Das Vulnerability Management (VM) befasst sich mit den sicherheitsrelevanten Schwachstellen in IT-Systemen. Mit dem Schwachstellenmanagement sollen Prozesse und Techniken erarbeitet werden, mit denen zur Steigerung der IT-Sicherheit eine Sicherheitskonfiguration in Unternehmen eingeführt und verwaltet werden kann.
Das Schwachstellenmanagement umfasst das Management von Sicherheitslücken und die Schwachstellenanalyse unter Berücksichtigung der in den Standards BS 7799 resp. ISO 17799 und ISO 27001 detailliert beschriebenen Faktoren Mensch, Maschine, Umgebung und Daten. Darüber hinaus spielt beim Schwachstellenmanagement das Common Vulnerability Scoring System ( CVSS), mit dem ein Rating- Index erstellt wird, eine wesentliche Rolle.
Das Schwachstellenmanagement wird durch diverse Prozesse langfristig sichersgestellt. Dazu gehört die regelmäßige Überprüfung des Netzwerks, des Firewall-Logging, durch Penetrationstests oder Virenscanner. Die Identifizierung der Schachstellen durch Netzwerkanalysatoren und das Erkennen von Anomalien, die auf Angriffe mit Malware oder auf andere böswilligen Attacken hindeuten. Das Überprüfen der Schwachstellen. Es muss festgestellt werden, ob die Schwachstellen Auswirkungen auf Server, Anwendungen, Netzwerke oder Systeme haben. Außerdem muss das Risiko klassifiziert werden. In einem weiteren Prozess muss untersucht werden, wie Schwachstellen verhindert und beseitigt werden können.
Da sich die Bedrohungen ständig weiterentwickeln, müssen die Strategien des Schwachstellenmanagements regelmäßig aktualisiert werden, um den ändernden Bedrohungsszenarien gerecht zu werden.