現在2013年度RSA信息安全大會（RSA2013）正在熱烈召開，會上知名安全專家們建議軟件制造商和互聯網服務供應商，預定在2013年底發布的安全漏洞處理流程中，需要準備兩個新的ISO標準來適應新的安全需求，其中包括了ISO 30111和ISO 29147。

RSA2013:供應商需要新安全漏洞處理標準

ISO 30111涵蓋了所有漏洞處理流程中，無論是內部確認，或被外部人員報告的。

ISO 29147則涵蓋了如終端用戶、安全研究人員和黑客等外部人員所暴露的漏洞。

微軟的高級安全策略主管兼標準制定者，凱蒂·牟索利斯（Katie Moussouris）希望，ISO 29147可以更容易地報告軟件和服務的漏洞。

凱蒂告訴參加本年度舊金山RSA會議的與會者，“該標準在漏洞的風險評估和應用調整中將會起到更大的建設性意見”。

ISO 29147提供準備接受外部漏洞報告的指導方針，第一個要求是對供應商提出的，將使報告者更容易地同內部的負責人取得聯系。

凱蒂說道，“漏洞發現者可以很容易地找到提交漏洞報告的門路，它必須是明顯的，并是容易使用的。因為如果不是這樣，他們就可能會求助于其他的渠道，如媒體或網絡論壇等”。

接下來的事情就是確認收到的漏洞報告，該標準將保證報告必須在7天內完成處理。

而ISO 30111也提供了調查和修補漏洞的指導方針和建議：

1.有一個組織和過程來支持排查、整治；

2.執行根本原因分析，找出所有可能受影響的產品、服務；

3.如果漏洞影響多個產品、服務，根據嚴重等級來定優先級；

4.平衡解決速度——如果是高威脅，可以考慮立即采取臨時的解決辦法；

5.如可能與其他供應商展開協作。

當然也有幾種可能，對修正不適用，如下：

1.一個無法復制的脆弱性；

2.該漏洞是已在調查中；

3.該漏洞僅影響已經過時的產品；

4.漏洞是無法利用的；

5.漏洞是在第三方產品、服務。

凱蒂期望ISO 30111能切實提高供應商展開安全漏洞的調查和整治級別，提高封堵安全漏洞的速度和質量水平。