内置 ISMS——ISO 27001 就绪
Vulny 内置一套完整的信息安全管理体系(ISMS),这是 ISO 27001 的核心要求,让您的技术发现与治理工作集中在同一处。
Vulny 的内置 ISMS 包含什么?
信息安全管理体系(ISMS)是 ISO 27001 核心的治理框架——一套有文档记录的策略、风险、控制措施与记录,证明您是有意识地、而非临时随意地管理安全。Vulny 提供了一套完整的体系,让您无需电子表格或单独的、昂贵的 GRC 工具即可运行它。至关重要的是,一切都与您真实的扫描发现相连接,而不是停留在一份保存后便随即过时的静态文档中,这意味着您的治理反映的是您实际的安全态势,而非一年一次的快照。开箱即用,它为您提供该标准所要求的基础组件:
- 具备完整审计追踪的事件管理
- 按可能性 × 影响评分的 ISO 27001:2022 风险登记册
- 涵盖全部 93 项 Annex A 控制措施的 Statement of Applicability
- 用于评估和跟踪供应商的第三方风险管理(TPRM)
扫描发现如何与 ISMS 相连接?
这正是 Vulny 与独立扫描器的不同之处:您的技术发现直接驱动您的治理。扫描得出的一个严重漏洞可以直接转化为一个事件或一条风险登记册条目,因此该登记册反映的是您真实、当前的攻击面,而不是数月前写下的某个时点的推测。当您修复该发现项时,与之关联的风险和事件会随之更新,从而在无需手动录入数据的情况下保持文档的真实可信。审计师越来越希望看到 ISMS 是鲜活的——纸面上的风险与您系统上实际发生的情况相对应——而当扫描器与电子表格互不相通时,这种关联恰恰是大多数团队难以举证的。有了 Vulny,这种关联是内置的,因此您的 ISO 27001 证据能持续与现实保持一致。
我能否直接从 ISMS 生成审计证据?
可以。Vulny 一键即可为 ISMS 的每个部分导出带品牌标识的专业 PDF 和 DOC 报告——风险登记册、Statement of Applicability、事件日志和第三方风险评估——可随时交给审计师、您的管理层或客户的安全团队。由于这些报告是从您的实时数据生成的,而非手工维护,证据反映的是当下的状态,而不是某人在审计前更新的某个快照。每份报告都会显示其背后的数据来源(ISO 27001、CVE、NVD/NIST、CISA KEV、EPSS、CWE),以便审查者能够追溯每一个发现项。DOC 导出文件是可编辑的,因此您可以将它们放入现有的证据包或管理评审文档中。这把例行的审计证据匆忙搜集变成了一次导出,并使您的认证工作始终扎根于真实、当前的安全数据。