在資訊安全管理的作業中，針對資訊資産的定期性的弱點評估已經是必要的日常工作。企業或機關期望透過有效的弱點管理作業，來降低資訊資産可能發生的潛在風險。然而，在中大型企業或機關中，由於資訊資産數量較多，弱點評估結果(尤其是技術性弱點掃描的結果)同様的也經常多到讓資安管理人員相當煩惱，同様的弱點管理的相關工作也佔據了他們大部份的工作時間，特別在弱點的通報、處理及追蹤這類非專業性的人工作業。

資安案件管理系統就是設計用來降低企業或機關在弱點管理工作上的負擔，透過自動化的弱點案件管理系統有效落實弱點管理作業，降低潛在的資安風險。

 系統功能說明 

• 弱點掃描結果匯入
  目前可支援下列弱點評估工具之掃描結果直接匯入：
  
  • 主機弱點可整合Tenable Nessus Pro、Nessus Manager、Tenable Security Center、Rapid 7 Nexpose、Qualys、McAfee Vulnerability Manager、Nmap等弱點掃描結果匯入。
  • 網站弱點可整合Acunetix、WebInspect、AppScan、Qualys、OWASP ZAP Web Scanning等網頁弱點掃描結果匯入。
  • 靜態程式碼可整合Fortify SCA、Checkmarx、WhiteSource Open Source Security、GSS AVC等檢測結果匯入。

  也可以將弱點評估結果轉換成「標準CSV弱點淸單」批次匯入本系統，或者直接手動輸入弱點，適合用於人工弱點評估(如：滲透測試服務)所發現的弱點。

  *註：其他目前尚未支援的弱點掃描工具之匯入，可採用客製方式整合。

• 組織架構及人員管理
  弱點案件的管理需要弱點處理人員回報修補結果，且弱點處理的方式及結果應由主管進行審查，以滿足資安稽核的要求。因此本系統必須提供有關組織架構及人員的管理的相關功能，但為降低本系統在人組織架構及人員管理上的額外負擔，可提供下列方式來同步目前已經存在的組織架構及人員資料。
  • Windows Active Directory 同步
  • 標準CSV組織及人員淸單匯入

  *註：本公司提供客製服務，可自動同步其他組織架構及人員的資料來源，例如：人事系統。

• 資訊資産管理
  本系統提供資訊資産管理功能的主要目有二，其一、是將資訊資産與處理人員建立連結，在弱點資訊匯入後，系統能自動判斷弱點的處理人員。其二、是透過資産的價值及資産的暴露等級決定弱點案件的等級。可透過下列方式來建立及管理資産：
  • 弱點匯入時自動建立或更新資産内容
  • 標準CSV資産淸單匯入
  • 手動自行建立或更新資産

   

• 弱點案件管理