Управление уязвимостями является обязательной задачей группы ИТ-безопасности. Процесс включает в себя анализ, оценку и составление отчетов о любых уязвимостях безопасности, существующих в системах и программном обеспечении. Однако, уязвимостями можно управлять только в том случае, если они были обнаружены и идентифицированы, для чего используется комплексная программа сканирования уязвимостей.
Анализ, оценка и отчет по результатам сканирования включает в себя всю информацию об уязвимостях безопасности, существующих в информационной системе и программном обеспечении организации, а также рекомендации по их устранению.
Анализ уязвимостей информационной системы является обязательным этапом работ на стадии внедрения систем защиты информации государственных информационных систем (Приказ ФСТЭК России от 11.02.2013 №17) и на стадии разработки технических мер по обеспечению безопасности значимого объекта критической инфраструктуры (Приказ ФСТЭК России от 25.12.2017 № 239)