Rechercher les vulnérabilités par actif qui sont identifiées (par exemple: connues par identification à partir du référentiel CVE, par évaluation des menaces et des risques des actifs; à partir des notifications des fournisseurs de systèmes/actifs/technologies; à partir des actions correctives déployées lors de leur exploitation pour cause d'incident de sécurité observé) et qui sont documentées (par exemple: accessibles, utilisables, non obsolètes et maintenus; par une évaluation des risques exécutée par le fournisseur d'actifs et/ou l'organisation) garantissant une compréhension suffisante du ou des risques de cybersécurité exposés.
Rapports sur les vulnérabilités pour identifier les tendances dans lesquelles les applications sont les plus sensibles, les menaces les plus dommageables et les contrôles qui fonctionnent.
Ref: REQ_FUNC_VUL-2
Rechercher dans les journaux d'audit concernant les analyses de vulnérabilité (par exemple: les mesures proactives) effectuées sur les actifs de l'organisation et sur l'étendue de sa responsabilité (par exemple: les appareils de leurs clients lorsqu'il sont inclus dans les services fournis dans le cadre du SLA).
Ref: REQ_FUNC_VUL-1
