Résumé
Le présent document fournit des exigences et des recommandations à l'attention de fournisseurs concernant la divulgation de vulnérabilités dans des produits et services. La divulgation de vulnérabilité permet aux utilisateurs d'effectuer une gestion des vulnérabilités techniques telle que spécifiée dans l'ISO/IEC 27002:2013, 12.6.1[1]. La divulgation de vulnérabilité aide les utilisateurs à protéger leurs systèmes et données, à prioriser les investissements défensifs et à mieux apprécier le risque. L'objectif d'une divulgation de vulnérabilité est de réduire le risque associé à l'exploitation de vulnérabilités. Une divulgation de vulnérabilité coordonnée est particulièrement importante lorsque plusieurs fournisseurs sont affectés. Le présent document fournit:
— des lignes directrices sur la réception de signalements concernant des vulnérabilités potentielles;
— des lignes directrices sur la divulgation d'informations concernant la remédiation de vulnérabilités;
— des termes et définitions spécifiques à la divulgation de vulnérabilités;
— une vue d'ensemble des concepts associés à la divulgation de vulnérabilité;
— des considérations relatives aux techniques et politiques de divulgation de vulnérabilité;
— des exemples de techniques, de politiques (Annexe A) et de communications (Annexe B).
D'autres activités associées intervenant entre la réception et la divulgation de signalements de vulnérabilités sont décrites dans l'ISO/IEC 30111.
Le présent document s'applique aux fournisseurs qui choisissent de pratiquer la divulgation de vulnérabilité pour réduire le risque pour les utilisateurs de produits et services de fournisseurs.
Informations générales
-
État actuel: PubliéeDate de publication: 2018-10Stade: Norme internationale confirmée [90.93]
-
Edition: 2Nombre de pages: 34
-
Comité technique :ISO/IEC JTC 1/SC 27ICS :35.030
- RSS mises à jour
Cycle de vie
-
Précédemment
AnnuléeISO/IEC 29147:2014
-
Actuellement
PubliéeISO/IEC 29147:2018
Les normes ISO sont réexaminées tous les cinq ans
Stade: 90.93 (Confirmée)