根據《網絡產品安全漏洞管理規(guī)定》，安全漏洞的責任主體包括兩大類：一是網絡產品提供者和網絡運營者，二是從事網絡產品安全漏洞發(fā)現、收集、發(fā)布等活動的組織或者個人。企業(yè)作為網絡運營者，在其中擔負著重要的作用。

制訂定期的漏洞掃描計劃

很多企業(yè)認為，臨時掃描漏洞并進行修復已經足夠了，但這樣既低效又不能充分保護網絡。為了防止網絡攻擊通過漏洞進行，企業(yè)應該采用程序化方法進行漏洞管理，這個方法結合了企業(yè)對風險的容忍度以及確定優(yōu)先級、補救和緩解已識別漏洞的流程。

這有助于確保進行有效的監(jiān)督，并將漏洞管理與企業(yè)內部的任何其他業(yè)務風險一樣對待。

審視風險和優(yōu)先事項

企業(yè)需要常常審視自身能承受的安全風險，并確定優(yōu)先事項，以提高企業(yè)的風險承受能力，并建立工作優(yōu)先順序的流程，對于強大的脆弱性管理計劃都至關重要。應該至少每年都重新訪問一次，也可以在企業(yè)內部或IT環(huán)境發(fā)生重大變化時訪問。

根據企業(yè)自身的風險進行定制

企業(yè)會不斷發(fā)現新的漏洞，再加上現有已知漏洞，不可能一次性修復這些問題。企業(yè)需要找到一種方法來查明最重要的漏洞并確定修復工作的優(yōu)先順序是至關重要的，這項工作可以由漏洞掃描、供應商和其他安全渠道提供的分類(高、中、低)指導，但該過程應考慮企業(yè)對風險的容忍度、技術環(huán)境、行業(yè)等。

使用框架和系統(tǒng)

企業(yè)無需自己獨立開發(fā)技術來幫助完成漏洞管理任務，因為很多企業(yè)已經開發(fā)了框架和其他系統(tǒng)來幫助首席信息安全官進行管理。這些框架和系統(tǒng)可以幫助企業(yè)查看安全漏洞，并了解網絡攻擊者如何使用它們的方法，因此可以使用框架和系統(tǒng)來確定漏洞和其響應的優(yōu)先級。