服务 (GLBA) 报告
        此报告显示在您站点上发现的 GLBA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Freedom of Information and Protection of Privacy Act (FIPPA) 报告
        此报告显示在站点上发现的 FIPPA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “1996 年健康保险可移植性和责任法案 (HIPAA)”报告
        此报告显示在您站点上发现的 HIPAA 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Japan's Personal Information Protection Act 报告
        此报告显示在您站点上发现的有关“Japan's Personal Information Protection Act”的问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “马萨诸塞州 201 CMR 17.00”报告
        此 MA 201 合规性报告有助于金融机构通过标识、监视和报告 Web 应用程序漏洞来处理由联机活动引发的运营风险。
      - “信息技术安全管理 (MITS)”报告
        此 MITS 合规性报告有助于金融机构通过标识、监视和报告 Web 应用程序漏洞来处理由联机活动引发的运营风险。
      - “NERC CIPC 电子产业安全准则”报告
        此报告显示在您站点上发现的 NERC CIPC 违例问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “PA-DSS（支付应用程序数据安全标准）V3.0”报告
        此 PA-DSS 合规性报告有助于金融机构通过标识、监视和报告 Web 应用程序漏洞来处理由联机活动引发的运营风险。
      - “支付卡行业数据安全标准 (PCI) V3.0”报告
        此报告显示在您站点上发现的 PCI 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - PIPED Act 报告
        此报告显示在您站点上发现的 PIPED 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Privacy Act of 1974 报告
        此报告显示在您站点上发现的 Privacy Act of 1974 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Regulation 2016/679 of the European Parliament and of the Council - General Data Protection Regulation (GDPR)
        此报告显示在您站点上发现的通用数据保护条例 (GDPR) 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - Safe Harbor 报告
        此报告显示在您站点上发现的欧盟 Safe Harbor 问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “2002 年萨班斯法案 (SOX)”报告
        该报告显示在站点上找到的“沙宾法案”问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - “美国联邦条例法典第 21 章 (21 CFR) 第 11 部分”报告
        该报告会显示在站点上找到的 21CFR11（美国联邦条例法典，标题 21，第 11 部分）问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
    - 行业标准报告
      了解行业标准报告。

“2002 年萨班斯法案 (SOX)”报告

该报告显示在站点上找到的“沙宾法案”问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。

它为什么重要

专家称，自“1934 年证券法案”之后，“沙宾法案”（SOX）是影响公司管理最重要的里程碑。该法案的目标是提高对上市公司的标准，并通过改进公司公开的准确性和可靠性，来保护投资者。

SOX 的实际挑战是确保可以证明一致性并准确地监控和报告。最受关注的公共区域是所有通信的归档，交易、业务和任何类型的商业信函记录的透明度和审计系统的创建。

第 404 节保留管理者对维护内部控制和财务报告过程的职责；要求审计员证明这些控制的管理评估，并公开任何弱点。

符合 SOX 的最佳做法

识别并监控风险
建立有效的内部控制
采用安全编码做法
部署前测试 Web 应用程序是否存在潜在安全违规