內建 ISMS——已就緒符合 ISO 27001

Vulny 內建的 ISMS 包含什麼？

資訊安全管理系統（ISMS）是位於 ISO 27001 核心的治理框架——一套有文件記載的政策、風險、控制措施與記錄，用以證明您是有意識地管理安全，而非臨時應付。Vulny 隨附一套完整的 ISMS，讓您無需試算表或另外昂貴的 GRC 工具即可運作。最關鍵的是，一切都與您真實的掃描發現相連，而非存在於一份儲存後便逐漸過時的靜態文件中，這意味著您的治理反映的是您實際的安全態勢，而非一年一次的快照。它開箱即提供標準所期望的各項基礎元件：

• 具備完整稽核軌跡的事件管理
• 以「可能性 × 影響」評分的 ISO 27001:2022 風險登錄冊
• 涵蓋全部 93 項 Annex A 控制措施的 Statement of Applicability
• 用以評估與追蹤您供應商的第三方風險管理（TPRM）

掃描發現如何與 ISMS 連結？

這正是 Vulny 有別於獨立掃描器之處：您的技術發現會直接驅動您的治理。掃描中的一項重大漏洞可直接流入一則事件或一筆風險登錄冊項目，因此登錄冊反映的是您真實、當前的攻擊面，而非數月前所寫下的某個時間點推測。當您修復該發現時，與其連結的風險與事件也會隨之變動，讓您的文件保持真實，無需手動輸入資料。稽核人員越來越希望看到 ISMS 是「活的」——即紙上的風險對應到您系統上實際發生的情況——而當掃描器與試算表彼此互不相通時，這正是大多數團隊難以舉證的部分。有了 Vulny，這條連結是內建的，因此您的 ISO 27001 證據能持續與現實保持一致。

我能否直接從 ISMS 產出稽核證據？

可以。Vulny 只需一鍵即可為 ISMS 的每個部分匯出帶有品牌標識、專業的 PDF 與 DOC 報告——風險登錄冊、Statement of Applicability、事件記錄與第三方風險評估——可直接交給稽核人員、您的管理層，或客戶的資安團隊。由於這些報告是由您的即時資料產生，而非以手動維護，因此證據反映的是當下的狀態，而非某人在稽核前更新的快照。每份報告都會顯示其背後的資料來源（ISO 27001、CVE、NVD/NIST、CISA KEV、EPSS、CWE），讓審查者能追溯每一項發現。DOC 匯出檔可供編輯，因此您可將它們放入現有的證據包或管理審查文件中。這讓例行為稽核證據而手忙腳亂的過程化為一次匯出，並讓您的認證工作奠基於真實、當前的安全資料上。