ISO 27001 脆弱性スキャン
ISO 27001 は、技術的脆弱性を継続的に発見・修正し、その証跡を保持することを求めます。Vulny は、そのスキャン — そしてそれを取り巻く ISMS — を一箇所で提供します。
ISO 27001 が求めるもの
附属書 A 管理策 A.8.8 — 技術的脆弱性の管理 — は、技術的脆弱性を適時に特定・評価・対処し、それを実施している証跡を保持することを求めます。監査人は、これが年 1 回ではなく継続的に行われていることを確認したいと考えます。
Vulny が証跡を提供する方法
Vulny は、インターネットに面したサーバーと Web アプリを 357,755+ の脆弱性テストから成る検出データベースに照らしてスキャンし、2 時間ごとに新たに公開された CVE に対して再チェックし、検出結果を実世界のリスクに基づいて優先順位付けします。すべてのスキャンは、ブランド入りで監査対応可能な PDF または DOC レポートにエクスポートされます。
スキャンと ISMS を一箇所に
重大な検出結果は、組み込みのリスク登録簿とインシデントログに直接流し込めるため、ISO 27001 が求める技術的テストとガバナンスの証跡が同じツールに存在します — スプレッドシート不要、別途 GRC の購入不要、コンサルタント不要です。
よくある質問
ISO 27001 は脆弱性スキャンを要求しますか?
ISO 27001 は特定のツールを指定しませんが、附属書 A 管理策 A.8.8(技術的脆弱性の管理)は、技術的脆弱性を発見・修正し、証跡を保持することを求めます。継続的なスキャンは、ほとんどの組織がそれを満たす実用的な方法です。
ISO 27001 のためにどのくらいの頻度でスキャンすべきですか?
監査人は、年 1 回のスキャンではなく継続的なプロセスを求めます。Vulny は継続的にスキャンし、2 時間ごとに、新たに公開された CVE に対してアセットを再チェックするため、証跡が常に最新の状態に保たれます。
コンサルタントは必要ですか?
いいえ。Vulny は検出結果を優先順位付けし、監査対応可能なレポートを作成します。また、ISMS — リスク登録簿、適用宣言書、インシデント — が内蔵されているため、専門家を雇わずに準備できます。