公开信息是指你的企业愿意透露给公众的信息，例如产品文献、你的公共网站上的数据以及发布的财务报表。

当对系统进行数据敏感度评级时，你的评估应该基于系统存储或处理的信息的最高敏感度水平。处理高敏感度信息的系统被评为5级，而处理内部信息的系统可能被评为2级、3级或3级，这取决于敏感度水平。所有其他系统都被评为1级。

步骤3：评估现有控制

这个过程的最后一步是评估现有控制—这些控制保护潜在易受攻击的系统免受攻击。根据你企业需要的具体控制的不同，你用来进行评级的方法也会有所不同。例如，如果你有一个高度安全的网络用于极度敏感的系统，对于5级控制评级标准，你可能会将这些系统评为5级。同样地，如果使用公共IP地址的系统可以通过互联网从web应用访问，而没有受到web应用防火墙保护，这种系统可能被评为1级或者2级。你应该选择能够准确反映你的环境中预期控制的评级标准，然后对具有强大安全控制的系统评为较高等级。

整合这些数据

在收集了所有这些信息后，你可以利用它们来评估你的报告中出现的漏洞。而且，在你将所有这些数据收集在一起后，你可以对系统中存在的每个漏洞执行下面这个简单的计算：

风险数=(漏洞严重程度*数据敏感度)/现有控制

如果每个选项都是5分制，这个漏洞评级范围将是从最低0.2分(在仅包含公共信息的良好控制的系统中存在的的严重性漏洞)到最高25分(包含高敏感度信息而缺乏安全控制的系统中存在高严重性漏洞)。

虽然这看起来需要收集大量数据以及执行大量计算，你可以找到方法来自动化这个过程并改进你的漏洞优先级工作。例如，你可以创建一个数据库来存储关于所有服务器资产的数据敏感度和控制状态信息。

同样地，你可以利用脚本来分析供应商报告，以自动化提取漏洞严重度信息，从数据库中提取相关信息并计算风险分数。

我们有很多方法来为企业定制网络安全漏洞优先级系统。无论你做出怎样的调整，对于任何想要降低IT安全风险的企业而言，基于风险优先级决策的有效的漏洞管理程序都是一个必须因素。简化用来执行漏洞风险分析的程序，让企业更容易开始和维护这样一个程序。

(责任编辑：)