GTAG-6 :資訊科技弱點之管理與稽核

IT管理階層及IT安全的責任之在於確保科技風險的適當管理。這些風險來自於以各種方式配置及使用IT資產，例如系統架設錯誤或存取限制使用的軟體等。不過，這些風險可以透過偵測弱點、評估其潛在影響，以及在必要時採行改正措施等方式，予以辨認及補救。

弱點管理係指一個機構用於辨認、評估及補救IT弱點(可能造成企業風險或安全風險之IT資產或流程的弱點或暴險)的各種流程及科技。根據美國國家弱點資料庫，每年大約會發現5,000個新的弱點，而其中40%的弱點具有”高度嚴重性＂(亦即其可能造成機構重大的混亂)。

本指引之制訂在於協助內部稽核主管在評估機構弱點管理流程時，向其IT安全人員提出正確的問題。同時建議特定的管理實務，以協助機構達成及維持較高水準的效果及效率，並列示優良及不良的弱點管理結果。