Definição¶
Exceções de vulnerabilidade são permissões formais que permitem a um ativo ou sistema permanecer vulnerável por um período específico, geralmente devido a razões de negócios ou limitações técnicas. Elas devem ser rigorosamente controladas e justificadas.
Fatos principais¶
- Exceções devem ser concedidas apenas com forte justificativa de negócios e devem incluir controles compensatórios para evitar exploração das vulnerabilidades [guia_gerenciamento_vulnerabilidades.pdf].
- A responsabilidade pela aprovação de exceções frequentemente recai sobre o Gestor de Segurança da Informação ou o responsável pela área de TI [guia_gerenciamento_vulnerabilidades.pdf].
Relações¶
- relacionado com: Gerenciamento de Vulnerabilidades, Segurança da Informação
- contrasta com: Conformidade Total
Referências legais¶
- N/A
Contradições / incertezas¶
- N/A
Notas¶
É fundamental que as exceções sejam documentadas e revisadas periodicamente, garantindo que a alta administração esteja ciente das vulnerabilidades que não estão sendo tratadas imediatamente e que existe um plano para abordá-las no futuro. O processo também deve estar alinhado com normas e regulamentações aplicáveis.